Ab wann besteht eine Bestellpflicht für einen Datenschutzbeauftragten?

Ein Unternehmen sollte nach dem neuen § 38 BDSG einen Datenschutzbeauftragten bestellen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Als Faustregel kann hier gelten, dass 10 dienstliche E-Mail-Adresse für Mitarbeiter bestehen. Diese Vorschrift konkretisiert den Artikel 37 der europäischen Datenschutzgrundverordnung.

Für spezielle Unternehmen wir etwa Auskunfteien oder Unternehmen, die Markt- und Meinungsforschung betreiben besteht demnach, generell eine Bestellpflicht.

Gemäß  § 4f BDSG besteht eine Bestellpflicht für einen Datenschutzbeauftragten wenn:

1. Öffentliche und nicht-öffentliche Stellen personenbezogene Daten automatisiert verarbeiten
   und
2. in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind

Die 'harte' Grenze von 10 Personen, die regelmäßig mit personenbezogenen Daten umgehen, ist mittlerweile allgemein bekannt. Hierzu zählen übrigens auch Teilzeitkräfte, es wird nicht auf sogenannte Fulltime equivalents (FTEs) abgezielt. Auch das Vertragsverhältnis (Aushilfe, Praktikant, Angestellter, Leiharbeitnehmer) ist unerheblich. Zusätzlich zu dieser Grenze gibt es weitere Kriterien, z. B. ob mit sogenannten besonderen Arten personenbezogener Daten gem. §3 BDSG umgegangen wird. Alleine dieser Fakt löst bereits eine Bestellpflicht aus, unabhängig von der Anzahl der Personen, die mit den Daten arbeiten. Die reine Unternehmensgröße hingegen ist für die Beurteilung der Bestellpflicht unerheblich. Grundsätzlich sollten sich Unternehmen bei der Beurteilung der Bestellpflicht durch einen Fachmann beraten lassen.

Gemäß § 38 BDSG sind nicht-öffentliche Stellen, bei denen mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, dazu verpflichtet, eine/n Datenschutzbeauftragte/n zu benennen.

Falls Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden, ist ebenfalls ein/e Datenschutzbeauftragte/r zu benennen.

Diese Pflicht besteht unabhängig von der Anzahl der Beschäftigten.

Gemäß Art. 37 DS-GVO sind Unternehmen, deren  Kerntätigkeit  in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen  zur Benennung eines/r Datenschutzbeauftragten verpflichtet.

Gemäß Art. 37 DS-GVO sind Unternehmen deren  Kerntätigkeit  in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht, zur Benennung eines/r Datenschutzbeauftragten verpflichtet.