Datenschutz-Grundverordnung (DSGVO) und Bundesdatenschutzgesetz (BDSG-neu) definieren, wann ein Unternehmen dazu verpflichtet ist, einen Datenschutzbeauftragten zu benennen. Eine gesetzliche Verpflichtung liegt in den folgenden Fällen vor:
- Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen.
- Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten.
Vorgaben gemäß BDSG-neu
- Nach § 38 Abs. 1 Satz 1 BDSG-neu ist ergänzend zu den Vorgaben der DSGVO ein Datenschutzbeauftragter zu benennen, soweit in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
- Nach § 38 Abs. 1 Satz 2 BDSG-neu ist schwellenwertunabhängig ein Datenschutzbeauftragter zu benennen, wenn Verarbeitungen erfolgen, die einer Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Weitere Informationen und Beispiele finden Sie hier: Wann ist ein Datenschutzbeauftragter erforderlich?
Bei personenbezogenen Daten handelt es sich um Einzelangaben, die über persönliche oder sachliche Verhältnisse informieren. Hierzu zählen unter anderem:
- Name, Alter, Familienstand, Geburtsdatum
- Personalausweisnummer, Sozialversicherungsnummer
- Adressdaten sowie Telefonnummer, E-Mail Adresse
- Konto- und Kreditkartennummer
- Kraftfahrzeugnummer, Kfz-Kennzeichen
- Gesundheitsdaten und genetische Daten
- Werturteile wie zum Beispiel Zeugnisse
- Vorstrafen
Bei personenbezogenen Daten, die Unternehmen von verarbeitet werden, denken viele Menschen vorrangig an Kundendaten. Allerdings darf nicht vergessen werden, dass Personaldaten ebenfalls personenbezogen und somit im Rahmen des Datenschutzes zu berücksichtigen sind.
Die Form, in der relevante Daten verarbeitet und beispielsweise gesichert werden, spielt keine Rolle. Daher können auch Audioaufzeichnungen, Fotos, Videos oder Röntgenaufnahmen als personenbezogene Daten klassifizierbar sein.
Ein Datenschutzbeauftragter stellt sicher, dass keine Fehler im Umgang mit diesen Daten gemacht werden und sich das Unternehmen somit auf rechtssicherem Terrain bewegt. Soweit die Bestellung eines Datenschutzbeauftragten nicht gesetzlich vorgeschrieben ist, muss die Unternehmensleitung den Datenschutz sicherstellen. Es besteht die Option, einen externen Datenschutzbeauftragten freiwillig zu bestellen.
Hier erfahren Sie mehr über die Aufgaben eines Datenschutzbeauftragten.