Brauche ich einen betrieblichen (externen) Datenschutzbeauftragten?

Öffentliche und nicht öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, haben grundsätzlich einen Beauftragten für den Datenschutz zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind.

Unabhängig von der Anzahl der Personen ist im Unternehmen ein Datenschutzbeauftragter zu bestellen, wenn personenbezogene Daten verarbeitet werden, die einer Vorabkontrolle unterliegen (z.B. Gesundheits- und Sozialdaten) oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung (§ 29 BDSG) oder der anonymisierten Übermittlung automatisiert verarbeiten.

Werden keine personenbezogene Daten verarbeitet, die der Vorabkontrolle unterliegen, ist die Bestellung eines Datenschutzbeauftragten dann nicht erforderlich, wenn in der Regel höchstens neun Personen (inklusive Geschäftsleitung) ständig und regelmäßig mit der Erhebung, Verarbeitung und Nutzung personenbezogener Daten beschäftigen sind. Natürlich blieben in diesem Fall die sich aus dem Bundesdatenschutzgesetz ergebenden Verpflichtungen bestehen. Die Verpflichtung zur Umsetzung des Datenschutzes obliegt dann der Geschäftsführung.

Für die meisten Unternehmen trifft es also zu, dass sie einen Datenschutzbeauftragten benötigen, da mehr als neun Personen im Unternehmen sind und diese mit DV-Systemen zu tun haben, in denen personenbezogene Daten verarbeitet werden (z.B. E-Mail nutzen).

nach oben