Menü Schließen
    >>
  • Startseite
  • FAQs
  • Wann muss ein Datenschutzbeauftragter bestellt werden?

Wann muss ein Datenschutzbeauftragter bestellt werden?

A

Wann muss ein Datenschutzbeauftragter bestellt werden?

Wann ein Datenschutzbeauftragter (DSB) zu bestellen ist, regeln Gesetze. In diesen steht statt bestellen allerdings benennen. Wann ein DSB zu benennen ist, steht in der Datenschutzgrundverordnung (DS-GVO). Und im Bundesdatenschutzgesetz (BDSG). Die DS-GVO gilt auf dem Boden der europäischen Union. Das BDSG gilt nur in der BR Deutschland.

Benennungspflicht nach der DS-GVO

Nach der DS-GVO ist ein DSB in drei Fällen zu bestellen (Art. 37 Abs. 1 DS-GVO):

  1. Wenn es sich um ein Behörde oder öffentliche Stelle handelt, dann ist immer ein DSB zu bestellen. Der DSB ist dann der behördliche Datenschutzbeauftragte. Die Anzahl der Mitarbeiter spielt hier keine Rolle. Also auch, wenn die Anzahl Null beträgt. Zu öffentlichen Stellen gehören auch die öffentlich bestellten Sachverständigen.
  2. Wenn die Arbeit im Kern stets die umfangreiche und systematische Überwachung von Menschen erfordert, dann ist immer ein DSB zu bestellen. Das können zum Beispiel Betreiber von Bewertungsportalen im Internet, Marktforschungsunternehmen, Auskunfteien, Detekteien oder Adresshändler sein.
  3. Wenn die Arbeit im Kern stets das umfangreiche verarbeiten von besonderen Arten von Daten betrifft, dann ist immer ein DSB zu bestellen. Das sind zum Beispiel Daten über politische oder religiöse Meinungen und Überzeugungen. Oder Daten über die Gesundheit. Aber auch biometrische oder genetische Daten sind gemeint. Und auch Daten zu Straftaten. Im Bereich Gesundheit können das zum Beispiel Krankenhäuser, Lebensversicherungen sein. Aber auch Anbieter von Apps aus dem Bereich Gesundheit. Ärzte und Juristen sind hier jedoch nicht gemeint.

Benennungspflicht nach dem BDSG

Nach dem BDSG ist ein DSB zusätzlich auch in vier weiteren Fällen zu bestellen (§ 38 Abs. 1 BDSG):

  1. Wenn in der Regel mindestens 20 Personen ständig personenbezogene Daten verarbeiten, ist ein DSB zu bestellen.
  2. Wenn eine Datenschutz-Folgenabschätzung (DSFA) notwendig ist, ist ein DSB zu bestellen. Eine DSFA ist ein Verfahren nach Art. 35 DS-GVO. Die Anzahl der Mitarbeiter spielt hier keine Rolle.
  3. Wenn Daten geschäftsmäßig zum Zweck der Übermittlung (auch anonymisiert) verarbeitet werden, ist ein Datenschutzbeauftragter zu bestellen. Die Anzahl der Mitarbeiter spielt auch hier keine Rolle.
  4. Wenn Daten zur Markt- oder Meinungsforschung verarbeitet werden. Auch dies ist nicht abhängig von der Anzahl der Mitarbeiter.

In allen diesen Fällen ist der DSB verpflichtend zu bestellen. Die freiwillige Bestellung steht jedem frei. Denn die Gesetze sind auch ohne DSB einzuhalten. Und bei der Einhaltung der Gesetze hilft der DSB.