Bereichsbild

Datenschutz- Beauftragter

Bestellpflicht

 

Wann muss ein Unternehmen einen Datenschutzbeauftragten bestellen?

 

Grundsatz: Bestellpflicht in Abhängigkeit von der Beschäftigtenzahl

Für die Verpflichtung zur Bestellung eines Datenschutzbeauftragten sind regelmäßig zwei Faktoren maßgeblich, nämlich einerseits die Frage nach der Anzahl der Personen, die für die verantwortliche Stelle personenbezogene Daten erheben, verarbeiten oder nutzen, und andererseits die Frage, in welcher Form diese Erhebung, Verarbeitung oder Nutzung stattfindet.

Unternehmen haben einen Datenschutzbeauftragten zu bestellen, wenn sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen bzw. in der Regel mindestens 20 Personen beschäftigen, die ständig personenbezogene Daten auf andere Weise erheben, verarbeiten oder nutzen (§ 4f Abs. 1 Satz 1, 3 und 4 BDSG). Abhängig von der Form der personenbezogenen Datenverarbeitung gilt also grundsätzlich ein Schwellenwert für die Bestellpflicht von zehn bzw. 20 Personen.

Personenbezogene Daten sind alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (§ 3 Abs. 1 BDSG). Mit der automatisierten Verarbeitung solcher Daten befasst sind u.a. all diejenigen Mitarbeiter, die Zugriff auf Systeme haben, mit denen Personaldaten verwaltet werden. Dasselbe gilt für Mitarbeiter, die auf Kundendaten zugreifen können, sofern es sich bei den Kunden um natürliche Personen handelt oder in der Datenbank zu juristischen Personen auch natürliche Ansprechpartner vermerkt sind.

Der einschlägige Schwellenwert muss „in der Regel“ erreicht werden. Vorübergehende Unterschreitungen, z.B. infolge eines zeitweiligen Arbeitsrückgangs, bleiben unberücksichtigt. „Ständig“ beschäftigt ist die Person, wenn sie eine Aufgabe, die nicht ihre Hauptaufgabe sein muss, regelmäßig wahrnimmt. Nicht erfasst werden sollen etwa Personen, die Aufgaben im Bereich der personenbezogenen Datenverarbeitung lediglich als Urlaubsvertretung wahrnehmen.

In einzelnen Fällen: Bestellpflicht unabhängig von der Beschäftigtenzahl

Unabhängig von der Anzahl der damit beschäftigten Personen haben nicht-öffentliche Stelle gemäß § 4f Abs. 1 Satz 6 BDSG einen Datenschutzbeauftragten zu bestellen, sofern sie entweder automatisierte Verarbeitungen vornehmen, welche der Vorabkontrolle (§ 4d Abs. 5 BDSG) unterliegen, oder soweit sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten.

Einer Vorabkontrolle unterliegen gemäß § 4d Abs. 5 BDSG automatisierte Verarbeitungen, die besondere Risiken für die Rechte und Freiheiten der Betroffenen aufweisen. Vorabkontrollbedürftig sind z.B. Warndateien, Verfahren zur Bewertung der Kreditwürdigkeit einer Person, Systeme zur Durchführung von Auswahl-/Assessmentverfahren, Lifestyle-Datenbanken, personenbezogene Data-Warehouse- und Data-Mining-Anwendungen bzw. Verfahren vergleichbarer Komplexität zur Profilbildung, der Einsatz von RFID-Technik oder der Umgang mit biometrischen Daten. Auch Maßnahmen der Videoüberwachung bedürfen regelmäßig der Vorabkontrolle.