DSGVO-Wissen

Ab wann ist ein Datenschutzbeauftragter Pflicht?

In Deutschland regelt das Bundesdatenschutzgesetz (BDSG) zusammen mit der Datenschutz-Grundverordnung (DSGVO) der EU, wann ein Unternehmen einen Datenschutzbeauftragten (DSB) benennen muss. Der Datenschutzbeauftragte spielt eine zentrale Rolle beim Schutz personenbezogener Daten und sorgt dafür, dass Unternehmen alle datenschutzrechtlichen Vorgaben einhalten. Doch nicht jedes Unternehmen ist verpflichtet, einen DSB zu benennen. Es gibt spezifische Kriterien, die dies bestimmen.

datenschutzbeauftragter, ab wann, pflicht, dsgvo
Quelle: KI

Rechtliche Grundlage: DSGVO und BDSG

Die Datenschutz-Grundverordnung (DSGVO), die seit dem 25. Mai 2018 in Kraft ist, stellt die zentrale europäische Regelung zum Datenschutz dar. Sie regelt, wie Unternehmen mit personenbezogenen Daten umgehen müssen und welche Pflichten sie im Hinblick auf den Datenschutz haben. Das Bundesdatenschutzgesetz (BDSG) ergänzt und präzisiert die Bestimmungen der DSGVO für Deutschland.

Ein wesentlicher Bestandteil der DSGVO ist die Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) unter bestimmten Bedingungen. Die genaue Regelung dazu findet sich in Artikel 37 der DSGVO und im § 38 BDSG.

Wann ist ein Datenschutzbeauftragter erforderlich?

Die DSGVO legt fest, dass ein Unternehmen dann verpflichtet ist, einen Datenschutzbeauftragten zu ernennen, wenn bestimmte Kriterien erfüllt sind. Diese Kriterien beziehen sich sowohl auf die Anzahl der Mitarbeiter als auch auf die Art und Weise der Verarbeitung personenbezogener Daten.

1. Anzahl der Mitarbeiter, die mit personenbezogenen Daten arbeiten

Ein Unternehmen ist verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn es mindestens 20 Mitarbeiter beschäftigt, die ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind.

Das bedeutet, dass nicht jeder Mitarbeiter eines Unternehmens automatisch zählt. Es kommt darauf an, wie viele Mitarbeiter regelmäßig und direkt mit personenbezogenen Daten arbeiten. Dies können zum Beispiel sein:

  • Mitarbeiter im Personalwesen, die Daten über die Beschäftigten verarbeiten (z. B. Gehaltsabrechnungen, Personalakten).
  • Marketingmitarbeiter, die Kundendaten verarbeiten, um Werbemaßnahmen durchzuführen.
  • Mitarbeiter im IT-Support, die Zugang zu Datenbanken oder Kundendaten haben.

Die Schwelle von 20 Mitarbeitern bezieht sich also nicht auf die Gesamtzahl der Angestellten, sondern nur auf diejenigen, die regelmäßig mit Daten umgehen, die personenbezogene Informationen enthalten (z. B. Namen, Geburtsdaten, Kontaktdaten). Auch Teilzeitkräfte oder Praktikanten, die regelmäßig personenbezogene Daten verarbeiten, zählen mit.

2. Besondere Kategorien personenbezogener Daten

Unabhängig von der Mitarbeiterzahl muss ein Unternehmen ebenfalls einen Datenschutzbeauftragten benennen, wenn es besondere Kategorien personenbezogener Daten verarbeitet. Diese Daten sind besonders schützenswert und umfassen unter anderem:

  • Gesundheitsdaten (z. B. Patientenakten, Krankmeldungen),
  • Daten zur ethnischen Herkunft,
  • Religiöse Überzeugungen,
  • Daten zu politischen Meinungen,
  • Daten zu sexuellen Orientierungen,
  • Biometrische Daten (z. B. Fingerabdrücke, Gesichtserkennung).

