Wann muss ein Datenschutzbeauftragter benannt werden?

In jedem Unternehmen ist zu klären, ob ein ein Datenschutzbeauftragter (DSB) benannt  werden muss. Dies ist übrigens kein einmaliger Prüfvorgang, sondern die Feststellung sollte zyklisch durchgeführt werden, da sich die Rahmenbedingungen ändern können.

Nach Artikel 37 DSGVO und §38 BDSG (neu) für nichtöffentliche Stellen ist in folgenden Fällen ein Datenschutzbeauftragter zu benennen:

1. Es werden in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt

2. Es werden Verarbeitungsvorgänge durchgeführt, die eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich machen.

3. Es werden umfangreiche Verarbeitungen von besonderer Kategorien von Daten gemäß Artikel 9 DSGVO oder von strafrechtlichen Verurteilungen und Straftaten gemäße Artikel 10 vorgenommen.

4. Es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen.

5. Es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder der Meinungsforschung verarbeitet.

I.d.R. ist die Anzahl der Personen, die regelmäßig personenbezogene Daten verarbeiten eines der wesentlichen Kriterien für die Bestimmung eineder DSB-Pflicht. Dabei sollte nicht außer acht gelassen werden, dass alle Personen mit Personalverantwortung hierzu gezählt werden müssen, wie Vertrieb, IT, Marketing udn i.d.R. die Administration.

Ein interessanter Diskussionspunkt ist die Frage, ob die Verarbeitung von Krankmeldungen, die zu den besonderen Kategorien von personenbezogene Daten gehören die Pflicht zur Berufung eines DSB automatisch beinhalten. Ich teile diese Einschätzung noch nicht, da die Verarbeitung ja nicht ständig und umfangreich erfolgen. Außerdem müsste dann jeder, der mindestens einen Mitarbeiter hat einen DSB bestellen. Hier ist abzuwarten, wo die Aufsichtsbehörden die Grenze ziehen bzw. diese Daten betrachten.