Ein Datenschutzbeauftragter übernimmt derzeit in größeren Unternehmen und vor allem öffentlichen Stellen die Aufgabe, den Datenschutz zu überwachen, zu beraten, zu organisieren und sich um alle Belange rund um das Thema „Schutz im Internet“ zu kümmern.

Bereits seit vielen Jahren arbeiten immer mehr Unternehmen mit internen oder externen Datenschutzbeauftragten. Neu wird mit dem Eintreten der DSGVO (Datenschutz-Grundverordnung der EU) zum 25. Mai, dass der Einsatz eines Datenschutzbeauftragen für viele Unternehmen zur Pflicht wird.

Wann brauche ich einen Datenschutzbeauftragten?

Bei der Bestellpflicht eines Datenschutzbeauftragten wird laut DSGVO nach nicht-öffentlichen und öffentlichen Stellen differenziert. Jegliche öffentlichen Stellen sind nach Artikel 37 Absatz 1 des neuen Gesetztes dazu verpflichtet, einen Datenschutzbeauftragten zu engagieren, sofern diese öffentliche Stelle mit personenbezogenen Daten arbeitet bzw. diese verarbeitet.

Als Ausnahme gelten hierbei Gerichte durch deren justizielle Tätigkeit. Ebenso soll es möglich gemacht werden, dass mehrere öffentliche Stellen mit einer gemeinsamen Organisationsstruktur einen gemeinschaftlichen Datenschutzbeauftragten bestellen.

Welche nicht-öffentlichen Stellen müssen einen Datenschutzbeauftragten bestellen?

Als nicht-öffentliche Stelle müssen Sie dann einen Datenschutzbeauftragten stellen, sollte unter anderem die „Kerntätigkeit [Ihres Unternehmens] in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“ (Art. 37 Abs. 1b DSGVO). Ebenso muss ein Datenschutzbeauftragter bestellt werden, wenn „die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichsten Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht“ (Art. 37 Abs. 1c DSGVO).

Hierbei dürfte Absatz 1b sich vor allem auf Unternehmen konzentrieren, welche als Kerngeschäft den Handel mit Daten betreiben. Sprich beispielsweise Adresshändler oder Auskunfteien – überall, wo quasi „Daten als Ware“ gesehen werden.

Für den Ausdruck „umfangreiche Verarbeitung“ in Absatz 1c definiert die DSGVO folgende Merkmale:

  • Anzahl der Betroffenen
  • Dauer der Verarbeitung der Daten
  • Vielzahl verschiedener Datensätze
  • Menge der betroffenen Daten
  • Geographische Reichweite der Datenverarbeitung

Ebenso spielt die Zahl der Bearbeiter (Personen mit Einsicht in die personenbezogenen Daten) eine besondere Rolle.
Fazit: Besser nachgefragt als abgemahnt

Das neue Gesetz ist an vielen Stellen sehr undurchschaubar. Eine Vielzahl von Faktoren ist dafür verantwortlich, ob nun ein Datenschutzbeauftragter bestellt werden muss oder nicht.

Daher: Wenn Sie mit personenbezogenen Daten arbeiten und sich nicht sicher sind, ob Sie einen Datenschutzbeauftragen benötigen, nutzen Sie einfach die Beratungsstellen oder kontaktieren Sie einen Anwalt – lieber zweimal nachgefragt als einmal abgemahnt!