Die Verarbeitung solcher Daten ist besonders sensibel und unterliegt strengeren Datenschutzvorschriften. Unternehmen, die solche Daten regelmäßig verarbeiten, sind in jedem Fall verpflichtet, einen Datenschutzbeauftragten zu benennen, unabhängig von der Mitarbeiterzahl.

3. Regelmäßige und systematische Überwachung von Personen

Ein Unternehmen muss ebenfalls dann einen Datenschutzbeauftragten ernennen, wenn es regelmäßig und systematisch personenbezogene Daten in großem Umfang überwacht. Dies betrifft insbesondere:

  • Videoüberwachung von Geschäftsflächen oder öffentlichen Bereichen,
  • Verhaltens- und Bewegungsprofile, die durch die Nutzung von Cookies, Tracking-Tools oder durch den Einsatz von künstlicher Intelligenz (KI) erstellt werden.

Ein weiteres Beispiel ist die Profilbildung, bei der Daten von Kunden oder Nutzern systematisch erfasst und ausgewertet werden, um deren Verhalten oder Vorlieben zu prognostizieren. Wenn dies in einem großflächigen Umfang geschieht, ist die Bestellung eines DSB Pflicht.

4. Öffentliche Stellen und Behörden

Öffentliche Stellen oder Behörden sind gemäß der DSGVO grundsätzlich immer verpflichtet, einen Datenschutzbeauftragten zu benennen, unabhängig von der Zahl der Mitarbeiter und der Art der Datenverarbeitung. Diese Regelung gilt für alle öffentlichen Institutionen, wie zum Beispiel:

  • Kommunale Verwaltungen,
  • Ministerien und Behörden auf Landes- und Bundesebene,
  • Öffentliche Bildungseinrichtungen und Universitäten.
Freiwillige Bestellung eines Datenschutzbeauftragten

Es gibt auch Unternehmen, die einen Datenschutzbeauftragten freiwillig bestellen können, auch wenn sie gesetzlich nicht dazu verpflichtet sind. Dies ist besonders dann sinnvoll, wenn das Unternehmen:

  • Datenschutz als Wettbewerbsvorteil nutzen möchte und ein hohes Vertrauen bei Kunden und Partnern aufbauen möchte,
  • In einer Branche tätig ist, in der die Verarbeitung personenbezogener Daten eine große Rolle spielt (z. B. im Gesundheitswesen, bei Versicherungen oder in der IT-Branche),
  • Eine komplexe Datenverarbeitung betreibt, die möglicherweise zu rechtlichen Unsicherheiten führen könnte.

In diesem Fall kann die Bestellung eines DSB als proaktive Maßnahme dienen, um möglichen datenschutzrechtlichen Problemen vorzubeugen und das Unternehmen auf sichere Füße zu stellen.

Aufgaben eines Datenschutzbeauftragten

Ein Datenschutzbeauftragter hat eine Vielzahl an Aufgaben. Zu den wichtigsten gehören:

  • Beratung und Schulung der Mitarbeiter in datenschutzrechtlichen Fragen,
  • Überwachung der Einhaltung der Datenschutzgesetze im Unternehmen,
  • Durchführung von Datenschutz-Folgenabschätzungen, wenn neue Datenverarbeitungen geplant sind, die hohe Risiken für die Rechte und Freiheiten der betroffenen Personen darstellen,
  • Kontaktstelle für Betroffene (also für Kunden, Mitarbeiter oder Partner), die ihre Datenschutzrechte ausüben wollen, etwa das Recht auf Auskunft oder Löschung ihrer Daten,
  • Koordination mit den Datenschutzaufsichtsbehörden und Meldung von Datenschutzverletzungen, wenn diese auftreten.

Der Datenschutzbeauftragte kann intern im Unternehmen tätig sein oder als externer Dienstleister beauftragt werden.

