Quick Check – Wann muss ein Datenschutzbeauftragter bestellt werden?

Ist mein Unternehmen verpflichtet einen betrieblichen Datenschutzbeauftragten zu bestellen?

Es zeigt sich immer wieder in der täglichen Arbeit, dass bei Unternehmen hinsichtlich der Erforderlichkeit einer Bestellung eines Datenschutzbeauftragten erhebliche Unsicherheiten bestehen. Anhand folgender Ausführungen sollten sie selbst einschätzen können, ob sie verpflichtet sind einen Datenschutzbeauftragten zu bestellen.

Wann ist die Bestellung eines betrieblichen Datenschutzbeauftragten vorgeschrieben?

In § 4 f BDSG ist festgelegt, dass auch nicht-öffentliche Stellen (§ 2 Abs. 4 BDSG) verpflichtet sein können einen Datenschutzbeauftragten zu bestellen. Nicht öffentliche Stellen sind:

  • juristische Personen z.B. GmbH, UG (haftungsbeschränkt) e.V., AG, Gewerkschaften, Parteien
  • Personengesellschaften z.B. GbR, oHG oder KG
  • Freiberufler z.B. Ärzte, Rechtsanwälte; inhabergeführte Einzelfirmen und nichtrechtsfähige Vereine.

Keine öffentlichen Stellen in diesem Sinne sind Filialen, Betriebe, Abteilungen oder Konzerne.

Ein Datenschutzbeauftragter ist für nicht-öffentliche Stellen in vier Fällen vorgeschrieben,

  • wenn Unternehmen personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder der anonymisierten Übermittlung erheben, verarbeiten oder nutzen und zwar unabhängig von der Anzahl der datenverarbeitenden Mitarbeiter (z.B. Auskunfteien, Adressverlage, Markt- und Meinungsforschungsinstitute), oder
  • ebenfalls unabhängig von der Anzahl der datenverarbeitenden Mitarbeiter, wenn automatisierte Datenverarbeitungen vorgenommen werden, die einer Vorabkontrolle unterliegen. Dies ist der Fall, wenn mit der Datenverarbeitung besondere Risiken für die Rechte und Freiheiten der Betroffenen verbunden sind, z.B. bei Gesundheitsdaten, Gewerkschaftszugehörigkeiten, Videoüberwachung, Daten mit denen Persönlichkeitsbewertungen ermöglicht werden (z.B. in Assessment Centern), oder
  • abhängig von der Mitarbeiterzahl, wenn mindestens 20 Personen des Unternehmens mit der nicht-automatisierten Verarbeitung von personenbezogenen Daten ständig beschäftigt sind (z.B. bei Nutzung eines Karteikastens mit Kundenkontakten), oder
  • abhängig von der Mitarbeiterzahl, wenn mindestens 10 Personen ständig bei der automatisierten Verarbeitung personenbezogener Daten mitwirken, z.B. indem computergestützte Datenbanken zum Einsatz kommen.

Unerheblich ist, ob es sich um interne (Personal-/Mitarbeiter-Daten) oder externe (Kunden, Interessenten, Geschäftspartner, Dritte) personenbezogene Daten handelt. Bezüglich der Mitarbeiteranzahl die bei der Verarbeitung personenbezogener Daten mitwirken, zählen alle im Unternehmen tätigen „Personen“, also auch freie Mitarbeiter, Leihkräfte, Teilzeitkräfte, Auszubildende, Praktikanten und Geschäftsführer.

Wie ist der Datenschutzbeauftragte zu bestellen?

Das Unternehmen muss innerhalb eines Monats nach Aufnahme der datenverarbeitenden Tätigkeit einen internen oder externen Datenschutzbeauftragten schriftlich bestellen. Nach herrschender Meinung hat die für diese Aufgabe ausgewählte Person die Bestellungsurkunde mit zu unterschreiben. Der Datenschutzbeauftragte ist unmittelbar dem Inhaber, Geschäftsführer, Vorstand o.ä. unterstellt und muss die erforderliche Fachkunde und Zuverlässigkeit nachweisen. Nicht geeignet aufgrund ihrer Stellung sind

  • die Geschäftsleitung,
  • Familienangehörige des Arbeitgebers,
  • der Personalabteilungsleiter und
  • der Leiter der EDV-Abteilung.

Der Aufsichtsbehörde muss die Bestellung nicht mitgeteilt werden.

Folgen der Nichtbestellung oder Falschbestellung eines betrieblichen Datenschutzbeauftragten bei vorliegender gesetzlicher Verpflichtung

  • Bußgeld gegen Geschäftsleitung oder Unternehmen bis zu 50.000 Euro, in Einzelfällen sogar noch höher. Zunehmend wenden sich Konkurrenten, verärgerte Mitarbeiter oder Kunden an die Datenschutz-Aufsichtsbehörden.
  • u.U. keine ISO-Zertifizierungen
  • Verlust von Kunden (Der Datenschutzbeauftragte muss häufig in Verträgen benannt werden)
  • Negative Presse-Berichterstattung/Verlust von Kundenvertrauen (eher bei größeren Unternehmen)

Zu beachten ist, dass auch bei der Falschbestellung, z.B. bei der nicht rechtzeitigen oder mündlichen Bestellung, der fehlenden Zuverlässigkeit, Eignung oder Fachkunde (s.o.), ggfs. die gleichen Rechtsfolgen drohen, wie bei der Nichtbestellung.

Wenn Sie der Meinung sind einen Datenschutzbeauftragten bestellen zu müssen, finden Sie weitere Informationen in der  Broschüre des Bundesdatenschutzbeauftragten.

Über den Autor

Jan SchnedlerDieser Artikel ist in Zusammenarbeit mit Jan Schnedler von Grenius Rechtsanwälte in Hamburg entstanden. Er ist Spezialist für die Themen TechnologietransferWirtschaftsrechtIP/Geistiges Eigentum und IT-Recht.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *