Oft gefragt: Wann muss ein Datenschutzbeauftragter bestellt werden?

Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden (also mehr als neun Personen ständig am PC mit personenbezogenen Daten arbeiten). Der Beitrag des IITR erläutert die wichtigsten Vorgaben in diesem Zusammenhang.

Eigenkontrolle der verantwortlichen Stelle

Das BDSG stellt in § 4g Abs. 1 S. 1 BDSG klar: Der Beauftragte für den Datenschutz wirkt auf die Einhaltung des BDSG und anderer datenschutzrechtlicher Vorschriften hin.

Grundlegend geht das BDSG für Unternehmen vom Prinzip der Eigenkontrolle bzw. Selbstkontrolle durch die speichernde Stelle aus. Das heißt, dass das Unternehmen und damit letztlich die Unternehmensleitung selbst für die Einhaltung der Datenschutzvorschriften verantwortlich ist. Die Kontrolle durch die jeweils zuständige Datenschutzbehörde erhält insofern lediglich eine sekundäre Funktion. Die Eigenkontrolle soll nach dem Willen des Gesetzgebers durch einen weisungsunabhängigen, der Geschäftsleitung direkt unterstellten Datenschutzbeauftragten ausgeübt werden.

Ein Datenschutzbeauftragter ist regelmäßig bei Verarbeitung personenbezogener Daten zu bestellen

Wann ein eigener Datenschutzbeauftragter bestellt werden muss, bestimmt das Bundesdatenschutzgesetz in § 4f BDSG.

Nach dieser Norm sind grundsätzlich all jene Unternehmen dazu verpflichtet einen Beauftragten für den Datenschutz zu bestellen, die personenbezogene Daten automatisiert verarbeiten. Damit spielt grundsätzlich weder die Organisationsform des Unternehmens noch die rechtliche Grundlage der Verarbeitung eine Rolle. Mit personenbezogenen Daten sind dabei Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG) gemeint.

Bei einer automatisierten Verarbeitung muss keine Bestellung eines Datenschutzbeauftragen erfolgen, wenn in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung der personenbezogenen Daten betraut sind (§ 4f Abs. 1 S. 4 BDSG).

In die Berechnung sind auch diejenigen Personen mit einzubeziehen, die nur manchmal mit der Verarbeitung betraut sind. Voll- und Teilzeitbeschäftigte sind in die Berechnung gleichermaßen mit einzurechnen. Es ist darüber hinaus nicht relevant, ob die Datenverarbeitungsaufgaben von eigenen Angestellten, freien Mitarbeitern, Zeitarbeitern, Praktikanten oder Auszubildenden etc. ausgeführt werden.

Im Umkehrschluss bedeutet dies: Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden (also mehr als neun Personen ständig am PC mit personenbezogenen Daten arbeiten).

Datenschutzbeauftragter auch bei besonderer Verarbeitungsaktivität nötig

Selbst wenn ein Unternehmen die oben genannte Anzahl der mit der Datenverarbeitung beschäftigten Personen nicht erreicht, so kann es dennoch notwendig sein, einen Datenschutzbeauftragten zu bestellen.

Der Gesetzgeber hat insoweit in § 4f Abs. 1 S. 6 BDSG verschiedene Fälle zusammengefasst, in denen wegen besonderer Verarbeitungsvorgänge oder besonders sensibler Daten eine erhöhte Gefahr für die personenbezogenen Daten der Betroffenen besteht.
Dies ist insbesondere der Fall bei professionellen Adresshändlern sowie Unternehmen zur Mitglieder- oder Personalverwaltung, Telefondatenerfassung, Videoüberwachung oder der Kundenbetreuung.

Auch wenn ein Unternehmen mit besonders sensiblen Daten im Sinne von § 3 Abs. 9 BDSG (beispielsweise Daten über die rassische und ethnische Herkunft, über politische Meinungen oder religiöse oder philosophische Überzeugungen) umgeht, kann ein Datenschutzbeauftragter nötig sein. Sollten Sie an dieser Stelle unsicher sein, ob Ihr Unternehmen einen Datenschutzbeauftragten benötigt, empfehlen wir Ihnen Rechtsrat einzuholen.

Wer darf zum Datenschutzbeauftragten bestellt werden?

Müssen Sie einen Datenschutzbeauftragten bestellen so stellt sich natürlich die Frage, wer zu diesem berufen werden kann.

Es kann hierbei sowohl ein eigener Mitarbeiter (so genannter „interner Datenschutzbeauftragter“) sowie auch eine externe Person (so genannter „externer Datenschutzbeauftragter“) bestellt werden. Wird ein Mitarbeiter zum internen Datenschutzbeauftragten bestellt genießt dieser einen besonderen Kündigungsschutz.

Nach dem BDSG ist die Bestellung dabei zum einen an das Vorliegen einer gewissen Fachkunde sowie an die Zuverlässigkeit der Person geknüpft. Der Gesetzgeber hat aber kein festes Anforderungsprofil festgelegt.
Ob der Bestellte den Anforderungen genügt, muss damit am Einzelfall und je nach der Schwerpunktsetzung des Unternehmens sowie anhand einer branchenspezifisch erforderlichen Fachkunde festgestellt werden. Da sich die Verarbeitungstechnologie ständig fortentwickelt muss sich der Datenschutzbeauftragten laufend über die neuen datenschutzrechtlichen Rahmenbedingungen informieren.

Schließlich sollte der Datenschutzbeauftragte auch über die nötigen rechtlichen Kenntnisse verfügen, um auch den Hintergrund der datenschutzrechtlichen Regelungen verstehen und darauf aufbauend die Konsequenzen für die verantwortliche Stelle richtig einschätzen zu können.

Fazit

Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden (also mehr als neun Personen ständig am PC mit personenbezogenen Daten arbeiten) oder einer der besonderen Fälle des § 4f Abs. 1 S. 6 BDSG einschlägig ist.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.