Wann in Unternehmen ein Datenschutzbeauftragter eingestellt werden muss, regelt zum einen die Datenschutzgrundverordnung (DSGVO) und ergänzend dazu das Bundesdatenschutzgesetz (BDSG).
Datenschutzbeauftragter wegen der Tätigkeit
Datenschutz sollte generell für jedes Unternehmen ein Thema sein. Unter bestimmten Voraussetzungen gibt es allerdings die Pflicht, einen Datenschutzbeauftragten einzuberufen. Die DSGVO bestimmt, dass in jedem Fall ein Datenschutzbeauftragter einzubestellen ist, sofern die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen liegt, welche aufgrund ihrer Art oder ihres Zwecks umfangreiche systematische Überwachung von betroffenen Personen erforderlich macht. Darunter fallen etwa Unternehmen, deren Kerntätigkeit in der Erhebung von Daten liegen. Also etwa Unternehmen, die Gesundheitsdaten für ein Krankenhaus verarbeiten. Die Verwaltung von Personalakten in einem Unternehmen, welches eine andere Kerntätigkeit hat, fällt nicht darunter. Die Überwachung von Daten muss umfangreich, regelmäßig und systematisch sein.
Außerdem muss ein Datenschutzbeauftragter immer dann eingestellt werden, wenn es sich um eine Unternehme handelt, welches umfangreich Daten besonders sensibler Kategorien sammelt. Dabei handelt es sich beispielsweise um Gesundheitsdaten, personenbezogene Daten über Straftaten, Daten über die sexuelle Orientierung, politische Meinungen oder religiöse Überzeugungen. Auch genetische und biometrische Daten fallen unter diese Kategorie.
Bei Unternehmen, die diese Bedingungen erfüllen, ist ein Datenschutzbeauftragter einzuberufen, unabhängig von der Größe des Unternehmens.
Datenschutzbeauftragter wegen der Unternehmensgröße
Das BDSG regelt zudem, dass unabhängig von der Tätigkeit des Unternehmens ein Datenschutzbeauftragter einzuberufen ist, wenn in der Regel mindestens 20 Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Auch freie Mitarbeiter, Praktikanten und Teilzeitkräfte zählen zu diesen 20 Personen. Die Datenverarbeitung der Mitarbeiter muss regelmäßig und wiederkehrend sein.
Es gibt keine festgelegte Ausbildung, die ein Datenschutzbeauftragter haben muss, trotzdem sollte er über Qualifikation und Fachwissen verfügen. Zu seinen Aufgaben gehört es, das Unternehmen über die datenschutzrechtlichen Pflichten aufzuklären und die Einhaltung zu überwachen. Er ist Ansprechpartner für Mitarbeiter, bei Fragen im Umgang mit Daten. Außerdem muss er, der zuständigen Behörde zur Verfügung stehen, wenn es zu einer Datenpanne kommt.
Kommentar schreiben