DSGVO: Wer benötigt wirklich einen Datenschutzbeauftragten?

Veröffentlicht: 26.04.2018 | Geschrieben von: Yvonne Bachmann | Letzte Aktualisierung: 19.07.2018

Die DSGVO richtet sich in erster Linie an die Verantwortlichen, also all diejenigen Unternehmen, die in den Anwendungsbereich der DSGVO fallen und über die Verarbeitung von personenbezogenen Daten entscheiden. Natürlich müssen und können Unternehmer, abhängig von der Unternehmensgröße, nicht alles alleine bewältigen. Einige Händler können und einige müssen deshalb sogar einen eigenen Datenschutzbeauftragten bestellen.

Datenschutzbeauftragter
© Rawpixel.com / Shutterstock.com

Der Datenschutzbeauftragte im Unternehmen

Der Schutz persönlicher Daten spielt besonders im Internet und im E-Commerce eine übergeordnete Rolle. In einigen Fällen verlangt der Gesetzgeber sogar die Bereitstellung eines Datenschutzbeauftragten. Das ist bereits jetzt schon so und wird auch mit der neuen DSGVO so bleiben. Jeder Online-Händler sollte also schon jetzt für sich abklären, ob er verpflichtet ist, formell einen Datenschutzbeauftragten zu benennen.

Der Datenschutzbeauftragte in der DSGVO

Durch die DSGVO werden Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn deren Kerntätigkeit (d. h. deren Hauptaktivität) in einer Datenverarbeitung besteht, die aufgrund ihres Zwecks oder ihres Umfangs eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erfordert (z. B. Marktforschungsunternehmen). Hierzu gehören nicht die das Kerngeschäft unterstützenden Tätigkeiten wie z. B. die Verarbeitung der Beschäftigtendaten der eigenen Mitarbeiter.

Ein Datenschutzbeauftragter nach der DSGVO dürfte für kleine und mittelständische Online-Händler daher nicht notwendig werden, da sie kaum systematisch oder in größerem Umfang Kundendaten überwachen – zumindest nicht in der Hauptaufgabe.

Deutsches Recht strenger als DSGVO

Doch Unternehmer und Verantwortliche sollten sich (leider) nicht zu früh freuen. Auch wenn die Vorschriften der DSGVO für sie zu keiner Pflicht führen, gilt neben der DSGVO das deutsche Datenschutzrecht in Form des Bundesdatenschutzgesetzes (kurz: BDSG). Ähnlich wie die Nachbarn in Österreich hat auch Deutschland eigene Regelungen ergänzend zur DSGVO getroffen – leider strengere als der EU-Standard.

Der Verantwortliche hat sich in Deutschland um einen Datenschutzbeauftragte zu kümmern, soweit im Unternehmen in der Regel

  • mindestens zehn Personen
  • ständig
  • mit der automatisierten Verarbeitung personenbezogener Daten

beschäftigt sind.

„Ständig“ meint in diesem Zusammenhang nicht, dass die Datenverarbeitung die Hauptaufgabe des jeweiligen Mitarbeiters sein muss. Vielmehr genügt es, dass das Verarbeiten von Daten, wenn auch nur in geringem Maße, zum regelmäßigen Aufgabengebiet des Mitarbeiters gehört.

Beispiele (soweit diese Mitarbeiter tatsächlich Zugriff auf personenbezogene Daten haben/diese verarbeiten usw.):

  • Mitarbeiter in Vertrieb und Kundenservice
  • Mitarbeiter in Auftragsbearbeitung und Logistik
  • Mitarbeiter im Marketing (z. B. E-Mail-Marketing-Manager)
  • Mitarbeiter in der Lohn- und Finanzbuchhaltung
  • Systemadministrator

Als Mitarbeiter in diesem Sinne zählen auch Teilzeitkräfte, Studenten, Auszubildende und Aushilfskräfte.

