Sie beschäftigen mehrere Angestellte? Hier erfahren Sie, ab wann ein Datenschutzbeauftragter Pflicht ist und was Sie beachten müssen. In diesem Beitrag erklären wir die Datenschutzbeauftragter Pflicht und ihre Bedeutung für Unternehmen.
Inhaltsverzeichnis
- Ab wann ist ein Datenschutzbeauftragter Pflicht?
- Weniger als 20 Mitarbeiter: Dennoch Pflicht zur Benennung eines Datenschutzbeauftragten?
- Wer kann Datenschutzbeauftragter sein?
- Welche Voraussetzungen muss ein DSB erfüllen?
- Was passiert, wenn Sie der Benennungspflicht des DSB nicht nachkommen?
- Anforderung an die Benennung des Datenschutzbeauftragten
- Keine Entwarnung für die, die keinen Datenschutzbeauftragten brauchen
- Externer Datenschutzbeauftragter – Achten Sie auf transparente Kosten
- FAQ Datenschutzbeauftragter Pflicht
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Wenn mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, müssen Unternehmen in Deutschland einen Datenschutzbeauftragten benennen (siehe § 38 BDSG). Bei der Bemessung der Anzahl der Beschäftigten werden und Praktikanten sowie Beschäftigte im Home-Office oder in der Telearbeit vollständig berücksichtigt.
- Voll- und Teilzeitkräfte
- Leiharbeitnehmer
- Auszubildende,
- freie Mitarbeiter
- Praktikanten
- Beschäftigte im Homeoffice
- Mitarbeiter Telearbeit
vollständig berücksichtigt. Wichtig dabei ist, dass die Mitarbeiter regelmäßig und automatisiert Daten verarbeiten. Dies liegt zum Beispiel bereits dann vor, wenn die Personen ständig Zugang zu E-Mail-Systemen oder anderen Softwareprogrammen im Bereich Buchhaltung, Marketing oder dem Sales-Bereich haben. Nicht gemeint sind Personen, die nichts oder nur selten mit der umfangreichen Verarbeitung personenbezogener Daten zu tun haben, wie Reinigungskräfte, Lagerarbeiter oder LKW-Fahrer. Sinken die Mitarbeiter kurzzeitig auf eine Anzahl unterhalb der Grenze von zwanzig Mitarbeitern führt dies nicht zum Wegfall der Benennungspflicht. Entscheidend ist der durchschnittliche Personalbestand innerhalb eines Geschäftsjahres.
Weniger als 20 Mitarbeiter: Dennoch Pflicht zur Benennung eines Datenschutzbeauftragten?
Ja, auch unterhalb der 20-Personen-Schwelle ist ist die Pflicht zur Benennung eines Datenschutzbeauftragten relevant, wenn die Haupttätigkeit des Unternehmens darin besteht, regelmäßig und systematisch personenbezogene Daten zu beobachten, zum Beispiel: Adresshandel, Markt- und Meinungsforschung, datengesteuerte Marketingaktivitäten auf Basis detaillierter Kunden- und Interessentenprofile, Auskunfteien z.B. Scoring zu Zwecken der Kreditvergabe oder Versicherungsprämien, Standortverfolgung, Daten in Alltagsgegenständen (z.B. smarte Home-fähige Geräte). Wenn besonders sensible Daten verarbeitet werden, wie Gesundheitsdaten, besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten unabhängig von der Mitarbeiterzahl.
Wer kann Datenschutzbeauftragter sein?
Die Tätigkeit als Datenschutzbeauftragter kann durch einen eigenen Mitarbeiter ausgeführt werden, wenn dieser persönlich und fachlich geeignet ist (sog. interner Datenschutzbeauftragter). In diesem Fall überträgt der Geschäftsführer einem Angestellten (als „Teilzeit“-Tätigkeit neben seinen eigentlichen Aufgaben) des Unternehmens die Funktion des DSB.
