einwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste

Wann muss ein Datenschutzbeauftragter bestellt werden?

[Update 25.05.2018]

Bitte beachten Sie, dass dieser Artikel seit Wirksamwerden der DS-GVO nicht mehr aktuell ist.

[Update Ende]

Das Bundesdatenschutzgesetz (BDSG) liefert klare Kriterien, wann ein Datenschutzbeauftragter bestellt werden muss. Allerdings sind nicht alle Kriterien bei allen Unternehmen bekannt. Und einfach im Gesetz zu finden sind sie leider auch nicht. Daher möchte ich Ihnen mit diesem Artikel eine Hilfe an die Hand geben, die Entscheidungsfindung zu erleichtern.

Die 10-Personen-Grenze

Bekanntestes (und meist auch einziges bekanntes) Kriterium ist natürlich die Anzahl der Personen, die „ständig mit der automatisierten Verarbeitung personenbezogener Daten“ beschäftigt sind. Sind es mind. 10 Personen, so liegt automatisch eine Bestellpflicht vor. Mit „Anzahl der Personen“ ist übrigens tatsächlich die Anzahl der Köpfe gemeint, nicht etwa Fulltime Equivalent (FTE). Es ist also unerheblich ob jemand Voll- oder Teilzeit arbeitet, ob es sich um Aushilfen, Praktikanten, Leiharbeitnehmer oder fest angestellte Mitarbeiter handelt. Wenn es sich insgesamt um 10 Personen oder mehr handelt, liegt eine Bestellpflicht vor.

Die 20-Personen-Grenze

Jetzt kommen wir zur nächsten Überraschung: Angenommen, es wird keine oder nur wenig IT im Unternehmen eingesetzt. Auch dann existiert eine magische Grenze für die Pflicht zur Bestellung eines Datenschutzbeauftragten und die lautet: 20. Ab 20 Personen, die mit personenbezogenen Daten arbeiten ist ein Datenschutzbeauftragter zu bestellen. Egal, ob IT eingesetzt wird oder nicht.

besondere Arten personenbezogener Daten

Ein weiteres – scheinbar völlig unbekanntes – Kriterium ist die Verarbeitung sogenannter besonderer Arten personenbezogener Daten. Diese werden im BDSG in § 3 Abs. 9 definiert. Es handelt sich grob gesagt um alles, was als besonders sensibel einzustufen ist und womit dem Betroffenen (also derjenigen Person, auf die sich diese Daten beziehen) geschadet werden könnte (mehr s. hier). Wenn dieses im Unternehmen passiert und vom Betroffenen keine Einverständniserklärung (für jeden Einzelfall oder entsprechend gut formuliert auch für mehrere Fälle) und kein entsprechender Vertrag vorliegt, muss ein Datenschutzbeauftragter bestellt werden. An dieser Stelle klärt sich auch die Frage, warum Ärzte nicht per se verpflichtet sind, einen Datenschutzbeauftragten zu bestellen: Es liegt ein Behandlungsvertrag vor und ggf. hat der Betroffene sogar zusätzlich noch eine Einwilligungserklärung unterschrieben. Er ist auf jeden Fall informiert, dass von ihm besondere Arten personenbezogenen Daten verarbeitet werden. Schließlich ist genau das der Zweck eines Arztbesuchs.

Übermittlung

Ein weiteres Kriterium, welches eine Bestellpflicht auslöst, ist die Verarbeitung personenbezogener Daten zum Zwecke der Übermittlung an Dritte. Damit ist gemeint, dass die Daten an Stellen außerhalb des Unternehmens weiter gegeben werden. Mit Stellen außerhalb des Unternehmens sind übrigens auch andere Unternehmen innerhalb eines gemeinsamen Konzerns gemeint. Ausgenommen ist die Weitergabe von Daten an Dienstleister im Rahmen einer Datenverarbeitung im Auftrag. Auch die Bereitstellung der Daten zum Abruf, ist eine Übermittlung.

Markt- und Meinungsforschung

Unternehmen die im Bereich Markt- und Meinungsforschung tätig sind, müssen einen Datenschutzbeauftragten bestellen.

Bewertung von Persönlichkeit, Fähigkeiten, Leistung

Letztes Kriterium, welches bewirkt, dass ein Datenschutzbeauftragter bestellt werden muss, ist wenn einer der Zwecke der Datenverarbeitung die Bewertung der Persönlichkeit der Betroffenen, einschließlich seiner Fähigkeiten oder Leistungen ist.

Online-Schnelltest

Um Ihnen die Überprüfung Ihrer Bestellpflicht zu erleichtern habe ich einen Online-Schnelltest entwickelt. Diesen finden Sie hier. Er kann völlig anonym genutzt werden. Ich erhalte keine Informationen darüber, wer ihn aufgerufen hat. Lediglich das Ergebnis (Bestellpflicht ja oder nein) werte ich zu statistischen Zwecken aus. Hier geht’s zum Online-Schnelltest (Achtung, der Test wurde auf die Anforderungen der DS-GVO angepasst!).