Ihre Datenschutzexperten

Wann muss ein privates Unternehmen einen Datenschutzbeauftragten stellen?

Die DSGVO und das Bundesdatenschutzgesetz (BDSG) schreiben für private Unternehmen die Bestellung eines Datenschutzbeauftragten vor, wenn bestimmte Voraussetzungen erfüllt sind. Diese Voraussetzungen sind wie folgt:

  1. Das Unternehmen beschäftigt in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten. Ausschlaggebend ist die tatsächliche Anzahl der Mitarbeiter, unabhängig ob Vollzeit- oder Teilzeit-Kraft, Auszubildende, geringfügig Beschäftigte oder freier Mitarbeiter.
  2. Das Unternehmen ist verpflichtet, eine Datenschutz-Folgenabschätzung gemäß Art-35 DSGVO durchzuführen. Typische Beispiele sind: Geo-Lokalisierungen von Beschäftigten via GPS oder RFID, umfassende Scoring-Verfahren zur Bewertung von Bonität, Inkasso-Dienstleistungen oder der Einsatz von Fraud-Prevention-Systemen.
  3. Das Unternehmen verarbeitet personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.
  4. Die Kerntätigkeit des Unternehmens besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Das trifft beispielsweise auf Sicherheitsdienste zu (Stichwort: Videoüberwachung).
  5. Die Kerntätigkeit des Unternehmens besteht in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten gemäß Art. 9 DSGVO oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten Art. 10 DSGVO.

Die Voraussetzungen 2 bis 5 gelten unabhängig von der Anzahl der beschäftigten Personen. Somit kann die Benennung eines Datenschutzbeauftragten auch für kleine Unternehmen verpflichtend sein. Eine Unternehmensgruppe darf gemäß Art. 37 Abs. 2 DSGVO einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

Auch wenn kein Datenschutzbeauftragter bestellt werden muss, müssen private Unternehmen eine entsprechende Dokumentation der Maßnahmen zum Schutz personenbezogener Daten erstellen und pflegen. Eine Datenschutzerklärung auf der Homepage ist ein guter Anfang, jedoch nicht ausreichend.

Durch individuelle und effektive Datenschutzkonzepte können Unternehmen die Vorschriften praktisch und schnell umsetzen sowie Mitarbeiter für das Thema sensibilisieren. Das schafft Vertrauen auch Vertrauen bei Kunden und Geschäftspartnern.

Gelebter Datenschutz sollte ein Unternehmen nicht lähmen, sondern voranbringen.