Datenschutzbeauftragter: Dann brauchen Unternehmen ihn

Das Thema Datenschutz: Vor allem in Unternehmen handelt es sich hierbei um einen sowohl wichtigen als auch einen vielschichtigen Aspekt. Dabei stellt ein gutes Management des Datenschutzes das A und O dar. Es ist leider in vielen Fällen schwierig, die optimale Herangehensweise zu finden, um weiterhin eine effiziente und erfolgreiche Arbeit leisten zu können. Folglich muss oftmals ein Datenschutzbeauftragter benannt werden – doch ab wann wird dieser in einem Unternehmen benötigt?

binary 4437419 1280
Datenschutzbeauftragter: Dann brauchen Unternehmen ihn. pixabay.com ©geralt (Creative Commons CC0)

Benennung eines Datenschutzbeauftragten

Beschäftigt ein Unternehmen mindestens zwanzig Mitarbeiter, welche regelmäßig in der automatisierten Datenverarbeitung tätig sind, so hat das Unternehmen laut der geltenden Datenschutzgrundverordnung (DSGVO) einen Datenschutzbeauftragten zu benennen. Die Datenverarbeitung umfasst unter anderem die Erhebung sowie die Nutzung von Daten.

Gleichgültig, wie viele Mitarbeiter im Unternehmen beschäftigt sind, gilt jene Pflicht auch in den folgenden Fällen:

  1. Im Unternehmen kommt es zur umfangreichen Verarbeitung besonderer Arten von Daten – dazu zählen beispielsweise die Gesundheit und das Sexualleben, die Ethnie/Rasse oder auch politische beziehungsweise religiöse Überzeugungen.Oder
  2. Die hauptsächliche Tätigkeit des Unternehmens besteht in der Erhebung, Nutzung, Verarbeitung oder der Übermittlung personenbezogener Daten.

Die Benennungspflichten sind entsprechend an verschiedene Voraussetzungen geknüpft.

Benennungspflicht nach dem Bundesdatenschutzgesetz-neu

Ferner ist in Paragraf 38 Absatz 1 Satz 1 des Bundesdatenschutzgesetzes (neu) folgendes geregelt: Die Benennung eines Datenschutzbeauftragten ist obligatorisch, sofern mindestens 20 Angestellte regelmäßig in der automatisierten Verarbeitung personenbezogener Daten tätig sind. Dabei ist es gleichgültig, ob es sich bei den einzelnen Angestellten um Voll- oder Teilzeitbeschäftigte handelt.

Des Weiteren sind bei jener Rechnung auch die folgenden Mitarbeiter des Unternehmens miteinzubeziehen:

  1. Freie Mitarbeiter
  2. Leiharbeitnehmer
  3. Auszubildende
  4. Praktikanten

Es ist lediglich entscheidend, ob die jeweiligen Mitarbeiter auch in der automatisierten Verarbeitung von personenbezogenen Daten tätig sind. Achtung: In der Regel liegt dies bereits bei einer einfachen Kommunikation per E-Mail vor.

Typische betroffene der automatisierten Verarbeitung personenbezogener Daten:

  1. Vertriebsmitarbeiter
  2. Mitarbeiter der IT-Abteilung
  3. Sachbearbeiter
  4. Personalabteilung
  5. Finanzabteilung

Weitere Regelungen nach Paragraf 38 Absatz 1 Satz 2 des Bundesdatenschutzgesetzes (neu): Unabhängig von der Mitarbeiterzahl besteht ebenso dann eine Benennungspflicht, wenn

  1. es im Unternehmen zu Verarbeitungen kommt, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Datenschutzgrundverordnung unterliegen,oder
  2. jene verantwortliche Stelle personenbezogene Daten zu verschiedenen geschäftsmäßigen Zwecken verarbeitet – und zwar zu Zwecken der Übermittlung, der anonymisierten Übermittlung oder auch aus Gründen der Markt- sowie der Meinungsforschung.

Der Datenschutzbeauftragte nach DSGVO

Aus Beweisgründen sollte die Benennung des Datenschutzbeauftragten unbedingt in schriftlicher Form erfolgen.

Ein geeigneter Datenschutzbeauftragter ist für das Unternehmen nun ernannt worden – entstehen dem Unternehmen auch Kosten hierfür?

Die DSGVO sieht für jedes Unternehmen bei Erfüllung der Voraussetzungen die Benennung eines Datenschutzbeauftragten vor. Egal, welche Gründe die Bestellung eines Datenschutzbeauftragten hat – dem Unternehmen werden hierfür Kosten entstehen. Die Höhe der Kosten kann jedoch stark variieren: Je nachdem, ob es sich um einen externen oder um einen internen Datenschutzbeauftragten handelt.

So werden externe Datenschutzbeauftragte häufig für pauschale monatliche Beiträge tätig – eine umfassende Beratung ist zu monatlichen Beträgen ab 150 Euro möglich. Dagegen können die Kosten für interne Datenschutzbeauftragte schon ganz anders aussehen: Aus- und Fortbildung sowie Fachliteratur ist für den internen Datenschutzbeauftragten nötig, jene Kosten können sich auf mehrere tausend Euro pro Jahr belaufen.