Sie führen ein Unternehmen, sind sich aber nicht sicher, ob Sie einen Datenschutzbeauftragten (DSB) brauchen? Dann lohnt ein Blick in Artikel 37 Abs. 1 der Datenschutzgrundverordnung (DSGVO). Wir erklären Ihnen, was darin geregelt ist und ob der DSB intern oder extern sein sollte.
Generell gibt es zwei Möglichkeiten:
- Sie führen ein Unternehmen, das besonders sensible Daten verarbeitet. Dann brauchen Sie unbedingt einen Datenschutzbeauftragten, unabhängig von der Mitarbeiterzahl.
- Bei allen anderen Unternehmen müssen Sie erst ab einer bestimmten Mitarbeiteranzahl einen DSB stellen.
Unternehmen in sensiblen Bereichen
Alle Unternehmen, die besonders viele oder besonders sensible Daten verarbeiten, brauchen in jedem Fall einen Datenschutzbeauftragten. Darunter fallen nach Artikel 37 der DSGVO folgende Unternehmenskategorien:
- Behörde oder öffentliche Stelle
- Ein Unternehmen, dessen Kerntätigkeit eine regelmäßige und systematische Überwachung von Betroffenen erforderlich macht. Darunter fallen z. B. Auskunfteien; Detekteien; Versicherungsunternehmen (Risikomanagement oder individualisierte Tarife wie „Pay as you drive“) sowie Unternehmen, die Marketing auf Basis detaillierter Kunden- und Interessentenprofile anbieten.
- Unternehmen, deren Kerntätigkeit in der Bearbeitung von besonderen Arten personenbezogener Daten liegt (Art. 9 / 10 DSGVO). Darunter fallen z. B. Gesundheitseinrichtungen wie Kliniken und Labore für genetische Untersuchungen sowie Beratungsstellen zu Gesundheits-Themen und Dienstleister im biometrischen ID-Management.
Sonstige Unternehmen, die einen DSB brauchen
Fällt ein Unternehmen nicht in eine der genannten sensiblen Kategorien, entscheidet die nationale Regelung, ob ein Datenschutzbeauftragter zu benennen ist. Hierfür gilt in Deutschland das Bundesdatenschutzgesetz (BDSG). Diese Regelungen haben sich durch die DSGVO nicht geändert. Konkret wird in Deutschland ein Datenschutzbeauftragter notwendig, wenn:
- in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
- Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Damit sind viele KMUs in der Pflicht, einen Datenschutzbeauftragten zu stellen: Denn vor allem in Marketing, HR und Vertrieb sind viele Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten beschäftigt. Auch in Produktion und Lager kann eine Verarbeitung personenbezogener Daten stattfinden, wenn Aufträge bestimmten Personen zugeordnet sind.
Besonders wichtig zu wissen: Eine Person gilt bereits als „ständig“ beschäftigt, wenn sie die Aufgabe, bei der personenbezogene Daten verarbeitet werden, regelmäßig wahrnimmt. Dazu muss diese Tätigkeit nicht ihre Hauptaufgabe sein!
Interner oder externer Datenschutzbeauftragter?
Generell steht es Ihnen frei, ob Sie einen internen oder einen externen DSB bestellen. Gerade bei größeren Unternehmen, bei denen ein hoher Datenschutz-Aufwand anfällt, kann ein interner Datenschutzbeauftragter sinnvoll sein, da so ein Ansprechpartner rund um die Uhr im Haus ist.
Gerade für kleine und mittlere Unternehmen kann jedoch ein externer DSB eine bessere Lösung darstellen: Denn so vermeiden Sie Interessenkonflikte (Personen aus IT, Marketing, Personal dürfen z.B. kein Datenschutzbeauftragter werden) und Sie profitieren von stets aktuellem Fachwissen, ohne Ihre Mitarbeiter regelmäßig zu Schulungen schicken zu müssen. Zudem geht das Haftungsrisiko auf den externen Anbieter über, sodass Sie Ihr eigenes Risiko minimieren. Hier erfahren Sie mehr über die Vorteile eines externen Datenschutzbeauftragten: Aufgaben eines Datenschutzbeauftragten
Wünschen Sie eine Beratung oder sind auf der Suche nach einem externen Datenschutzbeauftragten? Dann nehmen Sie gerne Kontakt mit mir auf und vereinbaren Sie ein unverbindliches Kennenlernen!
Bild: SOCIAL.CUT via unsplash.com
