Ab wann ist ein Datenschutzbeauftragter Pflicht?

Letztes Update:
14
.
10
.
2024
Lesezeit:
0
Min
Die Datenschutzgrundverordnung (DSGVO) weitet den Verantwortungsbereich des Datenschutzbeauftragten aus und droht daneben mit erheblichen Sanktionen bei Nichtbeachtung der datenschutzrechtlichen Vorschriften. Sich mit der Pflicht zur Bestellung eines Datenschutzbeauftragten auseinanderzusetzen, ist für Unternehmen daher unabdingbar.
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Die wichtigsten Erkenntnisse
  • Datenschutzbeauftragter ab 20 Mitarbeitern mit automatisierter Datenverarbeitung Pflicht.
  • Unabhängig von Mitarbeiterzahl bei umfangreicher Verarbeitung besonderer Datenkategorien.
  • Hohe Bußgelder bis zu 10 Millionen Euro oder 2% des Jahresumsatzes bei Verstoß.
  • Alte Grenze von 10 Mitarbeitern vor dem 26.11.2019 außer Kraft gesetzt.
  • Teilzeitkräfte, Aushilfen und Praktikanten werden bei Mitarbeiterzählung voll berücksichtigt.

Rechtliche Verpflichtung: Welche Unternehmen müssen einen Datenschutz­beauftragten gemäß DSGVO bestellen?

Die DSGVO gibt den rechtlichen Rahmen zur Pflichtbestellung eines Datenschutzbeauftragten vor. Sie macht dies unabhängig von der Anzahl von Beschäftigten in einem Unternehmen. Vielmehr stellt sie – gemäß Art. 37 Abs. 1 lit. b DSGVO – die sogenannten Kerntätigkeiten in den Mittelpunkt der Verpflichtung: Dabei geht es um Haupttätigkeiten des Unternehmens, die aus Datenverarbeitungsvorgängen bestehen, welche eine umfangreiche, regelmäßige und systematische Überwachung der betroffenen Personen ermöglichen.

Mit Haupttätigkeiten sind Geschäftsbereiche gemeint, welche für die Umsetzung der Unternehmensstrategie maßgebend sind und nicht lediglich routinemäßige Verwaltungsaufgaben darstellen. Betroffen sind typischerweise Vertriebsmitarbeitende, Mitarbeitende der IT-Abteilung, Sachbearbeitende sowie Personal- und Finanzabteilungen. Keine Kerntätigkeit liegt bspw. bei der Verarbeitung von Mitarbeiterdaten vor, da dies in der Regel nur ein Unterstützungsprozess ist und deshalb nicht zur Haupttätigkeit des Betriebs gehört.

Wenn Firmen solche Kerntätigkeiten ausüben (wie etwa Marktforschungsunternehmen), dann ist es Pflicht, einen Datenschutzbeauftragten zu benennen. Außerdem gilt die Bestellungspflicht, wenn in großem Umfang besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO (Gesundheitsdaten, Daten zur Konfession, Daten zur Ethnie/Rasse sowie politische Meinungen) sowie personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO verarbeitet werden.

Betrieblicher Datenschutz­beauftragter: Ab welcher Mitarbeiter­zahl besteht die Pflicht zum Datenschutz­beauftragten?

Wenn mindestens 20 Mitarbeitende ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, wird ein Datenschutzbeauftragter für Unternehmen Pflicht. Das betrifft beispielsweise Datenverarbeitungen unter Einsatz von EDV wie Outlook oder Excel, aber auch Softwareprogramme z.B. in Marketing- oder Sales-Abteilungen. Der deutsche Gesetzgeber konkretisiert damit die Anforderungen der DSGVO im Rahmen des neu gefassten Bundesdatenschutzgesetzes (BDSG-neu) folgendermaßen: Gemäß § 38 des neuen BDSG ist dann ein betrieblicher Datenschutzbeauftragter (DSB) zu bestellen, wenn in dem Betrieb in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Im alten BDSG bestand die Pflicht zur Benennung eines Datenschutzbeauftragten bereits ab 10 Mitarbeitenden. Hintergrund der Anhebung der Mitarbeiterzahl ist die bürokratische Entlastung von Selbstständigen und KMUs.

Achtung: Laut des neuen BDSG werden Teilzeitkräfte, Aushilfen, freie Mitarbeitende, Leiharbeitende oder Praktikumskräfte bei der Bemessung der Anzahl der Personen voll berücksichtigt. Entscheidend ist, dass die betreffenden Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Die alte Grenze ab 10 Mitarbeitenden gilt heute nicht mehr.

