Wann braucht Ihr Unternehmen einen Datenschutzbeauftragten? – Ein Leitfaden.

Wann braucht Ihr Unternehmen einen Datenschutzbeauftragten? – Ein Leitfaden.
von Dr. Sebastian Kraska
Stand: 28.10.2009 4 min 2

Trotz der zahlreichen Gesetzesänderungen im Bundesdatenschutzgesetz (BDSG) existiert heute immer noch keine eindeutige Struktur, wann ein Unternehmen einen Datenschutzbeauftragten – sei es intern oder extern – beschäftigen muss. Das Ergebnis nach mehreren Novellen ist nach wie vor eine inkonsequente Verknüpfung verschiedener Elemente, die einem konsequenten Datenschutz widersprechen.

Im Folgenden stellen wir für Sie kurz dar, in welchen Fällen auch Sie einen Datenschutzbeauftragten benennen müssen.

 

Eigenkontrolle der verantwortlichen Stelle

Das BDSG stellt in § 4g Abs. 1 S. 1 BDSG klar: Der Beauftragte für den Datenschutz wirkt auf die Einhaltung des BDSG und anderer datenschutzrechtlicher Vorschriften hin.

Grundlegend geht das BDSG für Unternehmen vom Prinzip der Eigenkontrolle bzw. Selbstkontrolle durch die speichernde Stelle aus. Das heißt, dass das Unternehmen und damit letztlich die Unternehmensleitung selbst für die Einhaltung der Datenschutzvorschriften verantwortlich ist. Die Kontrolle durch die jeweils zuständige Datenschutzbehörde erhält insofern lediglich eine sekundäre Funktion. Die Eigenkontrolle soll nach dem Willen des Gesetzgebers durch einen weisungsunabhängigen, der Geschäftsleitung direkt unterstellten Datenschutzbeauftragten ausgeübt werden.

Ein Datenschutzbeauftragter ist regelmäßig bei Verarbeitung personenbezogener Daten zu bestellen. Wann ein eigener Datenschutzbeauftragter bestellt werden muss, bestimmt das Bundesdatenschutzgesetz in § 4f BDSG.

Nach dieser Norm sind grundsätzlich all jene Unternehmen dazu verpflichtet einen Beauftragten für den Datenschutz zu bestellen, die personenbezogene Daten automatisiert verarbeiten. Damit spielt grundsätzlich weder die Organisationsform des Unternehmens noch die rechtliche Grundlage der Verarbeitung eine Rolle. Mit personenbezogenen Daten sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG) gemeint.

LegalScan Pro – Ihr Warnsystem für produktspezifische Rechtspflichten

Die Systematik des Gesetzes: Regel-Ausnahme-Prinzip

Auch wenn grundsätzlich damit die meisten Unternehmen zur Bestellung verpflichtet sind, so hat das Gesetz in § 4f BDSG diverse Ausnahmen vorgesehen, wann eine Bestellung ausnahmsweise entfallen kann.

Zunächst muss in diesem Zusammenhang auf die mit der Datenverarbeitung beschäftigte Personenanzahl abgestellt werden.

Bei einer automatisierten Verarbeitung muss keine Bestellung eines Datenschutzbeauftragen erfolgen, wenn in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung der personenbezogenen Daten betraut sind (§ 4f Abs. 1 S. 4 BDSG).

Sinkt auf Grund der Reduzierung des Personalbestandes die Beschäftigtenanzahl nicht nur vorübergehend unter 10 Personen, so erlischt damit auch die Verpflichtung einen Datenschutzbeauftragten zu bestellen.

In die Berechnung sind auch diejenigen Personen mit einzubeziehen, die nur manchmal mit der Verarbeitung betraut sind. Voll- und Teilzeitbeschäftigte sind in die Berechnung gleichermaßen mit einzurechnen. Es ist darüber hinaus nicht relevant, ob die Datenverarbeitungsaufgaben von eigenen Angestellten, freien Mitarbeitern, Zeitarbeitern, Praktikanten oder Auszubildenden etc. ausgeführt werden.

Datenschutzbeauftragter auch bei besonderer Verarbeitungsaktivität nötig

Aber selbst wenn ein Unternehmen die oben genannte Anzahl der mit der Datenverarbeitung beschäftigten Personen nicht erreicht, so kann es dennoch notwendig sein, einen Datenschutzbeauftragten zu bestellen (also eine „Ausnahme der Ausnahme“).

Der Gesetzgeber hat insoweit in § 4f Abs. 1 S. 6 BDSG verschiedene Fälle zusammengefasst, in denen wegen besonderer Verarbeitungen oder besonders sensibler Daten eine erhöhte Gefahr für die personenbezogenen Daten der Betroffenen besteht.

Eine besondere Gefahr liegt demnach vor, wenn entweder eine automatisierte Datenverarbeitung zur geschäftsmäßigen anonymisierten oder nicht anonymisierten Übermittlung von Daten oder für Zwecke der Markt- oder Meinungsforschung stattfindet oder eine automatisierte Verarbeitung vorgenommen wird, die einer Vorabkontrolle im Sinne von § 4d Abs. 5 BDSG unterliegt.

