Wann müssen Datenschutzbeauftragte bestellt werden?

Eine Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) kann sich für private Stellen sowohl aus der Datenschutz-Grundverordnung (DS-GVO) als auch aus  nationalem Recht ergeben.

Nach Art. 37 Abs. 1 lit. b, c DS-GVO müssen private Stellen auf jeden Fall einen DSB benennen, wenn ihre Kerntätigkeit eine umfangreiche oder systematische Beobachtung von Personen beinhaltet oder wenn die Kerntätigkeit der Stelle darin besteht, umfangreich besonders sensible personenbezogene Daten zur verarbeiten (Art. 9, 10 DS-GVO: beispielsweise Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie für die Verarbeitung von genetischen, biometrischen Daten oder Daten zur Gesundheit oder zum Sexualleben oder zur sexuellen Orientierung).

Die EU-Mitgliedsstaaten haben die Möglichkeit, die Pflicht zur Benennung eines DSB in ihren nationalen Ausführungsgesetzen auf weitere Stellen auszudehnen (Art. 37 Abs. 4 S. 1 DS-GVO). Der Bundesgesetzgeber hat diesen Regelungsspielraum genutzt, um die Pflicht zur Benennung von betrieblichen DSBen dem in Deutschland bestehenden „Status quo“ anzupassen (vgl. § 4f BDSG-alt sowie § 38 BDSG-neu).

Demnach ist eine Benennung eines DSB auch in folgenden Fällen erforderlich:

  • es werden in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder
  • es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen oder es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet; dann muss unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen ein DSB benannt werden.

Bei der Berechnung der Personenzahl  werden alle Personen mitgezählt, die tatsächlich auf die automatisierte Datenverarbeitung der privaten Stelle zugreifen. Nicht entscheidend ist, wie häufig oder intensiv auf die Daten zugegriffen wird. Es ist ausreichend, dass es zur regelmäßigen Aufgabenwahrnehmung der Personen gehört, personenbezogene Daten automatisiert zu verarbeiten und es sich hierbei nicht nur um eine vorübergehende Tätigkeit (z.B. Urlaubsvertretung) handelt. Damit werden Teilzeitkräfte und Beschäftigte von Zeitarbeitsfirmen während ihrer Tätigkeit im Unternehmen mitgezählt. Das gilt auch für die Mitglieder der Geschäftsleitung und bei ehrenamtlich Tätigen.

Weitere Informationen zur Benennungspflicht von Datenschutzbeauftragten (auch zur Begrifflichkeit der Kerntätigkeit und umfangreichen Verarbeitung) finden Sie im Kurzpapier Nr. 12 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz - DSK).

 

zurück zur Übersicht