Datenschutz sowie Themen rund um Datenschutzbeauftragte sind ein leidiges Thema. Oft behindert es Unternehmer*innen und man stellt sich die Frage: “Wie soll ich so noch Geld verdienen”. Aber: Die DSGVO ist nun mal seit Mai 2018 da. Man muss sich an sie halten. Und dann ist es doch besser, man versteht sie und wendet sie richtig an. Oder zumindest: Du verstehst auf welches Risiko du dich einlässt.
Die Kriterien für eine Datenschutzbeauftragte
Zunächst ist es wichtig, sich die Kriterien anzuschauen, die darauf hinweisen, wann du eine interne oder externe Datenschutzbeauftragte benennen musst. Hierfür gilt es folgende drei Kriterien zu beantworten:
- Bist du ein Unternehmen mit mehr als 20 Mitarbeitenden, die personenbezogene Daten verarbeiten?
Wichtig: „Personenbezogene Daten“ sind Daten von Betroffenen, also Kunden, Interessenten oder Mitarbeitenden. Zu dieser Zahl zählen auch externe Dienstleister (z.B. ein Lohnbüro). Diese Daten umfassen IP-Adressen, Log-Files, etc. Damit sollte klar sein, dass fast jeder Mitarbeitende im Unternehmen mit personenbezogenen Daten arbeitet und somit in die Aufstellung zählt. Wenn du hier also mehr als 20 Mitarbeitende in deinem Unternehmen hast, brauchst du auf jeden Fall einen internen oder externen Datenschutzbeauftragten.
Dieses Kriterium findet sich nicht in der DSGVO, sondern im BDSG §38. Das BDSG, Bundesdatenschutzgesetz, ist eine Ergänzung zur DSGVO, die national in Deutschland gilt. Die DSGVO enthält an manchen Stellen sogenannte Öffnungsklauseln. Diese ermöglichen es den Ländern der EU die DSGVO zu konkretisieren. Deutschland hat sich das zu Nutze gemacht und z.B. eine Mitarbeiterzahl, ab der man einen Datenschutzbeauftragten benennen muss, festgelegt.
- Wenn das Unternehmen in seiner Haupttätigkeit mit besonders sensiblen Daten arbeitet (nach Artikel 9 DSGVO), wie z.B. bei einer Firma in der Medizinbranche.
Reminder: besonders sensible Daten des Artikel 9 DSGVO beziehen sich auf Gesundheitsdaten, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, Herkunft, politische Meinung, genetische oder biometrische Daten, Daten zum Sexualleben oder der sexuellen Orientierung.
Wenn dies der Fall ist und dein Unternehmen mit solchen sensiblen Daten arbeitet, brauchst du schon ab dem ersten Mitarbeitenden eine interne oder externe Datenschutzbeauftragte.
- Wenn deine Kerntätigkeit darin besteht, dass du im großen Umfang regelmäßige und systematische Überwachung von betroffenen Personen betreibst.
- Wenn die Verarbeitung von personenbezogenen Daten durch eine öffentliche Behörde durchgeführt, du die Verarbeitung einer Datenschutzfolgeabschätzung (DSFA) unterliegen oder du ein Marktforschungsunternehmen bist.
Datenschutzbeauftragte ja oder nein?
Wenn du keines der oben genannten Kriterien erfüllst, musst du keinen Datenschutzbeauftragten benennen. An das Gesetz halten musst du dich trotzdem, um datenschutzkonform handeln zu können. Wir haben hierfür ein DSGVO Onlinetraining für dich entwickelt. So kannst du alle Inhalte, die du zum Thema Datenschutz wissen musst, selbst durcharbeiten. Dir werden darüber hinaus Muster und Checklisten zur Verfügung gestellt. Besuche dafür gerne die Webseite www.dsgvo-onlinetraining.de.
Wenn du eine Datenschutzbeauftragte für dein Unternehmen brauchst, ist eine Benennung aus Beweisgründen in Schriftform zu empfehlen. Darüber hinaus wäre der nächste Schritt diese bei der jeweiligen Aufsichtsbehörde anzumelden. Dafür besuchst du die Webseite der zuständigen Aufsichtsbehörde deines Bundeslandes und füllst das dort hinterlegte Online-Formular für die Anmeldung der Datenschutzbeauftragten aus.
Wenn du noch mehr zu der Thematik wissen möchtest und dich schon immer gefragt hast, was eine Datenschutzbeauftragte eigentlich so macht, findest du hier einen hilfreichen Artikel dazu.