Pflicht zur Bestellung eines/einer Datenschutzbeauftragten?

von Rechtsanwältin Karina Filusch, LL.M.

Seit einiger Zeit wenden wir nun die Datenschutzgrundverordnung (DSGVO) an. Laut Umfragen haben sich die meisten Unternehmen noch nicht auf die neuste Rechtslage eingestellt oder sind gerade dabei. Die DSGVO erfordert Änderungen und Umstrukturierungen im Unternehmen, Verbänden und Vereinen. Eine davon ist die Benennung eines/einer Datenschutzbeauftragten. Diese*r Datenschutzbeauftragte kann ein*e interne*r Datenschutzbeauftragte*r sein oder ein*e externe*r Datenschutzbeauftragte*r.


Doch was ist der Unterschied zwischen internen Datenschutzbeauftragten und externen Datenschutzbeauftragten?


In Kürze: Interne Datenschutzbeauftragte sind Angestellte des Unternehmens, die neben der normalen Tätigkeiten zusätzlich die Tätigkeiten eines/einer internen Datenschutzbeauftragten übernehmen. Ein*e externe*r Datenschutzbeauftragte*r ist jemand, der/die von außen in das Unternehmen geholt wird und für dieses tätig wird. Oft handelt es sich dabei um Rechtsanwälte, da sie gleichzeitig eine rechtliche Beratung vornehmen können, was beispielsweise einem/einer Informatiker*in verwehrt ist. Ausführlicher habe ich diese Frage in diesem Blogpost erläutert.


Doch wann muss ein*e Datenschutzbeauftragte*r bestellt werden?
Hier eine Aufzählung:

  • Behörden und öffentliche Stellen müssen immer eine*n Datenschutzbeauftragte*n bestellen.
  • Darunter fallen unter Umständen auch Unternehmen, wenn sie öffentliche Aufgaben wahrnehmen wie z.B. der bezirkliche Schornsteinfeger, der auch eine*n Datenschutzbeauftragte*n bestellen muss.
  • Auch Unternehmen, Verbände und Vereine, in denen mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, sind verpflichtet eine*n Datenschutzbeauftragte*n zu bestellen. Dies ist bereits erfüllt, wenn ein*e Beschäftigte*r über ein E-Mail-Postfach verfügt!
  • Unternehmen, Verbände und Vereine, deren Kerntätigkeit die Verarbeitung personenbezogener Daten ist, müssen immer einen Datenschutzbeauftragten bestellen. Unabhängig von der Mitarbeiter*innenzahl! Kerntätigkeit meint hier die Haupttätigkeit des Unternehmens. Darunter fallen auch Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung verarbeiten. Auskunfteien, Institute für Markt- oder Meinungsforschung und Unternehmen des Adresshandels sind Beispiele für solche Unternehmen.
  • Auch Unternehmen, Verbände und Vereine, deren Kerntätigkeit die Verarbeitung sogenannter sensibler Daten (z. B. Sozial- oder Gesundheitsdaten) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten umfasst, sind verpflichtet, einen Datenschutzbeauftragten zu bestellen. Auch dies ist unabhängig von der Anzahl der Mitarbeiter.
  • Auch Unternehmen, Verbänden und Vereinen, die einer sog. Datenschutz-Folgeabschätzung unterliegen, sind verpflichtet, eine*n Datenschutzbeauftragte*n unabhängig von der Mitarbeiterzahl zu bestellen.

Die DSGVO hält einen Vorteil parat für Unternehmensgruppen: Ein Konzern kann unter bestimmten Umständen für die ganze Unternehmensgruppe nur eine*n gemeinsame*n Datenschutzbeauftragte*n ernennen.


Die Frage danach, ob ein*e Datenschutzbeauftragte*r bestellt werden muss, ist also nicht so einfach zu beantworten. Lass Dich im Zweifel rechtlich beraten, ob Du eine*n Datenschutzbeauftragte*n benötigst. Eine Beratung kann vor Folgekosten durch Abmahnungen und Bußgelder schützen und ist in den meisten Fällen günstiger.

Meine Kanzlei unterstützt Dich gerne bei dieser Frage und auch bei anderen datenschutzrechtlichen Fragen. Komm gerne für ein Angebot auf mich zu. Ich freue mich auf Deinen Anruf oder Deine E-Mail!

Beitragsbild: © Jorma Bork / PIXELIO

Kontakt

Rechtsanwältin und externe Datenschutzbeauftragte (TÜV Nord)
Karina Izabela Filusch, LL.M.

Friedrichstraße 95
10117 Berlin

Nähe S-/U-Bhf. Friedrichstraße

Tel.: 030 219 11 555
Mobil: 0170 23 85 788

Telefonische Sprechzeiten:
Mo – Do: 9:00 – 18:00 Uhr
Fr: 9:00 – 15:00 Uhr

E-Mail:
hallo@dasou.law

Sie können auch verschlüsselt mit uns kommunizieren.

    * Pflichtangaben