Ab wann ist ein Datenschutzbeauftragter Pflicht?

Sie beschäftigen mehrere Angestellte? Hier erfahren Sie, ab wann ein Datenschutz­beauftragter Pflicht ist und was Sie beachten müssen.

Ab wann ist ein Datenschutzbeauftragter Pflicht?

Wenn mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen Unternehmen in Deutschland einen Datenschutzbeauftragten benennen.  Bei der Bemessung der Anzahl der Beschäftigten werden und Praktikanten sowie Beschäftigte im Home-Office oder in der Telearbeit vollständig berücksichtigt.

• Voll- und Teilzeitkräfte
• Leiharbeitnehmer
•  Auszubildende,
• freie Mitarbeiter
• Praktikanten
• Beschäftigte im Homeoffice
• Mitarbeiter Telearbeit

vollständig berücksichtigt. Wichtig dabei ist, dass die Mitarbeiter regelmäßig und automatisiert Daten verarbeiten. Dies liegt zum Beispiel bereits dann vor, wenn die Personen ständig Zugang zu E-Mail-Systemen oder anderen Softwareprogrammen im Bereich Buchhaltung, Marketing oder dem Sales-Bereich haben. Nicht gemeint sind Personen, die nichts oder nur selten mit der umfangreichen Verarbeitung personenbezogener Daten zu tun haben, wie Reinigungskräfte, Lagerarbeiter oder LKW-Fahrer. Sinken die Mitarbeiter kurzzeitig auf eine Anzahl unterhalb der Grenze von zwanzig Mitarbeitern führt dies nicht zum Wegfall der Benennungspflicht. Entscheidend ist der durchschnittliche Personalbestand innerhalb eines Geschäftsjahres.

Weniger als 20 Mitarbeiter: Dennoch Pflicht zur Benennung eines Datenschutzbeauftragten?

Ja, auch unterhalb der 20-Personen-Schwelle  ist ist die Pflicht zur Benennung eines Datenschutzbeauftragten relevant, wenn die Haupttätigkeit des Unternehmens darin besteht, regelmäßig und systematisch personenbezogene Daten zu beobachten, zum Beispiel: Adresshandel, Markt- und Meinungsforschung, datengesteuerte Marketingaktivitäten auf Basis detaillierter Kunden- und Interessentenprofile, Auskunfteien z.B. Scoring zu Zwecken der Kreditvergabe oder Versicherungsprämien, Standortverfolgung, Daten in Alltagsgegenständen (z.B. smarte Home-fähige Geräte). Wenn besonders sensible Daten verarbeitet werden, wie Gesundheitsdaten, besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten unabhängig von der Mitarbeiterzahl.

Wer kann Datenschutzbeauftragter sein?

Die Tätigkeit als Datenschutzbeauftragter kann durch einen eigenen Mitarbeiter ausgeführt  werden, wenn dieser persönlich und fachlich geeignet ist (sog. interner Datenschutzbeauftragter). In diesem Fall überträgt der Geschäftsführer einem Angestellten (als „Teilzeit“-Tätigkeit neben seinen eigentlichen Aufgaben) des Unternehmens die Funktion des DSB. 
Im Gegensatz dazu wird ein externer Datenschutzbeauftragter auf Basis eines Dienstleistungsvertrages für das Unternehmen tätig. Interne und externe Datenschutzbeauftragte (DSB) unterscheiden sich in einigen Punkten, wie z. B. Fachkunde, Praxiserfahrung, Haftung, Kündigungsschutz, Akzeptanz im Unternehmen und  Kosten Datenschutzbeauftragter. Ob es sich lohnt, einen Angestellten zum internen Datenschutzbeauftragten auszubilden und welche Vor- bzw. Nachteile die beiden Optionen haben, erfahren Sie in unserem Artikel „interner vs. externer Datenschutzbeauftragter“.

Welche Voraussetzungen muss ein DSB erfüllen?  

Die umfassende Fachkunde auf dem Gebiet des Datenschutzrechts ist unerlässlich, damit ein effektiver Schutz personenbezogener Daten durch den Datenschutzbeauftragten sichergestellt werden kann. Folgende Kompetenzen sollte ein DSB mitbringen: 

Bei der Auswahl eines  externen Datenschutzbeauftragten sollte man auf eine Zertifizierung durch einen vertrauenswürdigen Schulungsanbieter, z.B. TÜV, DEKRA, IHK, GDD, achten. Was einen guten Datenschutzbeauftragten auszeichnet und worauf bei der Auswahl eines guten Datenschutzbeauftragten zu achten ist, erfahren Sie in unserem Blog „8 Tipps zur Auswahl eines guten Datenschutzbeauftragten“.

