Suche

Wann benötige ich einen DSB?

Dieser Artikel beleuchtet die gesetzlichen Anforderungen und Umstände, unter denen Unternehmen in Deutschland einen Datenschutzbeauftragten ernennen müssen, wie im Bundesdatenschutzgesetz (BDSG) festgelegt. Der Artikel untersucht die Schwellenwerte für die Datenverarbeitung, die einen Datenschutzbeauftragten erforderlich machen, sowie die Art der verarbeiteten Daten, die eine solche Ernennung erzwingen. Darüber hinaus werden die Rollen und Verantwortlichkeiten eines Datenschutzbeauftragten im Kontext der Aufrechterhaltung der Datenschutzstandards und der Einhaltung der gesetzlichen Vorschriften erörtert. Ziel ist es, Unternehmen eine klare Anleitung zu geben, um sicherzustellen, dass sie den gesetzlichen Anforderungen entsprechen und effektiv zum Schutz personenbezogener Daten beitragen.

Inhalt

Rechtliche Grundlagen

Wann benötige ich einen DSB? Wer wissen möchte, ob sein Unternehmen einen Datenschutzbeauftragten (DSB) benennen muss, der muss in Deutschland in die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) sehen. Während die DSGVO europaweit gilt und die wesentlichen Regelungen für den Dateschutz enthält, sind im BDSG spezifische Regelungen enthalten, die die DSGVO in Deutschland ergänzen. 

Die Pflicht zur Benennung ist in Artikel 37 DSGVO normiert. Für Unternehmen der Privatwirtschaft gibt es zwei wesentliche Kriterien, die eine Pflichtbenennung auslösen:

  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10.
 

Die beiden Bedingungen treffen nur auf wenige Unternehmen zu, die entsprechend risikoreiche und umfangreiche Verarbeitungen durchführen wie z.B. große Kliniken, Krankenkassen (umfangreiche Art.-9-Daten) oder Werbeplattformen, die verhaltensbezogene Werbung im Internet schalten (umfangreiche Überwachung von Personen).

Diese Bedingungen werden durch den §38 BDSG ergänzt. Das deutsche Recht kennt folgende weitere Kriterien, die eine Benennungspflicht auslösen:

  • das Unternehmen beschäftigt in der Regel mindestens 20 Personen, die regelmäßig mit der Verarbeitung personenbezogener Daten betraut sind, oder
  • das Unternehmen führt eine Datenverarbeitung durch, die nach Art. 35 DSGVO eine Datenschutzfolgenabschätzung erfordert, oder
  • das Unternehmen verarbeitet personenbezogene Daten zum Zweck der Übermittlung, der anonymen Übermittlung oder der Markt- und Meinungsforschung
Neben der Pflichtbenennung steht es allen Unternehmen unabhängig von den obigen Kriterien frei, einen Datenschutzbeauftragten freiwillig zu benennen. 

Wichtigste Kriterien in der Praxis

Anzahl Beschäftigte

In der Regel mindestens 20 Beschäftigte

DSFA

Notwendigkeit einer Datenschutzfolgenabschätzung

Artikel 9 & 10

Umfangreiche Verarbeitung von Artikel-9- und 10-Daten

Freiwillig

Freiwillige Benennung

Wichtigste Kriterien in der Praxis

Anzahl Beschäftigte

In der Regel mindestens 20 Beschäftigte

DSFA

Notwendigkeit einer Datenschutzfolgenabschätzung

Artikel 9 & 10

Umfangreiche Verarbeitung von Artikel-9- und 10-Daten

Freiwillig

Freiwillige Benennung

Anzahl der Mitarbeiter

Das in der Praxis häufigste Kriterium für die Benennung eines Datenschutzbeauftragten ist die Zahl von in der Regel mindestens 20 Personen, die regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigt sind.