Ausnahmen und Sonderregelungen

Es gibt auch einige Ausnahmen und Sonderregelungen, bei denen Unternehmen unter bestimmten Umständen von der Pflicht zur Benennung eines DSB befreit sein können:

  • Unternehmen mit weniger als 20 Mitarbeitern: Wenn weniger als 20 Mitarbeiter regelmäßig mit personenbezogenen Daten arbeiten, muss in der Regel kein DSB bestellt werden. Allerdings kann es sinnvoll sein, auch hier einen Datenschutzbeauftragten zu ernennen, um Risiken zu minimieren und datenschutzrechtliche Anforderungen besser zu erfüllen.
  • Verarbeitungen ohne Risiko: Wenn die Verarbeitung personenbezogener Daten geringfügig und unproblematisch ist (z. B. wenn nur wenige Daten verarbeitet werden und keine besonderen Risiken bestehen), kann es sein, dass kein DSB erforderlich ist.
Fazit

Die Verpflichtung zur Benennung eines Datenschutzbeauftragten hängt maßgeblich von der Anzahl der mit Datenverarbeitung betrauten Mitarbeiter, der Art der verarbeiteten Daten und der Intensität der Datenverarbeitung ab. Während kleinere Unternehmen mit weniger als 20 Mitarbeitern in vielen Fällen keinen DSB benötigen, sind größere Unternehmen und solche mit besonders sensiblen Daten oder einer umfassenden Überwachung von personenbezogenen Daten gesetzlich verpflichtet, einen DSB zu benennen.

Ein Datenschutzbeauftragter kann nicht nur helfen, gesetzliche Anforderungen zu erfüllen, sondern auch dazu beitragen, das Vertrauen von Kunden und Partnern zu gewinnen und datenschutzrechtliche Risiken zu minimieren.

➔ So einfach erfüllen Sie Ihre Datenschutz-Pflichten
➔ Testen Sie DATENDO für 14 Tage unverbindlich und kostenlos
Machen Sie Ihr Business DSGVO-konform.

Einfach loslegen mit Deutschlands beliebter Datenschutz-Lösung:

Externer Datenschutzbeauftragter
Datenschutz-Management-Software
Online-Mitarbeiterschulungen
Individuelle Datenschutzberatung
Jetzt mehr erfahren
Ab wann ist ein Datenschutzbeauftragter Pflicht?
Mit DATENDO erfüllen Sie ganz einfach Ihre DSGVO-Pflichten
Datenschutz, der Sie
nach vorne bringt.
Let’s DSGVgO!
Übersicht
Machen Sie Ihr Business DSGVO-konform. Einfach loslegen mit Deutschlands beliebter digitaler Datenschutz-Lösung.
DSGVO-Wissen
Externer Datenschutzbeauftragter
Ein Datenschutz-beauftragter ist mehr als bloße Pflichterfüllung
Mehr erfahren
DSGVO-Wissen
Datenschutz-Management-Software
My.DATENDO: Ihre Datenschutzpflichten digital erfüllen
Mehr erfahren
DSGVO-Wissen
DSGVO-Schulung für Mitarbeitende
Ihr Datenschutz ist nur so stark wie Ihre Mitarbeitenden
Mehr erfahren
DSGVO-Wissen
Individuelle Beratung
Individuelle Datenschutzfragen? Wir sind für Sie da.
Mehr erfahren
Ab wann ist ein Datenschutzbeauftragter Pflicht?
DATENDO kostenlos für
14 Tage ausprobieren.
Keine Installation erforderlich - direkt online losgelegen.
Keine versteckten Kosten. Testzeitraum endet automatisch. Keine Kündigung notwendig.

Einsicht in alle Funktionen:

  • Zugang zu unserer DSGVO-Management-Software My.DATENDO
  • Verbeitungsverzeichnis und TOM einfach als PDF generieren
  • Erste Einblicke ins DSGVO-Trainingscenter
  • Demo-Schulung für Mitarbeitende inkl. Zertifikat absolvieren
  • Exklusives E-Book zum Datenschutz von Prof. Dr. Paal
Jetzt 14 Tage kostenlos testen
Trustpilot
Bundesverband IT-Mittelstand e.V. Mitglied im GDD Software hosted in Germany - DATENDO Mitglied im BVMV e.V.
Trustpilot
Bild Bild