Ab wann braucht man einen Datenschutzbeauftragten?

Das ergibt sich aus Art. 37 EU-Datenschutzgrundverordnung (DSGVO) in Verbindung mit § 38 des am 25. Mai 2018 in Kraft tretenden Bundesdatenschutzgesetz (BDSG-neu). Grundsätzlich lässt sich sagen, dass nach BDSG-alt eine/n DSB zu bestellen hatte, auch künftig einen DSB benennen muss.

Ein Datenschutzbeauftragter muss denn bestellt werden, wenn einer der nachfolgenden Fälle eintritt:

1. Gemäß § 38 BDSG sind nicht-öffentliche Stellen, bei denen mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, dazu verpflichtet, eine/n Datenschutzbeauftragte/n zu benennen.
2. Falls Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden, ist ebenfalls ein/e Datenschutzbeauftragte/r zu benennen.
3. Diese Pflicht besteht unabhängig von der Anzahl der Beschäftigten.
4. Gemäß Art. 37 DS-GVO sind Unternehmen, deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen zur Benennung eines/r Datenschutzbeauftragten verpflichtet.
5. Gemäß Art. 37 DS-GVO sind Unternehmen, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht, zur Benennung eines/r Datenschutzbeauftragten verpflichtet.