Ab wann muss ein Unternehmen eine/n
Datenschutzbeauftragte/n benennen?
- Ab welcher Unternehmensgröße ein Datenschutzbeauftragter zu benennen ist, hängt nicht immer von der Anzahl der Mitarbeiterinnen und Mitarbeiter ab. Entscheidend ist die Art der verarbeiteten Daten sowie das Ausmaß der Datenverarbeitung. Falls 20 oder mehr Mitarbeiter regelmäßig mit der automatisierten Verarbeitung (Erhebung und Nutzung) von personenbezogenen Daten zu tun haben, ist ein Datenschutzbeauftragter (intern oder extern) Pflicht. Unabhängig von der Anzahl der Mitarbeiter besteht auch dann eine Pflicht, wenn spezielle Kategorien von personenbezogenen Daten verarbeitet werden. Dazu zählen u.a. Daten, die über ethnische Herkunft, politische Einstellung, Religionszugehörigkeit, Gesundheit oder sexuelle Orientierung einer Person Aufschluss geben. Ebenso ist ein/e Datenschutzbeauftragte/r zu benennen, wenn die Kerntätigkeit des Unternehmens die umfangreiche Verarbeitung besonderer personenbezogener Daten - wie etwa Gesundheitsdaten - umfasst. Gleiches gilt, wenn das Unternehmen umfangreiche regelmäßige und systematische Überwachung – bspw. auch weiträumige Videoüberwachung insbesondere öffentlich zugänglicher Bereiche - durchführt.
Ebenfalls muss ein/e Datenschutzbeauftragte/r benannt werden, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung unterliegen.
Auch bestimmte Branchen die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten haben unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
Welche Aufgaben hat ein/e Datenschutzbeauftragte/r?
Interne oder externe Datenschutzbeauftragte in kleinen und mittleren Unternehmen überwachen die Abläufe und prüfen, ob die Datenverarbeitung den gesetzlichen Anforderungen gemäß BDSG und DSGVO entspricht. Außerdem zählt die fachkundige Unterstützung bei der Erstellung und kontinuierlichen Aktualisierung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) zum Aufgabenfeld von Datenschutzbeauftragten. Ferner übernimmt ein Datenschutzbeauftragter die Schulung und Sensibilisierung von Mitarbeiterinnen und Mitarbeitern für das Thema Datenschutz. Der Datenschutzbeauftragte unterstützt außerdem bei der Durchführung einer Datenschutz-Folgenabschätzung sowie die Zusammenarbeit mit der Aufsichtsbehörde.
Was passiert, wenn ein Unternehmen keinen Datenschutzbeauftragten hat?/r?
Falls ein Unternehmen gesetzlich dazu verpflichtet ist, jedoch noch keinen Datenschutzbeauftragten benannt hat, können sensible Strafen die Folge sein. Nach Art. 83 Absatz 4 DSGVO drohen in diesem Fall Bußgelder in Höhe von bis zu 10 Millionen Euro oder alternativ 2 % des weltweiten Vorjahresumsatzes. Gerne übernehmen wir die Prüfung, ob Ihr Unternehmen verpflichtet ist, einen internen oder externen Datenschutzbeauftragten zu benennen.
Wer kann Datenschutzbeauftragter werden?
Ein DSB (DSB = Datenschutzbeauftragte/r) muss zwingend über eine einschlägige berufliche Qualifikation verfügen. Häufig werden Juristen oder IT-Experten zu Datenschutzbeauftragten ernannt. Außerdem muss die Person ein breites Fachwissen zum Datenschutz aufweisen und mit der gängigen Datenschutzpraxis vertraut sein. Weil nicht jedes Unternehmen Mitarbeiter beschäftigt, die sich als Datenschutzbeauftragte eignen oder keine zeitlichen Ressourcen für die Aufgaben als Datenschutzbeauftragte/r haben, entscheiden sich viele Betriebe für einen externen DSB.