Was so einfach klingt, ist trotzdem interpretationsbedürftig. Die Formulierung “in der Regel” weißt darauf hin, dass sowohl kurzfristige Über- wie auch Unterschreitungen der 20-Personengrenze keine Auswirkung haben. Wird die Grenze nur für einige Monate unterschritten, weil eine aufgetretene Vakanz nicht schnell nachbesetzt werden kann, so ändert dies nichts an der Benennungspflicht. Umgekehrt wird eine kurzzeitige Überschreitung der Personenzahl z.B. aufgrund einer saisonalen Ausnahmesituation nicht automatisch zu einer Benennungspflicht führen. Es kommt hier also auf die längerfristige geplante Beschäftigtenzahl an.

Dabei zählen nicht alle Beschäftigten gleichermaßen. Es kommt nämlich nur auf die Beschäftigten an, zu deren normalem Aufgabengebiet die Verarbeitung personenbezogener Daten gehört. Dies soll durch die Formulierung “regelmäßig” ausgedrückt werden. “Regelmäßig” bedeutet dabei nicht “oft”, sondern “wiederholt”. Auch wenn eine Verarbeitung nur zweimal im Jahr stattfindet, dafür aber zum festen Aufgabenbestandteil gehört, zählen die betreffenden Personen mit. Für die Zählweise ist es auch unerheblich, ob es sich um Vollzeit-, Teilzeit- oder Aushilfskräfte handelt. Auch freiberufliche MitarbeiterInnen und Praktikantinnen zählen dazu. Umgekehrt werden Personen dann nicht mitgezählt, wenn diese nur aushilfsweise bzw. ausnahmsweise mit der Verarbeitung von personenbezogenen Daten beschäftigt werden. Insofern diese Arbeit nicht zum regulären Arbeitsumfang gezählt werden muss, können diese Personen in der Zählung unberücksichtigt bleiben.

Man sieht, die Frage, ob man die 20-Personengrenze überschreitet oder nicht, kann nicht an der Gesamtzahl der Beschäftigten alleine festgemacht werden. Insbesondere, wenn die Zahl der Beschäftigten die Grenze nur knapp erreicht, lohnt sich ein genauer Blick auf die tatsächlichen Verhältnisse. Ggf. ist eine Benennungspflicht trotzdem noch nicht einschlägig.

Datenschutzfolgenabschätzung

Wenn das eigene Unternehmen keine Marktforschung betreibt, keine Auskunftei ist oder sonst in erheblicher Weise sensible Daten verarbeitet, ist die Datenschutzfolgenabschätzung neben der Beschäftigtenzahl das weitaus wichtigste Kriterium, an dem die Benennungspflicht eines Unternehmens festgemacht werden kann.

Nach Art. 35 DSGVO sind Unternehmen bei risikoreichen Verarbeitungen verpflichtet, eine Datenschutzfolgenabschätzung vorzunehmen. Der Begriff “Risikoreich” bezieht sich dabei auf die zu erwartenden Risiken für die Betroffenen. Je höher diese ausfallen, umso eher muss eine DSFA durchgeführt werden. Was nach einer eher seltenen, außergewöhnlichen Verarbeitung klingt, ist in der Realität viel häufiger anzutreffen. Die Aufsichtsbehörden veröffentlichen sogenannte Blacklists, in denen sie Datenverarbeitungen aufführen, bei denen sie von einer obligatorisch durchzuführenden Datenschutzfolgenabschätzung ausgehen.

Zwei sehr typische Beispiele sind der Einsatz moderner, noch weitgehend unerprobter Technologien (Stichwort KI) sowie die Verarbeitung von Daten im Zusammenhang mit Straftaten (Stichwort Hinweisgeberschutzgesetz).

Muss ein Unternehmen aufgrund der von ihm durchgeführten Datenverarbeitungen eine DSFA durchführen, so ist es unabhängig von der Anzahl der Mitarbeitenden zur Benennung eines Datenschutzbeauftragten verpflichtet. 

Unterstützung benötigt?

Wenn Sie Unterstützung bei der Frage brauchen, ob ein DSB für Ihr Unternehmen benannt werden muss und welche Alternativen für Sie die besten sein könnten, dann vereinbaren Sie doch ein unverbindliches Erstgespräch mit uns. Gerne informieren wir Sie kostenlos und unverbindlich über Ihre Möglichkeiten.