Wann wird ein Datenschutzbeauftragter benötigt?

Wer muss einen Datenschutzbeauftragten benennen?

Zur Benennung verpflichtet sind Behörden, Unternehmen und Private deren Datenverarbeitung ein hohes Gefahrenpotenzial für das Persönlichkeitsrecht der von der Datenverarbeitung Betroffenen innehat (vgl. Art. 37 DSGVO).

 

Ab wann wird ein Datenschutzbeauftragter benötigt?

 

Unternehmen mit 10 Mitarbeitern die „ständig“ personenbezogene Daten verarbeiten, benötigen in jedem Fall einen Datenschutzbeauftragten gem. Art. 37 DSGVO i. V. m. §§ 5, 38 Abs. 1 BDSG. Bei der Ermittlung der Mitarbeiterzahl ist es allerdings unerheblich, ob die Mitarbeiter voll- oder teilzeitbeschäftigt sind. Ebenso werden freie Mitarbeiter oder Leiharbeitnehmer, Auszubildende, Volontäre und Praktikanten miteinbezogen. Dabei ist zu beachten, dass die Person regelmäßig und ständig mit der automatisierten Datenverarbeitung befasst ist. Kurzfristige Schwankungen der Tätigkeiten sind unerheblich. Als maßgeblichen Zeitraum für die Betrachtungsweise wird regelmäßig ein Jahr betrachtet (Kühling/Buchner, „DSGVO und BDSG-Kommentar“, 2. Auflage 2018).

 

Ist die Kerntätigkeit des Unternehmens personenbezogene Daten geschäftsmäßig zu übermitteln bzw. zu erheben und zu verarbeiten oder für Markt- und Meinungsforschung automatisiert zu verarbeiten, ist die Bestellung eines Datenschutzbeauftragten – unabhängig von der Anzahl der Beschäftigten – ebenfalls eine Verpflichtung (vgl. Art. 37 DSGVO, §§ 5, 38 BDSG). Dieses Erfordernis gilt auch für die Geschäfte bei der die Verarbeitung einer Vorabkontrolle unterliegt, da hierbei rechtlich unterstellt wird, dass von der Verarbeitung der Daten besondere Risiken ausgehen (vgl. § 4f BDSG a. F.). Hierzu ist nunmehr eine Datenschutzfolgeabschätzung nötig, die unter 10 Mitarbeitern auch vom Geschäftsführer erledigt werden kann aber in jedem Fall muss. Als Musterbespiele für die risikoreiche Verarbeitung von Daten gelten Auskunfteien, Detekteien, Bewachungsunternehmen, Personal- und Partnervermittlungen oder ein zielgruppenorientierter Online-Werbemarkt. Aber auch zum Teil Bewerbungsprozesse oder die Verarbeitung großer Datenmengen.

 

Fazit:

Grundsätzlich ab 10 Mitarbeitern die „ständig“ mit der automatisierten Verarbeitung von personenbezogen Daten gem. Art. 37 Abs. 4 DSGVO umgehen; alternativ mit sensiblen Daten gem. Art. 9 DSGVO.

 

Wenn besondere Kategorien von personenbezogenen Daten verarbeitet werden, die über Rasse, ethnische Herkunft, politische Meinung und Zugehörigkeit, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren, besteht eine Verpflichtung unabhängig von der Anzahl der Mitarbeiter.

 

Ist die Kerntätigkeit des Unternehmens, personenbezogene Daten geschäftsmäßig zu übermitteln bzw. zu erheben und zu verarbeiten, ist die Bestellung eines Datenschutzbeauftragten, ebenfalls unabhängig von der Anzahl der Beschäftigten, eine Verpflichtung.

 

Welche Gründe gibt es noch?

 

Darüber hinaus wird ein Datenschutzbeauftragter benötigt, wenn das Unternehmen besonders sensible Daten gem. Art. 9 DSGVO verarbeitet; die Anzahl der Mitarbeiter ist hierbei unerheblich. Dies hat den Hintergrund, dass personenbezogene Daten, die ihrem Wesen nach hinsichtlich der Grundrechte und Grundfreiheiten besonders sensibel sind, einen besonderen Schutz benötigen, da im Zusammenhang mit ihrer Verarbeitung erhebliche Risiken für die Grundrechte und Grundfreiheiten auftreten können (Erwägungsgrund der DSGVO Nr. 51).

 

Es handelt es sich kurz gesagt, um ein sogenanntes informationelles Diskriminierungsverbot. Daher ist besondere Vorsicht bei der Einschätzung geboten. Die Tätigkeiten sollten individuell im geschäftlichen Kontext vorqualifiziert werden. Erfahrungsgemäß ist es dabei hilfreich eine Gegenüberstellung von verarbeiteten Personen und Stellen, der Art der Verarbeitung sowie die ergriffenen Schutzmaßnahmen zu erstellen und schließlich gemäß dem höchstrichterlich anerkannten Verhältnismäßigkeitsgrundsatzes (Legitimer Zweck, Geeignetheit, Erforderlichkeit, Angemessenheit und Verhältnismäßigkeit im engeren Sinn) auszuwerten. Unser zweites Steckenpferd die Projektmanagementtätigkeit hat sich für diesen Zweck als äußerst hilfreich erwiesen, um vor allem auch kompliziertere Vorgänge noch überblicken zu können.

 

Insbesondere zählen zu den personenbezogenen Daten Informationen über die Rasse, die ethnische Herkunft, politische Meinung und Zugehörigkeit, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person.