Die Datenschutz-Grundverordnung (DSGVO) hat viele Unternehmen vor große Herausforderungen gestellt, insbesondere wenn es um den Datenschutzbeauftragten geht. Aber wer ist überhaupt betroffen? Die Antwort ist einfach: Jedes Unternehmen, das personenbezogene Daten verarbeitet, unabhängig davon, ob dies online oder in Papierform geschieht. Doch wann wird ein Datenschutzbeauftragter gesetzlich vorgeschrieben?
Die magische 10-Mitarbeiter-Grenze
Der Datenschutzbeauftragte spielte bereits vor Inkrafttreten der DSGVO eine wichtige Rolle für den Datenschutz in Unternehmen. Mit der neuen Rechtsprechung hat seine Bedeutung jedoch deutlich zugenommen.
Das Bundesdatenschutzgesetz (BDSG) gibt vor, wann Unternehmen verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Es gibt drei wesentliche Voraussetzungen, die Sie als Unternehmer prüfen müssen:
#1 Beschäftigung von mindestens zehn Mitarbeitern, die personenbezogene Daten automatisiert verarbeiten
Es spielt keine Rolle, ob es sich um Festangestellte, Werkstudenten oder Freelancer handelt. Da diese Tätigkeiten maschinell ausgeführt werden, wird davon ausgegangen, dass personenbezogene Daten automatisiert verarbeitet werden.
#2 Geschäftsmäßige Übermittlung, Erhebung oder Verarbeitung personenbezogener Daten
Dies betrifft Unternehmen, die zum Beispiel Marktforschung betreiben. Die Anzahl der Mitarbeiter spielt hier keine Rolle mehr. Allerdings trifft dies auf die wenigsten Unternehmen zu. Ein Online-Shop beispielsweise hat seine Haupttätigkeit im Verkauf von Produkten und nicht in der Auswertung von Marktdaten.
#3 Verarbeitung von besonders sensiblen Daten
Dazu gehören beispielsweise Bankdaten. Wenn Sie solche Daten verarbeiten, ist es unerheblich, wie viele Mitarbeiter Sie beschäftigen. In solchen Fällen besteht die Verpflichtung, einen Datenschutzbeauftragten zu bestellen.
Sobald eine dieser Voraussetzungen erfüllt ist, müssen Sie unbedingt einen Datenschutzbeauftragten bestellen.
Zu #1 Wer zählt zu diesen 10 Personen?
Während unter Punkt #2 und #3 unabhängig von der Personenzahl ein Datenschutzbeauftragter erforderlich ist, sieht es unter Punkt #1 anders aus. Hier ist eine Mindestzahl von 10 Mitarbeitern erforderlich, die mit der Verarbeitung personenbezogener Daten in Ihrem Unternehmen beschäftigt sind.
Zur Erläuterung: Als “personenbezogene Daten” gelten Informationen, die über persönliche oder sachliche Verhältnisse Auskunft geben:
„(…) als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“ (Art. 4 Nr. 1 DSGVO)
Mit “Verarbeitung” ist gemeint:
„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“ (Art. 4 Nr. 2 DSVGO)
Um als Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt zu sein, reicht es aus, Zugriff auf solche Daten zu haben. Ein Werkstudent, der beispielsweise Kundendaten am Computer verarbeitet, fällt unter die 10-Mitarbeiter-Grenze. Ein Mitarbeiter, der nur Briefe in Umschläge steckt, hingegen nicht.
Das heißt jetzt genau? Prüfung des Einzelfalls
Ob Sie einen Datenschutzbeauftragten benötigen, hängt immer vom Einzelfall ab und erfordert eine genaue Prüfung. Grundsätzlich lässt sich jedoch zusammenfassend sagen, dass Sie unbedingt einen Datenschutzbeauftragten benötigen, wenn Sie mindestens 10 Mitarbeiter beschäftigen und diese personenbezogene Daten verarbeiten.
Wenn Sie dieser Verpflichtung nicht nachkommen, müssen Sie mit hohen Bußgeldern rechnen. Prüfen Sie daher sorgfältig, ob Sie einen Datenschutzbeauftragten bestellen müssen oder nicht. Beachten Sie auch, dass die Kontaktdaten des Datenschutzbeauftragten sichtbar veröffentlicht werden müssen, beispielsweise in der Datenschutzerklärung auf Ihrer Website. Andernfalls besteht auch hier ein Abmahnrisiko.