Was passiert, wenn Sie der Benennungspflicht des DSB nicht nachkommen?

Sind die Voraussetzungen für die Benennungspflicht nach Art. 37 DS-GVO bzw. § 38 BDSG erfüllt, stellt die fehlende Benennung einen Verstoß gegen die DSGVO dar. Das stellt ein hohes Risiko dar, denn Datenschutzverstöße  können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bestraft werden. Abgesehen von den finanziellen Konsequenzen hat eine solche Missachtung auch Auswirkungen auf den Ruf Ihres Unternehmens. Ihre Kunden vertrauen darauf, dass Sie ihre Daten sicher und sorgfältig behandeln. Wenn bekannt wird, dass Sie (sensible) Informationen nicht angemessen verarbeiten, droht ein erheblicher Imageverlust. Es ist daher ratsam, das Risiko nicht einzugehen, eine freiwillige Benennung eines Datenschutzbeauftragten durchzuführen und Ihren Datenschutz-Pflichten nachzukommen. 

Anforderung an die Benennung

Die Erklärung der Benennung ist nicht an eine bestimmte Form gebunden. Aus Gründen der Beweisbarkeit bei einer Benennungspflicht empfiehlt sich weiterhin zumindest eine Benennung in Textform (§ 126 b BGB). Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen (z.B. in der Datenschutzinformation auf der Unternehmenswebseite) und sind der jeweiligen zuständigen Aufsichtsbehörde des Landes  zu melden.

Keine Entwarnung für die, die keinen Datenschutzbeauftragten brauchen

Nach Prüfung aller Vorgaben ist in Ihrem Unternehmen ein Datenschutzbeauftragter rechtlich gesehen nicht nötig? Dennoch haben Sie und Ihre Mitarbeiter mit der Verarbeitung besonderer personenbezogener Daten zu tun. Daher ist ein Hinweis am Ende wichtig: Die strengen Vorgaben zum Schutz von Daten und zur IT-Sicherheit aus der DSGVO und dem BDSG gelten auch für kleinere Unternehmen weiter – egal, ob ein Datenschutzbeauftragter bestellt werden muss oder nicht.

Externer Datenschutzbeauftragter – Achten Sie auf transparente Kosten

Für routinemäßige Arbeiten eines externen Datenschutzbeauftragten sind monatliche Pauschalgebühren keine Seltenheit. Diese Pauschalgebühren müssen nicht unbedingt kostspielig sein. Oftmals bieten Pauschalmodelle preisliche Vorteile durch niedrigere Stundensätze. Hier erhalten Sie weitere Informationen zu den Kosten eines Datenschutzbeauftragten und einen Kostenvergleich zwischen dem internen und externen DSB.

Bei der Auswahl eines externen Datenschutzbeauftragten ist es wichtig, auf transparente Kosten zu achten. Klare Vereinbarungen über die Abrechnungsmodelle und Leistungen sollten getroffen werden, um mögliche Missverständnisse zu vermeiden und eine vertrauensvolle Zusammenarbeit zu gewährleisten. Neben der Prüfung des Leistungsumfangs sollten Sie auch die Stundenanzahl des Beratungskontingents und die Höhe der Stundensätze bei zusätzlich anfallenden Aufwänden prüfen. Neben den Kosten sollten Sie jedoch auch noch auf weitere Aspekte bei der Auswahl des passenden Dienstleisters achten. Worauf man bei der Wahl des richtigen Datenschutzbeauftragten achten sollte und was dieser alles können muss, erfahren Sie in unserem Artikel „Tipps zur Auswahl eines guten Datenschutzbeauftragten“.

Wir unterstützen Sie!

Unsere Datenschutzbeauftragten stehen Ihnen bei allen Fragen des Datenschutzes zur Seite. Wir sind ausgebildete Juristen und IT-Fachkräfte mit Schwerpunkt Datenschutz und Informationssicherheit. Unser Angebot zur Benennung zum externen Datenschutzbeauftragten kombiniert Datenschutz-Fachwissen mit rechtlichen, betriebswirtschaftlichen und technischen Kenntnissen. Alle unsere Datenschutzberater sind zertifiziert und besitzen eine umfassende Fachkunde auf dem Gebiet des Datenschutzrechts. Mit uns erfüllen Sie alle Vorgaben der Datenschutz-Grundverordnung. Wir helfen Ihnen beispielsweise bei der Erreichung einer datenschutzkonformen Internetpräsenz oder bei der Bewertung von Datenschutzverletzungen und der Beantwortung von Betroffenenanfragen.

FAQ Datenschutzbeauftragter Pflicht