Teilen Teilen Kommentare Drucken

DSGVO: Wer benötigt wirklich einen Datenschutzbeauftragten?

Veröffentlicht: 26.04.2018 | Autor: Yvonne Bachmann | Letzte Aktualisierung: 19.07.2018 | Gelesen: 10040 mal

Die DSGVO richtet sich in erster Linie an die Verantwortlichen, also all diejenigen Unternehmen, die in den Anwendungsbereich der DSGVO fallen und über die Verarbeitung von personenbezogenen Daten entscheiden. Natürlich müssen und können Unternehmer, abhängig von der Unternehmensgröße, nicht alles alleine bewältigen. Einige Händler können und einige müssen deshalb sogar einen eigenen Datenschutzbeauftragten bestellen.

Datenschutzbeauftragter
© Rawpixel.com / Shutterstock.com

Der Datenschutzbeauftragte im Unternehmen

Der Schutz persönlicher Daten spielt besonders im Internet und im E-Commerce eine übergeordnete Rolle. In einigen Fällen verlangt der Gesetzgeber sogar die Bereitstellung eines Datenschutzbeauftragten. Das ist bereits jetzt schon so und wird auch mit der neuen DSGVO so bleiben. Jeder Online-Händler sollte also schon jetzt für sich abklären, ob er verpflichtet ist, formell einen Datenschutzbeauftragten zu benennen.

Der Datenschutzbeauftragte in der DSGVO

Durch die DSGVO werden Unternehmen zur Bestellung eines Datenschutzbeauftragten verpflichtet, wenn deren Kerntätigkeit (d. h. deren Hauptaktivität) in einer Datenverarbeitung besteht, die aufgrund ihres Zwecks oder ihres Umfangs eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erfordert (z. B. Marktforschungsunternehmen). Hierzu gehören nicht die das Kerngeschäft unterstützenden Tätigkeiten wie z. B. die Verarbeitung der Beschäftigtendaten der eigenen Mitarbeiter.

Ein Datenschutzbeauftragter nach der DSGVO dürfte für kleine und mittelständische Online-Händler daher nicht notwendig werden, da sie kaum systematisch oder in größerem Umfang Kundendaten überwachen – zumindest nicht in der Hauptaufgabe.

Deutsches Recht strenger als DSGVO

Doch Unternehmer und Verantwortliche sollten sich (leider) nicht zu früh freuen. Auch wenn die Vorschriften der DSGVO für sie zu keiner Pflicht führen, gilt neben der DSGVO das deutsche Datenschutzrecht in Form des Bundesdatenschutzgesetzes (kurz: BDSG). Ähnlich wie die Nachbarn in Österreich hat auch Deutschland eigene Regelungen ergänzend zur DSGVO getroffen – leider strengere als der EU-Standard.

Der Verantwortliche hat sich in Deutschland um einen Datenschutzbeauftragte zu kümmern, soweit im Unternehmen in der Regel

  • mindestens zehn Personen
  • ständig
  • mit der automatisierten Verarbeitung personenbezogener Daten

beschäftigt sind.

„Ständig“ meint in diesem Zusammenhang nicht, dass die Datenverarbeitung die Hauptaufgabe des jeweiligen Mitarbeiters sein muss. Vielmehr genügt es, dass das Verarbeiten von Daten, wenn auch nur in geringem Maße, zum regelmäßigen Aufgabengebiet des Mitarbeiters gehört.

Beispiele (soweit diese Mitarbeiter tatsächlich Zugriff auf personenbezogene Daten haben/diese verarbeiten usw.):

  • Mitarbeiter in Vertrieb und Kundenservice
  • Mitarbeiter in Auftragsbearbeitung und Logistik
  • Mitarbeiter im Marketing (z. B. E-Mail-Marketing-Manager)
  • Mitarbeiter in der Lohn- und Finanzbuchhaltung
  • Systemadministrator

Als Mitarbeiter in diesem Sinne zählen auch Teilzeitkräfte, Studenten, Auszubildende und Aushilfskräfte.

Gegenbeispiele:

  • Reinigungspersonal
  • Hausmeister

Beispiel:

Ein Online-Händler für IT-Systeme hat insgesamt 14 Mitarbeiter. Davon beschäftigt er acht Mitarbeiter im Vertrieb und in der Auftragsbearbeitung, vier weitere im Kundenservice, einen E-Mail-Marketing-Manager und einen Systemadministrator. Er hat die Grenze von zehn Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, erreicht und muss einen Datenschutzbeauftragten bestellen.

Der Datenschutzbeauftragte kann ein Beschäftigter des Unternehmens sein (interner Datenschutzbeauftragter) oder seine Aufgaben aufgrund eines Dienstleistungsvertrages erfüllen (externer Datenschutzbeauftragter). Das Bayerische Landesamt für Datenschutzaufsicht empfiehlt eine schriftliche Bestellung. Zur Stellung, zu den Rechten und den Aufgaben des Datenschutzbeauftragten hier mehr.

10-Mitarbeiter-Grenze führt regelmäßig zur Pflicht

In nahezu jedem Unternehmen werden Mitarbeiter-, Kunden- oder sonstige personenbezogene Daten (z. B. von Vertriebspartnern, Webseitenbesuchern) automatisiert verarbeitet. Händler mit zehn oder mehr Beschäftigten fallen daher regelmäßig unter die Pflicht, einen Datenschutzbeauftragten zu bestellen, wenn sie einen Computer-Arbeitsplatz haben oder anderweitig mit personenbezogenen Daten arbeiten, die in der Speicherung auf dem Computer resultieren (z. B. Außendienstmitarbeiter, der zunächst handschriftlich Aufträge annimmt). 

Hinweis: Auch wenn es für Ihr Unternehmen (noch) keine Pflicht gibt, gelten die Vorschriften der DSGVO und sonstiger Datenschutzbestimmungen für Unternehmen. Sie sollten daher jemanden festlegen, der die Verantwortung für die Einhaltung der Datenschutzbestimmungen übernimmt, und beurteilen, wo diese Rolle innerhalb der Struktur Ihres Unternehmens angesiedelt ist.

Newsletter
Abonnieren
Bleibe stets informiert mit unserem Newsletter.

Meistgelesene Artikel