Gegenbeispiele:

  • Reinigungspersonal
  • Hausmeister

Beispiel:

Ein Online-Händler für IT-Systeme hat insgesamt 14 Mitarbeiter. Davon beschäftigt er acht Mitarbeiter im Vertrieb und in der Auftragsbearbeitung, vier weitere im Kundenservice, einen E-Mail-Marketing-Manager und einen Systemadministrator. Er hat die Grenze von zehn Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, erreicht und muss einen Datenschutzbeauftragten bestellen.

Der Datenschutzbeauftragte kann ein Beschäftigter des Unternehmens sein (interner Datenschutzbeauftragter) oder seine Aufgaben aufgrund eines Dienstleistungsvertrages erfüllen (externer Datenschutzbeauftragter). Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt eine schriftliche Bestellung. Zur Stellung, zu den Rechten und den Aufgaben des Datenschutzbeauftragten hier mehr.

10-Mitarbeiter-Grenze führt regelmäßig zur Pflicht

In nahezu jedem Unternehmen werden Mitarbeiter-, Kunden- oder sonstige personenbezogene Daten (z. B. von Vertriebspartnern, Webseitenbesuchern) automatisiert verarbeitet. Händler mit zehn oder mehr Beschäftigten fallen daher regelmäßig unter die Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn sie einen Computer-Arbeitsplatz haben oder anderweitig mit personenbezogenen Daten arbeiten, die in der Speicherung auf dem Computer resultieren (z. B. Außendienstmitarbeiter, der zunächst handschriftlich Aufträge annimmt). 

Hinweis: Auch wenn es für Ihr Unternehmen (noch) keine Pflicht gibt, gelten die Vorschriften der DSGVO und sonstiger Datenschutzbestimmungen für Unternehmen. Sie sollten daher jemanden festlegen, der die Verantwortung für die Einhaltung der Datenschutzbestimmungen übernimmt, und beurteilen, wo diese Rolle innerhalb der Struktur Ihres Unternehmens angesiedelt ist.

Über die Autorin

Yvonne Bachmann
Yvonne Bachmann Expertin für: IT-Recht

Yvonne ist schon seit Beginn ihrer juristischen Laufbahn mit Leib und Seele im IT-Recht unterwegs. Seit Anfang 2013 ist sie als Volljuristin beim Händlerbund tätig und berät dort hilfesuchende Online-Händler in Rechtsfragen rund um ihren Shop. Genausolange berichtet sie bei uns zu Rechtsthemen, welche die E-Commerce-Branche aufwirbeln. 

Sie haben Fragen oder Anregungen?

Kontaktieren Sie Yvonne Bachmann

Kommentare  

#6 Redaktion 2018-05-08 10:12
Hallo liebe DSGVO Fragerin,

vielen Dank für die Rückfrage. Da die Antwort sicher alle Leser interessiert hier unsere Anmerkung:

Die Voraussetzungen
- 10 Mitarbeiter und
- ständiges Datenverarbeiten
müssen zusammen vorliegen. Ein Unternehmen mit weniger als zehn Mitarbeitern fällt daher raus (siehe auch die Ausnahmen oben). Auch wenn die vorhanden zehn oder mehr Mitarbeiter nichts mit Datenverabeitun g zu tun haben, wird kein Datenschutzbeau ftragter benötigt.

Viele Grüße!
Zitieren
#5 DSGVO Fragerin 2018-05-07 14:26
Eines ist mir noch nicht ganz klar, deshalb stelle ich die Frage, in der Hoffnung, dass diese (noch) beantwortet wird:

Bezüglich der Voraussetzungen einen Datenschutzbeau fragten zu benennen:
Müssen beide Kriterien erfüllt sein, oder muss nur ein Kriterium erfüllt sein (entweder 10 MA >; oder ständiges Verarbeiten von Daten).

Vielleicht klingt meine Frage ein bisschen doof, aber vor lauter Rechtstexten usw. schwirrt mir sehr der Kopf!

