Zur Übersicht Rechtsgrundlagen

Wer muss einen Datenschutzbeauftragten bestellen?

Art. 37-39 DSGVOParagraph 38 BDSGParagraph 5-7 BDSG

Die Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) ergibt sich aus der DSGVO und wird durch das BDSG für Deutschland erheblich erweitert.

Pflicht nach DSGVO (Art. 37 Abs. 1)

Ein DSB muss bestellt werden, wenn:

  1. Die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (Ausnahme: Gerichte bei justizieller Tätigkeit).
  2. Die Kerntätigkeit in der umfangreichen regelmäßigen und systematischen Überwachung von Personen besteht.
  3. Die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) oder von Daten über strafrechtliche Verurteilungen (Art. 10 DSGVO) besteht.

"Kerntätigkeit" meint die hauptsächliche, prägende Tätigkeit des Unternehmens - nicht unterstützende Funktionen wie die Personalverwaltung. Ein einzelner Arzt oder Rechtsanwalt führt regelmäßig KEINE "umfangreiche" Verarbeitung durch (EG 91 DSGVO).

Zusätzliche Pflicht nach BDSG (Paragraph 38 Abs. 1)

In Deutschland gilt zusätzlich: Ein DSB ist zu benennen, wenn:

  • Mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Gezählt werden alle Personen (Vollzeit, Teilzeit, Aushilfen, Praktikanten), die regelmäßig mit Computern personenbezogene Daten verarbeiten.
  • Das Unternehmen Verarbeitungen durchführt, die einer Datenschutz-Folgenabschätzung unterliegen (unabhängig von der Mitarbeiterzahl).
  • Personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Markt-/Meinungsforschung verarbeitet werden (unabhängig von der Mitarbeiterzahl).

Intern oder extern?

Der DSB kann ein Beschäftigter des Unternehmens oder ein externer Dienstleister sein (Art. 37 Abs. 6 DSGVO). Interne DSB genießen einen besonderen Kündigungsschutz: Kündigung nur aus wichtigem Grund möglich, nachwirkend für ein Jahr nach Ende der DSB-Tätigkeit (Paragraph 6 Abs. 4, Paragraph 38 Abs. 2 BDSG).

Was passiert bei Verstößen?

Die Nichtbenennung eines DSB ist bußgeldbewährt: bis zu 10 Millionen Euro oder 2% des weltweiten Jahresumsatzes (Art. 83 Abs. 4 lit. a DSGVO).

Quellen

Art. 37-39, Art. 83 Abs. 4 lit. a DSGVOParagraphen 5-7, 38 BDSGEG 91, 97DSK-Kurzpapier Nr. 12

Verwandte Fragen

Strafen

Welche Rolle spielt der Datenschutzbeauftragte bei Sanktionen?

 Rechtsgrundlagen

Was sind die Bußgelder und Sanktionen bei DSGVO-Verstößen?

 Pflichten

Welche Rolle spielt der Datenschutzbeauftragte und welche Aufgaben hat er?