Durch die Einführung der seit dem 25. Mai 2018 in Kraft getretenen Datenschutz-Grundverordnung (DSGVO) wurde das Konzept des Datenschutzbeauftragten auf europäischer Ebene etabliert. In diesem Zusammenhang hat sich der Verantwortungsbereich des Datenschutzbeauftragten erweitert. Werden die Vorschriften der DSGVO nicht in vollem Umfang beachtet und umgesetzt, müssen Unternehmen darüber hinaus mit verschärften Sanktionen rechnen. Die einzelnen EU-Mitgliedsstaaten können die Anforderungen der DSGVO weiter konkretisieren. In Deutschland erfolgte diese Konkretisierung durch den deutschen Gesetzgeber im Rahmen des neu gefassten Bundesdatenschutzgesetzes (BDSG-neu). Entsprechend ist es für Unternehmen unerlässlich, sich mit der Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) auseinanderzusetzen und zu klären, ab wann dieser benannt werden muss. Mit diesem Beitrag geben wir Ihnen einen informativen Überblick über das Konzept des Datenschutzbeauftragten und die mit dieser Rolle verbundenen Verpflichtungen.
Ab wann ein Datenschutzbeauftragter zu benennen ist, hängt von einigen Faktoren ab. Grundsätzlich müssen private Stellen, das heißt insbesondere Unternehmen, einen Datenschutzbeauftragten bestimmen, wenn sie ständig mit einer umfangreichen regelmäßigen und systematischen Überwachung von Personen befasst sind. Zu Personen, die ständig mit der Verarbeitung von Daten beschäftigt sind, zählen z. B. Mitarbeiter in der Personalverwaltung, im Bereich Marketing oder der Kundenbetreuung. Im Gegensatz hierzu kommen beispielsweise Produktionsmitarbeiter oder Handwerker eher vereinzelt mit personenbezogenen Daten in Berührung. Entsprechend ist hier ein Datenschutzbeauftragter Pflicht.
Diese Pflicht gilt auch dann, wenn besonders sensible Daten (vgl. Art. 9, 10 DSGVO) verarbeitet werden. Marktforschungsunternehmen sind hier ein klassisches Beispiel für Unternehmen, deren Kerntätigkeit in der Datenverarbeitung besteht. Die Benennungspflicht gilt in einem solchen Fall unabhängig von der Zahl der Mitarbeiter. Zuvor mussten private bzw. nicht-öffentliche Stellen, in denen mehr als zehn Personen ständig mit der Datenverarbeitung befasst sind, einen betrieblichen Datenschutzbeauftragten benennen. Nachdem 2019 eine Anpassung des Datenschutzrechts vorgenommen wurde, ist die Benennung mittlerweile erst ab 20 Mitarbeitern vorgeschrieben (§ 38 BDSG).