Danke für die Antwort.
Zitieren
#4 Heidemann 2018-05-04 12:13
auf das "Lieber" verzichte ich ja gerne (also wenn ich eine Antwort bekommen würde ?)
zumindest die 3 letzten Fragen - dürften ja noch mehr Leute interessieren ?
nachher heißt es wieder Sie können die Daten doch nicht ohne nochmalige Kontrolle herausgeben (also Ausweis- /Passkopie /Meldeschein oder tatsächlich nur eine Anfrage über einen Account wenn vorhanden ?)
--------------------
also ich habe mir Gestern auch Ihr Video zur DSGVO angesehen - und kann nur sagen - nur gut das ich mir keinen "Trainingsday o.ä." leisten kann - meine immer noch mehr Fragen ,als ........... hätten wohl die Veranstaltung gesprengt ?
---------------
wie unsinnig das ganze ist - zeigt sich ja schon darin:
die Staatsgewalt fordert einen schlanken Umgang mit Daten - selbst Email /Telefonnummer seien nicht erforderlich usw. ....
gleichzeitig soll ich aber Listen /Datenbanken über jede meiner bewegungen im Internet anlegen - dazu kommt dann noch das Verpackungsgese tz und was weiß ich noch alles - Orwell hätte seinen Spass daran - der 2. Band hieße dann Deutschland 2018 - na dann ein schönes Wochenende
Zitieren
#3 Redaktion 2018-05-03 09:41
Liebe Frau Sturm,

vielen Dank für die Rückfrage. Gerne stellen wir noch einmal klar, dass es bei der maßgeblichen Zahl auf folgendes ankommt: Als Mitarbeiter zählen auch Teilzeitkräfte, Studenten, Auszubildende und Aushilfskräfte - natürlich nur, soweit diese mit der Datenverabeitun g betraut sind (siehe Artikel).

Viele Grüße!

Die Redaktion
Zitieren
#2 Annett Sturm 2018-05-02 15:26
Eine Frage zur Einstufung der Teilzeitkräfte oder 450€ Jobber. Werden diese in dem Zusammenhang als "volle" Mitarbeiter gezählt oder nur anteilig?

Gruß
A.Sturm
Zitieren
#1 Heidemann 2018-05-02 15:22
also eigentlich wollte ich schon garnicht´s mehr schreiben - ja vielleicht auf meiner Homepage - mit schön vielen Flüchen und verwünschungen :-) ???
also hier:https://www.onlinehaendler-news.de/recht/rechtsfragen/31311-kommentar-dsgvo-am-ende-immer-gleichen.html?utm_source=Newsletter&utm_medium=Link&utm_campaign=Weekly
hörte sich das eigentlich ganz anders an - jetzt trifft es doch wieder vornehmlich die großen ??? (irgendwie kann ich´s nicht glauben - das selbst im Händlerbund anscheinend jeder etwas anderes darunter versteht)
Ihr Beispiel ist natürlich auch wieder sehr realitätsfern - die meisten von uns "armen" Schluckern - werden wohl nicht auch noch mit IT-Systemen Handeln !?
sondern kleine Unternehmen von 1-5 "Frontkämpfern" - mit normalen Handelstätigkei ten sein (also Atom-Handgranat en bis Zeppeline o.s.ä.)
also meine schon gestellte Frage nochmal - warum sollte soeine Firma also einen unkündbaren "Schmarotzer" benötigen - wenn ja eigentlich die Plattform alle Daten erhebt ?
oder wie auch schon gefragt - wenn ich als starke 1-Mann Firma - eine eigene Präsenz eröffne und täglich Daten ,verarbeite muss ich dann noch einen Abendschulabsol venten miternähren ???
-------
noch eine Superfrage - welche Legitimation muss denn der Abrufer der Daten überhaupt vorlegen ? (oder reicht einfach eine Email ?)
kann ich grundsätzlich jede Firma /Amt zur Herausgabe meiner Daten anschreiben - auch wenn ich mit denen nie etwas zu tun hatte (Ich meine Vorsicht ..........) ?
hat das eigentlich eine rückwirkende begrenzung - oder kann ich praktisch bis zu meiner Geburt Daten anfordern ?
Zitieren

Schreiben Sie einen Kommentar

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.