Daten unterliegen einer Vorabkontrolle, wenn die Datenverarbeitung „besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweist“. Dies ist insbesondere der Fall bei professionellen Adresshändlern sowie Unternehmen zur Mitglieder- oder Personalverwaltung, Telefondatenerfassung, Videoüberwachung oder der Kundenbetreuung

Auch wenn ein Unternehmen mit besonders sensiblen Daten im Sinne von § 3 Abs. 9 BDSG (beispielsweise Daten über die rassische und ethnische Herkunft, über politische Meinungen oder religiöse oder philosophische Überzeugungen) umgeht, kann ein Datenschutzbeauftragter nötig sein. Sollten Sie an dieser Stelle unsicher sein, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt, empfehlen wir Ihnen Rechtsrat einzuholen (lesen Sie hier, warum Sie einen Datenschutzbeauftragten bestellen sollten).

Wer darf zum Datenschutzbeauftragten bestellt werden?

Müssen Sie einen Datenschutzbeauftragten bestellen so stellt sich natürlich die Frage, wer zu diesem berufen werden kann.

Es kann hierbei sowohl ein eigener Mitarbeiter (so genannter „interner Datenschutzbeauftragter“) sowie auch eine externe Person (so genannter „externer Datenschutzbeauftragter“) bestellt werden.
Nach dem BDSG ist die Bestellung dabei zum einen an das Vorliegen einer gewissen Fachkunde sowie an die Zuverlässigkeit der Person geknüpft. Der Gesetzgeber hat aber kein festes Anforderungsprofil festgelegt.

Ob der Bestellte den Anforderungen genügt, muss damit am Einzelfall und je nach der Schwerpunktsetzung des Unternehmens sowie anhand einer branchenspezifisch erforderlichen Fachkunde festgestellt werden. Da sich die Verarbeitungstechnologie ständig fortentwickelt muss sich der Datenschutzbeauftragten laufend über die neuen datenschutzrechtlichen Rahmenbedingungen informieren.

Seit dem 1.9.2009 hat der Arbeitgeber daher dem internen Datenschutzbeauftragte gemäß § 4f Abs. 3 S. 7 BDSG die Teilnahme an Schulungsmaßnahmen zu ermöglichen. Das IITR bietet derartige Fort- und Weiterbildungsveranstaltungen an.

Schließlich sollte der Datenschutzbeauftragte auch über die nötigen rechtlichen Kenntnisse verfügen, um auch den Hintergrund der datenschutzrechtlichen Regelungen verstehen und darauf aufbauend die Konsequenzen für die verantwortliche Stelle richtig einschätzen zu können.

Fazit

Einen Datenschutzbeauftragten müssen Sie bestellen, wenn in Ihrem Unternehmen wenigstens 10 Personen mit der automatisierten Datenverarbeitung betraut sind oder einer der besonderen Fälle des § 4f Abs. 1 S. 6 BDSG auf Ihr Unternehmen zutrifft.

 

Tipp: Fragen zum Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook .

Bildquelle: © Pixel - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

2 Kommentare

T
Talant 31.01.2015, 17:28 Uhr
Position
Guten Tag,

Ich habe folgende Frage: darf der Datenschutzbeauftragte einer Firma trotzdem Vorgesetzenfunktion haben?

Freundliche Grüße
N
Nina Schäfer 01.10.2014, 08:48 Uhr
Datenschutzbeauftragter?
Vielen Dank für diesen sehr hilfreichen Beitrag. Ich hätte noch eine Frage: Muss ein Datenschutzbeauftragter auf der eigenen Homepage genannt und mit Kontaktdaten hinterlegt werden?

Vielen Dank und viele Grüße,
Nina Schäfer

Beiträge zum Thema

Frage des Tages: Muss der Datenschutzbeauftragte in der Datenschutzerklärung namentlich benannt werden?
(19.08.2024, 13:46 Uhr)
Frage des Tages: Muss der Datenschutzbeauftragte in der Datenschutzerklärung namentlich benannt werden?
Externer Datenschutzbeauftragter für Händler - bereits ab mtl. 32,5 Euro
(07.12.2022, 10:29 Uhr)
Externer Datenschutzbeauftragter für Händler - bereits ab mtl. 32,5 Euro
Externer Datenschutzbeauftragter und Datenschutz-Basis-Themen
(06.12.2022, 13:54 Uhr)
Externer Datenschutzbeauftragter und Datenschutz-Basis-Themen
Datenschutz: Rolle des Datenschutzbeauftragten unter der EU-Datenschutz-Grundverordnung
(27.06.2017, 15:55 Uhr)
Datenschutz: Rolle des Datenschutzbeauftragten unter der EU-Datenschutz-Grundverordnung
Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden?
(02.11.2015, 14:31 Uhr)
Oft gefragt: Muss der Datenschutzbeauftragte zwingend auf der Internetseite genannt werden?
Oft gefragt: Wann muss ein Datenschutzbeauftragter bestellt werden?
(17.09.2015, 14:33 Uhr)
Oft gefragt: Wann muss ein Datenschutzbeauftragter bestellt werden?
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.

Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.

Ihre IT-Recht Kanzlei
Vielen Dank!

Fragen oder Anregungen?

Kontaktieren Sie uns:
IT-Recht Kanzlei
Kanzlei Keller-Stoltenhoff, Keller
Alter Messeplatz 2
Tel.: +49 (0)89 / 130 1433-0
Fax: +49 (0)89 / 130 1433-60
E-Mail: info@it-recht-kanzlei.de
© 2004-2024 · IT-Recht Kanzlei