Im Gegensatz dazu wird ein externer Datenschutzbeauftragter auf Basis eines Dienstleistungsvertrages für das Unternehmen tätig. Interne und externe Datenschutzbeauftragte (DSB) unterscheiden sich in einigen Punkten, wie z. B. Fachkunde, Praxiserfahrung, Haftung, Kündigungsschutz, Akzeptanz im Unternehmen und Kosten Datenschutzbeauftragter. Ob es sich lohnt, einen Angestellten zum internen Datenschutzbeauftragten auszubilden und welche Vor- bzw. Nachteile die beiden Optionen haben, erfahren Sie in unserem Artikel „interner vs. externer Datenschutzbeauftragter“.
Welche Voraussetzungen muss ein DSB erfüllen?
Die umfassende Fachkunde auf dem Gebiet des Datenschutzrechts ist unerlässlich, damit ein effektiver Schutz personenbezogener Daten durch den Datenschutzbeauftragten sichergestellt werden kann. Folgende Kompetenzen sollte ein DSB mitbringen:
Technisches Grundverständnis:
Um den fachgerechten Einsatz der Datenverarbeitungsprogramme sicherzustellen, muss der DSB über ein technisches Grundverständnis verfügen. Nur mit technischem Sachverstand lässt sich beurteilen, ob einzelne Datenverarbeitungen den datenschutzrechtlichen Vorgaben genügen.
Know-how in juristischen und organisatorischen Fragen:
Darüber hinaus sind ebenso tiefergehende juristische und betriebliche Kenntnisse erforderlich.
Interesse an Weiterbildung:
Ein starkes Interesse an kontinuierlicher Weiterbildung ist von Vorteil. Die ständige Weiterentwicklung der Technologien und der Datenschutzpraxis zwingen den Datenschutzbeauftragten, sich regelmäßig mit neuen Gesetzen, Gerichtsurteilen und behördlichen Empfehlungen zu befassen.
Gute Kommunikationsfähigkeiten:
Es gehört zum Job des DSB, die oftmals unbeliebten Datenschutzthemen bei seinen Kollegen anzusprechen. Ein Datenschutzbeauftragter benötigt daher ausgeprägte Kommunikationsfähigkeiten, um komplexe Lösungsansätze in einfacher und verständlicher Form dort zu vermitteln, wo es gebraucht wird.
Bei der Auswahl eines externen Datenschutzbeauftragten sollte man auf eine Zertifizierung durch einen vertrauenswürdigen Schulungsanbieter, z.B. TÜV, DEKRA, IHK, GDD, achten. Was einen guten Datenschutzbeauftragten auszeichnet und worauf bei der Auswahl eines guten Datenschutzbeauftragten zu achten ist, erfahren Sie in unserem Blog „8 Tipps zur Auswahl eines guten Datenschutzbeauftragten“.
Was passiert, wenn Sie der Benennungspflicht des DSB nicht nachkommen?
Sind die Voraussetzungen für die Pflicht zur Benennung eines Datenschutzbeauftragten nach Art. 37 DS-GVO bzw. § 38 BDSG erfüllt, stellt die fehlende Benennung einen Verstoß gegen die DSGVO dar. Das stellt ein hohes Risiko dar, denn Datenschutzverstöße können mit Bußgeldern von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes bestraft werden. Abgesehen von den finanziellen Konsequenzen hat eine solche Missachtung auch Auswirkungen auf den Ruf Ihres Unternehmens. Ihre Kunden vertrauen darauf, dass Sie ihre Daten sicher und sorgfältig behandeln. Wenn bekannt wird, dass Sie (sensible) Informationen nicht angemessen verarbeiten, droht ein erheblicher Imageverlust. Es ist daher ratsam, das Risiko nicht einzugehen, eine freiwillige Benennung eines Datenschutzbeauftragten durchzuführen und Ihren Datenschutz-Pflichten nachzukommen.
Anforderung an die Benennung des Datenschutzbeauftragten
Die Erklärung der Benennung ist nicht an eine bestimmte Form gebunden. Aus Gründen der Beweisbarkeit bei einer Benennungspflicht empfiehlt sich weiterhin zumindest eine Benennung in Textform (§ 126 b BGB). Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen (z.B. in der Datenschutzinformation auf der Unternehmenswebseite) und sind der jeweiligen zuständigen Aufsichtsbehörde des Landes zu melden.
