Da uns immer wieder die Frage gestellt wird, wann man einen betrieblichen Datenschutzbeauftragten bestellen muss, möchten wir mit diesem Beitrag noch einmal diese Frage klären.
Das BDSG hat die Grundlagen für die Bestellung in § 4f Abs. 1 gepackt, der wie folgt lautet
Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für die nichtöffentlichen Stellen, die in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Soweit aufgrund der Struktur einer öffentlichen Stelle erforderlich, genügt die Bestellung eines Beauftragten für den Datenschutz für mehrere Bereiche. Soweit nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen. (Quelle: BDSG § 4 Abs.1 )
Wir hören immer wieder Aussagen, dass ein Datenschutzbeauftragter NUR bestellt werden muss, wenn mehr als 9 Mitarbeiter personenbezogene Daten verarbeiten. Diese Aussage ist natürlich nicht falsch, sondern nur nicht ganz komplett.
Fangen wir also von vorne an.
Ein Datenschutzbeauftragter muss bestellt werden, wenn
mehr als 9 Mitarbeiter mit der automatisierten Verarbeitung von personenbezogenen Daten fortlaufend beschäftigt sind
Dieses ist wie gesagt der „Klassiker“ und diese Aussage ist auch bei vielen Unternehmen bekannt, leider berufen sich einige Unternehmen nur auf diese Aussage und das ist leider falsch.
Weiterhin muss ein Datenschutzbeauftragter bestellt werden, wenn
personenbezogene Daten auf eine andere Weise (nicht automatisiert) erhoben, verarbeitet oder genutzt werden und damit min. 20 Personen beschäftigt sind.
Als Beispiel könnte man hier einen großen Handwerksbetrieb nehmen, der auch sehr viele Private Endkunden betreut und seine Touren z.B. handschriftlich aufteilt. Hier kommen die Mitarbeiter, in diesem Fall die Handwerker, mit personenbezogenen Daten in Berührung z.B. durch Nutzung der Anschriften im Tourenplan, Aufträge oder auch Reparaturaufträge und weitere.
Aber auch das ist noch nicht alles, es gibt noch eine Möglichkeit wann man einen Datenschutzbeauftragten zu bestellen hat.
Ein Datenschutzbeauftragter muss ebenfalls bestellt werden, wenn
nicht-öffentliche Stellen automatisierte Verarbeitungen vornehmen, die einer Vorabkontrolle unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten, haben sie unabhängig von der Anzahl der mit der automatisierten Verarbeitung beschäftigten Personen einen Beauftragten für den Datenschutz zu bestellen (Auszug BDSG § 4 Abs.1)
Diese Aussage ist bei kaum einem Unternehmen wirklich bekannt, zu mindestens sind das unsere Eindrücke, wir wollen hier versuchen etwas Licht in das Dunkle zu bringen, was es mit dieser Aussage auf sich hat. Dieses lässt sich wohl am besten an einem Beispiel zeigen.
Der Geschäftsführer eines kleinen Unternehmens mit nur 7 Mitarbeitern möchte ein Datenbank seiner Mitarbeiter anlegen lassen, um dort Angaben über die Fortbildung und Fähigkeiten der Mitarbeiter zu erfassen, diese Datenbank soll dazu dienen neue Aufstiegschancen für die Mitarbeiter zu schaffen.
Hier wird natürlich eine Persönlichkeitswertung vorgenommen und somit unterliegt dieses Verfahren einer Vorabkontrolle, obwohl das Unternehmen nicht mehr als 9 Mitarbeiter beschäftigt, muss ein Datenschutzbeauftragter bestellt werden, weil dieses Verfahren einer Vorabkontrolle unterliegt.
Wir wissen um die Tücken der Vorabkontrollen und können Sie dazu gerne umfassend informieren, falls Sie noch Fragen haben. Nutzen dazu einfach unser Kontaktformular.
Wichtig ist noch zu wissen, dass die Bestellung eines Datenschutzbeauftragten schriftlich zu erfolgen hat. Dieses muss bei Antritt, spätestens aber innerhalb eines Monats nach der Aufnahme der Tätigkeit erfolgen. Wir haben hier eine Beispiel Mustervorlage, zur Bestellung von einem Datenschutzbeauftragten, für Sie hochgeladen. (Muster: Bestellung Datenschutzbeauftragter)
Bestellt man keinen Datenschutzbeauftragten, obwohl man in der gesetzlichen Pflicht ist, so kann diese nicht Bestellung mit einer Geldbuße von bis zu 50.000 Euro geahndet werden ( § 43 Abs. 1 BDSG )