Orientierungshilfe zur Benennungspflicht - Ab wann braucht man einen Datenschutzbeauftragten?
Ab wann ist ein Datenschutzbeauftragter zu benennen?
Unter welchen Kriterien Unternehmen einen Datenschutzbeauftragten zu benennen haben, hängt von mehreren Faktoren ab. Es geht unter anderem darum, wieviele Beschäftigte im Unternehmen personenbezogene Daten verarbeiten, oder wie hoch das Risiko für einen Betroffenen ist, wenn die Daten in die Hände Dritter gelangen. Um sich ein Bild zu machen, muss man sich zunächst mit den Begriffen auseinandersetzen, welche die DSGVO verwendet. Was bedeutet "Verarbeitung"? Was ist ein "Dritter" und welche Verarbeitungen haben ein hohes Risiko? Wir klären auf und geben Ihnen zunächst einen schnellen Überblick!Die Frage: "Ab wann braucht man einen Datenschutzbeauftragten?" lässt sich am besten mit einem Blick auf Art. 37 DSGVO sowie § 38 BDSG beantworten.
Eine Benennungspflicht besteht unter folgenden Voraussetzungen:
Unternehmensgröße/ Mitarbeiterzahl
Sind im Unternehmen mindestens 20 Mitarbeiter beschäftigt, welche personenbezogene Daten regelmäßig automatisiert verarbeiten ist es erforderlich, dass ein betrieblicher Datenschutzbeauftragter benannt wird.Detailgrad der Daten
Werden sensible Daten verarbeitet, die Auskunft geben über Rasse, ethnischer Herkunft, politischer Meinung, religiöser Überzeugung, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person, besteht ebenfalls die Pflicht zur Benennung eines betrieblichenDatenschutzbeauftragten.
Geschäftsfeld
Besteht die Kerntätigkeit des Unternehmens in der Übermittlung von personenbezogenen Daten, ist es ebenfalls erforderlich, dass ein betrieblicher Datenschutzbeauftragter benannt wird, unabhängig von der Mitarbeiterzahl im Unternehmen.Risiko bei der Verarbeitung
Werden Daten verarbeitet welche eine Datenschutz Folgenabschätzung benötigen, ist die Benennung eines betrieblichen Datenschutzbeauftragten ebenfalls zwingend notwendig. Hierunter fällt zum Beispiel die systematische Videoüberwachung öffentlicher Bereiche.Ergänzungen zur Unternehmensgröße bei der Benennungspflicht zum Datenschutzbeauftragten
Ergänzend zu der Anzahl der Mitarbeiter lässt sich festhalten, dass alle Beschäftigten, welche personenbezogene Daten elektronisch verarbeiten mitzuzählen sind. Hierunter fallen auch Mitarbeiter, welche an einem Computerarbeitsplatz theoretisch die Möglichkeit haben eine Kundendatenbank anzuschauen, obwohl sie sonst gar nicht im Kundenkontakt stehen (trifft zum Beispiel auf technisches Personal mit regelmäßigen Computerarbeitsplatz zu). Auch Monteure im Außendienst, welche zum Beispiel Zugriff auf eine Kundenhistorie haben fallen hierunter.
Ausklammern kann man nur Mitarbeiter, welche keinerlei Kundendaten (an einem Computerarbeitsplatz) zu sehen bekommen, wie zum Beispiel das Reinigungspersonal, oder Mechaniker in einem Autohaus, welche lediglich einen ausgedruckten Reparaturauftrag abarbeiten. Das Ablesen von Kundendaten von einem Reparaturauftrag stellt zwar ebenfalls eine Verarbeitung dar, jedoch keine automatisierte. Wenn ein Unternehmen nichtautomatisierte Datenverarbeitungen durchführt ist ein Datenschutzbeauftragter ab einer Mitarbeiteranzahl von 20 Beschäftigten zu benennen.
Datenschutz Folgenabschätzung und die Benennungspflicht zum Datenschutzbeauftragten
Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht auch immer dann, wenn aufgrund des Risikos der Verarbeitung eine sogenannte Datenschutz Folgenabschätzung gemäß Art. 35 DSGVO durchzuführen ist. Dies ist immer dann der Fall, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.
In der Praxis trifft dies zum Beispiel auf alle Unternehmen zu, die eine Videoüberwachung installiert haben in einem öffentlich zugänglichen Bereich.
In der Praxis trifft dies zum Beispiel auf alle Unternehmen zu, die eine Videoüberwachung installiert haben in einem öffentlich zugänglichen Bereich.
Unter öffentlich zugänglich wiederum ist jeder Bereich gemeint, welcher theoretisch von Personen betreten werden könnte, unabhängig davon, ob das Betreten möglicherweise sogar verboten ist. Um einen Bereich als nicht öffentlich zugänglich zu definieren, muss dieser eingezäunt und absolut unzugänglich sein. Zudem muss ausgeschlossen sein, dass Personen wie Postboten oder Lieferdienste von der Videoüberwachung erfasst werden können. Ein Betriebsgelände mit einem Schild "Zugang verboten" zählt als öffentlich zugänglicher Bereich und erfordert eine Datenschutz Folgenabschätzung, was wiederum eine Pflicht zur Benennung eines Datenschutzbeauftragten nach sich zieht.
Die Frage "Ab wann braucht man einen Datenschutzbeauftragten?" lässt sich also auch damit beantworten: Sofern man als Unternehmer eine Videoüberwachung seiner öffentlich zugänglichen Räumlichkeiten oder seines Betriebsgeländes durchführen möchte und das unabhängig von der Anzahl der Beschäftigten.
Die Frage "Ab wann braucht man einen Datenschutzbeauftragten?" lässt sich also auch damit beantworten: Sofern man als Unternehmer eine Videoüberwachung seiner öffentlich zugänglichen Räumlichkeiten oder seines Betriebsgeländes durchführen möchte und das unabhängig von der Anzahl der Beschäftigten.
Benennung zum DatenschutzbeauftragtenUmsetzung eines kontinuierlichen Datenschutzkonzeptes
> mehr erfahren
Externer und interner Datenschutz im Vergleich - Welche Kosten entstehen?Ein externer Datenschutzbeauftragter in Unternehmen lohnt sich
> mehr erfahren
Datenschutz in der Region Bodensee Oberschwaben und AllgäuDatenschutzbeauftragter für Unternehmen mit regionalem Bezug
> mehr erfahren
Was bedeutet „Verarbeitung“ im Zusammenhang mit der DSGVO?
Unter „Verarbeitung“ versteht man im Prinzip jeden Vorgang der Verwendung von personenbezogenen Daten:Das Erheben, das Erfassen, das Organisieren, das Ordnen, das Speichern, das Anpassen oder Verändern, das Auslesen, das Abfragen, das Verwenden, das Offenlegen durch Übermitteln, Verbreiten oder eine andere Form des Bereitstellens, das Abgleichen oder Verknüpfen, das Einschränken, das Löschen oder Vernichten.
"Ab wann braucht man einen Datenschutzbeauftragten?"
Wie wir nun gelernt haben ist die Antwort auf die Frage "Ab wann braucht man einen Datenschutzbeauftragten?" sehr vielseitig und hat mehrere Aspekte zu berücksichtigen. Die Liste der aufgezeigten Beispiele ist bei weitem nicht vollständig und soll nur eine kleine Orientierungshilfe darstellen (ohne Anspruch auf Rechtsberatung). Unser Expertenteam aus Datenschutzbeauftragten beschäftigt sich jeden Tag mit der Thematik und würde sich freuen, wenn Sie uns bei Bedarf und Anregung kontaktieren.
