Datenschutz­­beauftragter

Wann braucht man einen und wann nicht?

Die Richtlinien dazu sind sehr einfach. Es gibt sieben Gründe, aus denen ein Datenschutz­­beauftragter bestellt werden muss. Ist keiner der sieben Gründe erfüllt, braucht auch kein Datenschutz­beauftragter bestellt zu werden.
Der Haken: Man kann sich den Vorgaben der DSGVO nicht entziehen. Alle Unternehmen müssen die DSGVO umsetzten, ob mit oder ohne Datenschutz­­beauftragten.
Wenn man keinen Datenschutz­beauftragten zu bestellen braucht, kümmert sich die Geschäfts­führung darum, die Vorgaben umzusetzen.

Die sieben Gründe

Es gibt sieben Gründe, aus denen ein Datenschutz­beauftragter zwingend bestellt werden muss.

Am bekanntesten ist die 20-Personen-Regel.

Irrtümlicherweise glauben viele Unternehmer, dass wenn sie weniger als 20 Mitarbeiter haben, sie die Vorgaben aus der DSGVO und dem BDSG nicht umzusetzen brauchen. Das stimmt aber nicht.

  • Zum einen gibt es sechs weitere Gründe, die einen Datenschutz­beauftragten erforderlich machen.
  • Zum anderen hat die Pflicht zur Umsetzung der DSGVO gar nichts damit zu tun, ob man einen Datenschutz­beauftragten bestellen muss oder nicht.

Jedes Unternehmen muss die DSGVO umsetzen, egal ob mit oder ohne Datenschutz­beauftragten.

Die Erfordernisgründe

Damit sind alle Behörden und öffentlichen Stellen gemeint.

Einzige Ausnahmen sind solche mit justiziellen Tätigkeiten.

Das trifft zum Beispiel auf Auskunteien, Detekteien oder Targeting Marketing Unternehmen zu.

Sensible Daten sind:

  • Daten zur rassischen und ethnischen Herkunft,
  • zur politischen Meinungen,
  • religiösen oder weltanschaulichen Überzeugungen,
  • zur Gewerkschaftszugehörigkeit,
  • genetischen Daten,
  • biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten,
  • Daten zu dem Sexualleben oder die sexuellen Orientierung,
  • Daten zu strafrechtlichen Verurteilungen und Straftaten.

Das trifft zum Beispiel auf Krankenhäuser, Gen-Labors, Beratungsstellen wie Pro Familia, Erotikartikelversandhändler zu.

Es ist ein Datenschutzbeauftragter zu bestellen, wenn sich in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

In der Regel sind Büroarbeitsplätze solche.

Zudem muss ein Datenschutzbeauftragter bestellt werden, sofern der Verantwortliche (oder ein Auftragsverarbeiter) Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung unterliegen.

Das trifft zum Beispiel auf Adresshändler zu.

Zudem muss ein Datenschutzbeauftragter bestellt werden, sofern personenbezogene Daten für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Wenn Sie keinen Datenschutzbeauftragten bestellen müssen, was kommt dann auf Sie zu.

Auch wenn keiner dieser Erfordernisgründe erfüllt ist, kommt man um die Umsetzung der DSGVO nicht herum. Man muss alles genau so erstellen und erfüllen, als wenn man einen Datenschutzbeauftragten bestellt hätte. Es gibt da keinen Unterschied.

In diesem Falle übernimmt der Geschäftsführer die Aufgaben des Datenschutz­beauftragten.

Der Datenschutzbeauftragte muss jedoch eine Person mit Fachkunde und Erfahrung sein.

Und hier kann es kompliziert werden.

Es macht daher Sinn, auch dann einen Datenschutzbeauftragten zu bestellen, wenn man nicht dazu verpflichtet ist. Denn oft führt die fehlende Fachkenntnis im eigenen Hause zu höheren Kosten und einem höheren Haftungsrisiko für die Geschäftsführung.

Der Präsident des Bayerischen Landesamtes für Datenschutzaufsicht, Thomas Kranig, kritisierte, „mit der zahlenmäßigen Lockerung wird der Bundesgesetzgeber der Wirtschaft einen Bärendienst erweisen. [..]“

Zum Glück gibt es kein Bestellungsverbot.

Auch wenn Sie zur Bestellung eines Datenschutzbeauftragten nicht verpflichtet sind, so können Sie dennoch einen bestellen.

Dieser stellt nicht nur initial die DSGVO Konformität her, sondern kümmert sich auch fortlaufend um die Einhaltung der Vorgaben.

Das muss auch gar nicht teuer sein. Einen Datenschutzbeautragten gibt es für kleine Unternehmen auch für kleines Geld.