Wann brauchst du eine Datenschutzbeauftragte? 3 wichtige Kriterien, die du beachten solltest!

Datenschutzbeauftragte
Teile diesen Blogbeitrag

Datenschutz sowie Themen rund um Datenschutzbeauftragte sind ein leidiges Thema. Oft behindert es Unternehmer*innen und man stellt sich die Frage: “Wie soll ich so noch Geld verdienen”. Aber: Die DSGVO ist nun mal seit Mai 2018 da. Man muss sich an sie halten. Und dann ist es doch besser, man versteht sie und wendet sie richtig an. Oder zumindest: Du verstehst auf welches Risiko du dich einlässt.

Die Kriterien für eine Datenschutzbeauftragte

Zunächst ist es wichtig, sich die Kriterien anzuschauen, die darauf hinweisen, wann du eine interne oder externe Datenschutzbeauftragte benennen musst. Hierfür gilt es folgende drei Kriterien zu beantworten:

  • Bist du ein Unternehmen mit mehr als 20 Mitarbeitenden, die personenbezogene Daten verarbeiten? 

Wichtig: „Personenbezogene Daten“ sind Daten von Betroffenen, also Kunden, Interessenten oder Mitarbeitenden. Zu dieser Zahl zählen auch externe Dienstleister (z.B. ein Lohnbüro). Diese Daten umfassen IP-Adressen, Log-Files, etc. Damit sollte klar sein, dass fast jeder Mitarbeitende im Unternehmen mit personenbezogenen Daten arbeitet und somit in die Aufstellung zählt. Wenn du hier also mehr als 20 Mitarbeitende in deinem Unternehmen hast, brauchst du auf jeden Fall einen internen oder externen Datenschutzbeauftragten. 

Dieses Kriterium findet sich nicht in der DSGVO, sondern im BDSG §38. Das BDSG, Bundesdatenschutzgesetz, ist eine Ergänzung zur DSGVO, die national in Deutschland gilt. Die DSGVO enthält an manchen Stellen sogenannte Öffnungsklauseln. Diese ermöglichen es den Ländern der EU die DSGVO zu konkretisieren. Deutschland hat sich das zu Nutze gemacht und z.B. eine Mitarbeiterzahl, ab der man einen Datenschutzbeauftragten benennen muss, festgelegt.  

  • Wenn das Unternehmen in seiner Haupttätigkeit mit besonders sensiblen Daten arbeitet (nach Artikel 9 DSGVO), wie z.B. bei einer Firma in der Medizinbranche.

Reminder: besonders sensible Daten des Artikel 9 DSGVO beziehen sich auf Gesundheitsdaten, Religion oder Weltanschauung, Gewerkschaftszugehörigkeit, Herkunft, politische Meinung, genetische oder biometrische Daten, Daten zum Sexualleben oder der sexuellen Orientierung.

Wenn dies der Fall ist und dein Unternehmen mit solchen sensiblen Daten arbeitet, brauchst du schon ab dem ersten Mitarbeitenden eine interne oder externe Datenschutzbeauftragte.

  • Wenn deine Kerntätigkeit darin besteht, dass du im großen Umfang regelmäßige und systematische Überwachung von betroffenen Personen betreibst.
 
Ein Beispiel hierfür wäre, wenn man die Internetaktivitäten von Betroffenen nachvollzieht und zur Profilbildung verwendet. Ein anderes Beispiel wäre ein Unternehmen, dass zur Sicherheit Bürogebäue oder Baustellen per Video überwacht. 

  • Wenn die Verarbeitung von personenbezogenen Daten durch eine öffentliche Behörde durchgeführt, du die Verarbeitung einer Datenschutzfolgeabschätzung (DSFA) unterliegen oder du ein Marktforschungsunternehmen bist.
 
Dies sind noch zusätzliche Kriterien aus dem BDSG (siehe oben). Zum Thema Datenschutzfolgeabschätzung werden wir hier auch in naher Zukunft einen Artikel veröffentlichen. Eine “Positiv-Liste”, also eine Liste an Kriterien, die erfüllt sein müssen, damit du eine DSFA machen musst, findest du auf der Website jeder Landesdatenschutzbehörde. Diese ist immer gleich und besteht aus 17 Punkten. Eine Liste der Punkte der Behörde aus Hessen findest du hier.

Datenschutzbeauftragte ja oder nein?

Wenn du keines der oben genannten Kriterien erfüllst, musst du keinen Datenschutzbeauftragten benennen. An das Gesetz halten musst du dich trotzdem, um datenschutzkonform handeln zu können. Wir haben hierfür ein DSGVO Onlinetraining für dich entwickelt. So kannst du alle Inhalte, die du zum Thema Datenschutz wissen musst, selbst durcharbeiten. Dir werden darüber hinaus Muster und Checklisten zur Verfügung gestellt. Besuche dafür gerne die Webseite www.dsgvo-onlinetraining.de

Wenn du eine Datenschutzbeauftragte für dein Unternehmen brauchst, ist eine Benennung aus Beweisgründen in Schriftform zu empfehlen. Darüber hinaus wäre der nächste Schritt diese bei der jeweiligen Aufsichtsbehörde anzumelden. Dafür besuchst du die Webseite der zuständigen Aufsichtsbehörde deines Bundeslandes und füllst das dort hinterlegte Online-Formular für die Anmeldung der Datenschutzbeauftragten aus.

Wenn du noch mehr zu der Thematik wissen möchtest und dich schon immer gefragt hast, was eine Datenschutzbeauftragte eigentlich so macht, findest du hier einen hilfreichen Artikel dazu.

Datenschutzbeauftragung

Brauchst du Hilfe in der Bearbeitung der oben genannten Themen? Oder sucht ihr schon länger nach einem externen Datenschutzbeauftragten, der euch monatlich unterstützt?

Dein eigenes Onlinetraining!

Möchtest du dir die Dinge lieber in deiner eigenen Zeit und auf effiziente sowie strukturierte Art beibringen? Dann buche unser DSGVO-Onlinetraining ab 249 Euro.
Mehr Blogbeiträge

Möchtest du dein Unternehmen Datenschutzkonform aufstellen?

Wir helfen dir gerne!