Keine Entwarnung für die, die keinen Datenschutzbeauftragten brauchen
Nach Prüfung aller Vorgaben ist in Ihrem Unternehmen ein Datenschutzbeauftragter rechtlich gesehen nicht nötig? Dennoch haben Sie und Ihre Mitarbeiter mit der Verarbeitung besonderer personenbezogener Daten zu tun. Daher ist ein Hinweis am Ende wichtig: Die strengen Vorgaben zum Schutz von Daten und zur IT-Sicherheit aus der DSGVO und dem BDSG gelten auch für kleinere Unternehmen weiter – egal, ob ein Datenschutzbeauftragter bestellt werden muss oder nicht.
Externer Datenschutzbeauftragter – Achten Sie auf transparente Kosten
Für routinemäßige Arbeiten eines externen Datenschutzbeauftragten sind monatliche Pauschalgebühren keine Seltenheit. Diese Pauschalgebühren müssen nicht unbedingt kostspielig sein. Oftmals bieten Pauschalmodelle preisliche Vorteile durch niedrigere Stundensätze. Hier erhalten Sie weitere Informationen zu den Kosten eines Datenschutzbeauftragten und einen Kostenvergleich zwischen dem internen und externen DSB.
Bei der Auswahl eines externen Datenschutzbeauftragten ist es wichtig, auf transparente Kosten zu achten. Klare Vereinbarungen über die Abrechnungsmodelle und Leistungen sollten getroffen werden, um mögliche Missverständnisse zu vermeiden und eine vertrauensvolle Zusammenarbeit zu gewährleisten. Neben der Prüfung des Leistungsumfangs sollten Sie auch die Stundenanzahl des Beratungskontingents und die Höhe der Stundensätze bei zusätzlich anfallenden Aufwänden prüfen. Neben den Kosten sollten Sie jedoch auch noch auf weitere Aspekte bei der Auswahl des passenden Dienstleisters achten. Worauf man bei der Wahl des richtigen Datenschutzbeauftragten achten sollte und was dieser alles können muss, erfahren Sie in unserem Artikel „Tipps zur Auswahl eines guten Datenschutzbeauftragten“.
Wir unterstützen Sie!
Unsere Datenschutzbeauftragten stehen Ihnen bei allen Fragen des Datenschutzes zur Seite. Wir sind ausgebildete Juristen und IT-Fachkräfte mit Schwerpunkt Datenschutz und Informationssicherheit. Unser Angebot zur Benennung zum externen Datenschutzbeauftragten kombiniert Datenschutz-Fachwissen mit rechtlichen, betriebswirtschaftlichen und technischen Kenntnissen. Alle unsere Datenschutzberater sind zertifiziert und besitzen eine umfassende Fachkunde auf dem Gebiet des Datenschutzrechts. Mit uns erfüllen Sie alle Vorgaben der Datenschutz-Grundverordnung. Wir helfen Ihnen beispielsweise bei der Erreichung einer datenschutzkonformen Internetpräsenz oder bei der Bewertung von Datenschutzverletzungen und der Beantwortung von Betroffenenanfragen.
FAQ Datenschutzbeauftragter Pflicht
Wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, muss ein Datenschutzbeauftragter benannt werden. Dies gilt auch bei Unternehmen unterhalb dieser Schwelle, bei besonders sensiblen oder umfangreichen Datenverarbeitungen.
Arbeitgeber sollten beachten, dass ein in Deutschland einmal benannter interner Datenschutzbeauftragter einen besonderen Kündigungsschutz genießt. Damit ist eine ordentliche Kündigung des Arbeitsverhältnisses innerhalb eines Jahres weiter unzulässig. Bei externen Datenschutzbeauftragten ist die Situation anders. Diese sind keine Arbeitnehmer des Unternehmens, sie unterfallen damit nicht dem Kündigungsschutz nach § 6 Abs. 4 BDSG.
Die Benennung eines externen Datenschutzbeauftragten ist zulässig. Datenschutzbeauftragte können ihre Aufgaben auch auf Grundlage eines Dienstleistungsvertrages ausüben.