Unabhängig von der Zahl der Mitarbeiter gilt gemäß § 38 Absatz 1 Satz 2 BDSG-neu die Pflicht zur Benennung eines Datenschutzbeauftragten, wenn eine Datenschutzfolgenabschätzung nach Art. 35 DSGVO notwendig wird. Letztere ist erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Schließlich wird in die Pflicht genommen, wer geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Hohe Bußgelder bei Nichtbestellung des Datenschutzbeauftragten

Nach den aktuellen Vorschriften wird sich der Kreis der aus dem Zusammenspiel von EU-Datenschutzgrundverordnung und BDSG-neu verpflichteten Unternehmen nochmals erweitern. Bei drohenden Bußgeldern von bis zu 10 Millionen EURO oder 2 % des weltweiten Jahresumsatzes gemäß Art. 83 Abs. 4 lit. a DSGVO sollte jetzt gehandelt werden, falls die Pflicht zur Bestellung eines Datenschutzbeauftragten in Ihrem Unternehmen bisher noch nicht die notwendige Aufmerksamkeit gefunden hat.

Datenschutz­beauftragter für Unternehmen ab 20 Angestellten

Ihr Unternehmen hat die Pflicht, einen Datenschutzbeauftragten zu bestellen? Wir unterstützen Sie bei der Erfüllung der DSGVO-Vorgaben und ersparen Ihnen bürokratischen Aufwand.

FAQ: Wir beantworten Ihre Fragen zum Thema „Pflicht Datenschutz­beauftragter“

Gibt es gesetzliche Verpflichtungen zum Datenschutzbeauftragten?

Es muss ein DSB bestellt werden, wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind. Daneben gibt es noch eine weitere Pflicht für einen Datenschutzbeauftragten, die unabhängig von der Mitarbeiterzahl ist: bei Unternehmen deren Kerntätigkeit in einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten liegt (z.B. Gesundheitsdaten) oder wenn besonders risikoreiche Verarbeitungen durchgeführt werden (z.B. Daten aus Videoüberwachungen) muss ein DSB unabhängig von der Mitarbeiterzahl benannt werden. Das gilt für Behörden.

Ab wann muss ein Datenschutzbeauftragter bestellt werden?

Vor dem 26.11.2019 war ein Datenschutzbeauftragter Pflicht ab 10 Mitarbeitern. Die Regelung stammte aus dem vor dem DSGVO geltenden Bundesdatenschutzgesetz (BDSG). Um Selbstständige und KMU bürokratisch zu entlasten, hat der Bundestag beschlossen, diese Grenze anzuheben.

Heute gilt: Wenn mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, wird ein Datenschutzbeauftragter Pflicht. Wichtig: Die Zahl bezieht auch Praktikanten, Teilzeitkräfte, Freelancer usw. mit ein!

Brauchen Unternehmen mehrere Datenschutzbeauftragte?

In der DSGVO ist die Rede von der Benennung ‚eines‘ DSB. Es ist zwar nicht ausdrücklich verboten einen zweiten zu benennen, dagegen sprechen aber die institutionelle Einordnung sowie die Aufgaben des DSB. Sollten die anfallenden Aufgaben für einen DSB zu umfassend sein, sollten mehr Personen vom Verantwortlichen zur Unterstützung engagiert werden. Der Verantwortliche eines Unternehmens kann also jeweils nur einen Datenschutzbeauftragten bestellen. Für öffentliche Stellen ist die Benennung mehrerer DSBs dagegen sogar unzulässig. Ein stellvertretender Datenschutzbeauftragter hingegen ist für Unternehmen keine Pflicht, aber durchaus sinnvoll und kann jederzeit eingesetzt werden, um dem DSB zuzuarbeiten.

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Beratung vereinbaren
Themen
Redaktion
Alexander Ingelheim
Co-Founder & CEO
Alexander Ingelheim ist Co-Gründer und CEO von Proliance. Sein Antrieb von Anfang an: Unternehmen bei den Hürden und Herausforderungen des Themas Datenschutz und der DSGVO zu unterstützen. Er bringt umfassende Erfahrungen aus seiner Tätigkeit in der internationalen Beratung mit, darunter Positionen bei Bregal Unternehmerkapital GmbH und McKinsey & Company. Darüber hinaus ist er zertifizierter Datenschutzbeauftragter (TÜV & DEKRA).
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!