In Deutschland und der Europäischen Union regelt die Datenschutz-Grundverordnung (DSGVO) in Verbindung mit dem Bundesdatenschutzgesetz (BDSG) die Ernennung von Datenschutzbeauftragten. In bestimmten Fällen ist die Ernennung eines Datenschutzbeauftragten – ob intern oder extern – gesetzlich vorgeschrieben. Im Folgenden wird detailliert beschrieben, welche Arten von Unternehmen und Organisationen zur Benennung eines Datenschutzbeauftragten verpflichtet sind, inklusive Beispielen aus verschiedenen Branchen und relevanten gesetzlichen Referenzen.
Gesetzliche Grundlage
Die Verpflichtung zur Benennung eines Datenschutzbeauftragten ergibt sich hauptsächlich aus Artikel 37 der DSGVO sowie § 38 BDSG. Die DSGVO spezifiziert, unter welchen Bedingungen ein Datenschutzbeauftragter benannt werden muss, während das BDSG zusätzliche nationale Regelungen ergänzt.
Unternehmen und Organisationen, die einen Datenschutzbeauftragten benennen müssen:
1. Öffentliche Stellen und Behörden
Gesetzliche Referenz: Artikel 37 Absatz 1 Buchstabe a DSGVO und § 38 BDSG
- Beispiele:
- Staatliche Verwaltungsbehörden: Bundes- und Landesministerien, Stadtverwaltungen, Kreisverwaltungen
- Bildungseinrichtungen: Öffentliche Schulen, Universitäten, Forschungseinrichtungen
- Gesundheitseinrichtungen: Öffentliche Krankenhäuser, Gesundheitsämter
Öffentliche Stellen und Behörden sind grundsätzlich verpflichtet, einen Datenschutzbeauftragten zu benennen, unabhängig von der Art oder dem Umfang der verarbeiteten Daten.
2. Unternehmen, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten besteht
Gesetzliche Referenz: Artikel 37 Absatz 1 Buchstabe c DSGVO
- Beispiele:
- Gesundheitswesen: Krankenhäuser, Arztpraxen, Pflegeheime, Labore, die umfangreiche Gesundheitsdaten verarbeiten
- Soziale Einrichtungen: Einrichtungen für behinderte Menschen, Beratungsstellen, die sensible Daten verarbeiten
- Versicherungen: Krankenkassen, Lebensversicherungen, die Gesundheitsdaten und andere sensible personenbezogene Daten verarbeiten
Besondere Kategorien personenbezogener Daten umfassen Daten wie Gesundheitsinformationen, biometrische Daten, genetische Daten, Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen sowie Daten über das Sexualleben oder die sexuelle Orientierung.
3. Unternehmen, deren Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung betroffener Personen liegt
Gesetzliche Referenz: Artikel 37 Absatz 1 Buchstabe b DSGVO
- Beispiele:
- Finanzdienstleister: Banken, Kreditinstitute, die Kundentransaktionen überwachen
- Telekommunikationsunternehmen: Anbieter von Telefon- und Internetdiensten, die Kommunikationsdaten überwachen
- Marketing- und Werbeunternehmen: Unternehmen, die umfangreiche Tracking- und Profiling-Aktivitäten durchführen, um personalisierte Werbung zu schalten
Die systematische Überwachung bezieht sich auf Aktivitäten wie Videoüberwachung, Internet-Tracking und die Erstellung von Kundenprofilen durch umfangreiche Datenanalysen.
4. Unternehmen mit mindestens 20 Mitarbeitern, die regelmäßig personenbezogene Daten verarbeiten
Gesetzliche Referenz: § 38 BDSG
- Beispiele:
- Handelsunternehmen: Große Einzelhandelsketten, E-Commerce-Unternehmen, die regelmäßig Kundendaten verarbeiten
- Dienstleistungsunternehmen: Call-Center, Kundenservice-Zentren
- Industrieunternehmen: Produktionsfirmen mit umfangreicher Personal- und Kundendatenverwaltung
In Deutschland müssen Unternehmen, die in der Regel mindestens 20 Personen beschäftigen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, einen Datenschutzbeauftragten benennen.
5. Unternehmen, die als Auftragsverarbeiter für andere Organisationen tätig sind
Gesetzliche Referenz: Artikel 37 Absatz 1 DSGVO
- Beispiele:
- IT-Dienstleister: Rechenzentren, Cloud-Service-Anbieter, die im Auftrag anderer Unternehmen Daten verarbeiten
- Outsourcing-Dienstleister: Unternehmen, die Geschäftsprozesse für andere Unternehmen abwickeln, wie Lohnbuchhaltung oder Kundenmanagement
Auftragsverarbeiter sind Unternehmen, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten. Sie müssen die gleichen Datenschutzanforderungen erfüllen und können verpflichtet sein, einen Datenschutzbeauftragten zu benennen.
Vorteile der Ernennung eines externen Datenschutzbeauftragten
Die Ernennung eines externen Datenschutzbeauftragten kann in vielerlei Hinsicht vorteilhaft sein, insbesondere für kleine und mittelständische Unternehmen:
- Kosteneffizienz: Externe DSBs arbeiten oft auf Basis von Pauschal- oder Stundensätzen, was die Kosten planbarer und oft niedriger macht als die Kosten für einen internen DSB, der kontinuierlich geschult und weitergebildet werden muss.
- Fachwissen und Expertise: Externe DSBs bringen spezialisiertes Wissen und umfassende Erfahrung im Datenschutz mit. Sie sind oft besser über die neuesten gesetzlichen Entwicklungen und Best Practices informiert (Artikel 37 Absatz 5 DSGVO).
- Unabhängigkeit und Objektivität: Externe DSBs agieren unabhängig und können objektive und unvoreingenommene Empfehlungen geben. Dies minimiert das Risiko von Interessenkonflikten.
- Flexibilität und Skalierbarkeit: Unternehmen können den Umfang der Dienstleistungen an ihre spezifischen Anforderungen anpassen, was besonders in Zeiten hoher Arbeitsbelastung oder bei speziellen Projekten von Vorteil ist.
Zusammenfassung
Die Ernennung eines Datenschutzbeauftragten ist in vielen Unternehmen und Organisationen gesetzlich vorgeschrieben. Die Einhaltung dieser Verpflichtungen ist entscheidend, um rechtliche Risiken zu minimieren und das Vertrauen der betroffenen Personen in den Umgang mit ihren Daten zu stärken. Unternehmen, die keinen internen Datenschutzbeauftragten benennen können oder möchten, haben die Möglichkeit, einen externen DSB zu bestellen, der zahlreiche Vorteile bietet, darunter Kosteneffizienz, hohe Fachkompetenz und Unabhängigkeit.