Betrieblicher Datenschutz

Die Bestellpflicht eines Datenschutzbeauftragten

Personengrenze für Bestellpflicht 

Das 2. Datenschutz-Anpassungs- und Umsetzungsgesetz EU ("Omnibusgesetz") ist am 25.11.2019 im BGBl 2019, 1626 verkündet und am 26.11.2019 in Kraft getreten. Damit ändert sich die Bestellpflicht für einen betrieblichen Datenschutzbeauftragten von 10 auf 20 Personen, § 38 Abs. 1 BDSG. 
Die Personengrenze ist keine unmittelbare Regelung aus der Datenschutzgrundverordnung (DSGVO), sondern aus dem daneben anwendbaren Bundesdatenschutzgesetz (BDSG), welches  durch das Omnibusgesetz mit Wirkung ab 26. November 2019 geändert wurde. 
Bisher musste ab der Anzahl von 10 Personen, die im Betrieb in der Regel ständig automatisiert Daten verarbeiten, ein Datenschutzbeauftragter benannt werden. In Zukunft gilt hierfür die Grenze von 20 Personen.
Ziel der höheren Personengrenze ist die Entlastung von kleinen Unternehmen, da die Bestellung und kontinuierliche Schulung eines Datenschutzbeauftragten mit Kosten verbunden ist.
Wichtig: Alle anderen Pflichten, die sich durch die DSGVO ergeben, fallen durch diese Änderung nicht weg. Außer der heraufgesetzten Personengrenze hat sich hinsichtlich der Bestellung eines Datenschutzbeauftragten nichts geändert.
Keinen Datenschutzbeauftragten zu bestellen muss nicht weniger Arbeit bedeuten. Prüfen Sie deshalb genau, ob ein freiwillig bestellter Datenschutzbeauftragter von intern oder extern für Entlastung im Unternehmen sorgen kann, indem er sich um alle Pflichten, die sich aus der DSGVO ergeben, kümmert.
Wird ein Datenschutzbeauftragter bestellt, ist er dem Landesbeauftragten für Datenschutz und Informationsfreiheit zu melden.

Gut zu wissen: Personenanzahl richtig bestimmen

Die Merkmale, wann die Personengrenze erreicht ist, müssen richtig interpretiert werden.
  • Beim Begriff  „Personen” kommt es nicht auf deren arbeitsrechtlichen Status als Arbeitnehmer an. Es sind also Voll- und Teilzeitkräfte, Leiharbeitnehmer, Auszubildende, freie Mitarbeiter und Praktikanten sowie Beschäftigte im Home-Office oder in Tele-Arbeit hinzuzuzählen.
  • „In der Regel“ heißt, dass Schwankungen in der Anzahl der Personen, die automatisiert Daten verarbeiten, nicht berücksichtigt werden. Sinken die Personen im Unternehmen kurzzeitig auf eine Anzahl unterhalb der Grenze ab, führt dies nicht zum Wegfall der Bestellpflicht. Entscheidend ist der durchschnittliche Personalbestand innerhalb eines Geschäftsjahres.
  • „Ständig“ heißt, dass Personen mitzurechnen sind, die regelmäßig mit entsprechenden Aufgaben betraut sind. Nicht mitzurechnen sind Personen, die nur gelegentlich (z. B. Urlaubsvertretung) beschäftigt sind.
  • Es zählen nur die Personen, die „automatisiert Daten verarbeiten“, also wenn für die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten Datenverarbeitungsanlagen wie PCs, Tablets oder Smartphones verwendet werden. Nicht hinzuzuzählen sind Personen, die keine oder personenbezogenen Daten verarbeiten oder nur nicht-automatisiert Daten verarbeiten (z. B. Handwerker, Reinigungskräfte, LKW-Fahrer, oder Lager-Mitarbeiter, die ihre Aufträge nur auf Papier bekommen). Eine genaue Abgrenzung kann im Einzelfall schwierig sein und sollte konkret betrachtet werden.

Pflicht zur Bestellung für bestimmte Unternehmen

Im Übrigen ändert sich durch die Änderung der Personengrenze nichts an den weiteren Voraussetzungen in der DSGVO, wann ein Datenschutzbeauftragter benannt werden muss. Unabhängig von der Personengrenze muss in folgenden Fällen eine Benennung erfolgen:
  • Die Kerntätigkeit des Unternehmens besteht in Verarbeitungsvorgängen, welche aufgrund Art, Umfang und/oder Zweck eine umfangreiche regelmäßige und systematische Beobachtung personenbezogener Daten erforderlich machen.
    Eine regelmäßige (also nicht nur einmalige, sondern wiederholte) und systematische Überwachung (methodischer Technikeinsatz) kann beispielsweise sein:
    datengesteuerte Marketingaktivitäten wie verhaltensbasierte Werbung, Scoring zu Zwecken der Kreditvergabe oder Versicherungsprämien, Standortverfolgung, künstliche Intelligenz, die Daten in Alltagsgegenständen (z.B. Haushaltsgeräte, Autos) verarbeitet.
  • Es werden besonders sensible Daten (vergleiche hierzu Artikel 9 DSGVO) verarbeitet. Zum Beispiel das Erfassen und Auswerten von Gesundheitsdaten über integrierte Geräte (sog. Wearables).
Weitere Informationen finden Sie in unseren Artikeln zum Datenschutzbeauftragten und in unserem FAQ zur DSGVO.
Stand: Dezember 2019
Sie haben noch Fragen? Gerne stehen wir Ihnen zur Verfügung.
Bitte haben Sie Verständnis dafür, dass dieser Service nur Mitgliedsunternehmen der IHK Hochrhein-Bodensee und solchen Personen, die die Gründung eines Unternehmens in dieser Region planen, zur Verfügung steht.