Wer braucht einen Datenschutzbeauftragten?

In Deutschland und in der Europäischen Union wird der Schutz der Privatsphäre der Bürger gegen Unternehmen sehr groß geschrieben. Grundsätzlich gilt, dass Unternehmen personenbezogene Daten von Betroffenen nur dann verarbeiten dürfen, wenn die Betroffenen vor der Verarbeitung eingewilligt haben oder eine Verarbeitung gesetzlich erlaubt oder vorgeschrieben ist.

Der Umfang des Datenschutzes wird in Deutschland im Wesentlichen durch das Bundesdatenschutzgesetz (BDSG), die Landesdatenschutzgesetze sowie durch zahlreiche Spezialgesetze vorgegeben. Diese Regelungen tragen auch den europarechtlichen Vorgaben Rechnung.

Die Einhaltung dieser Bestimmungen wird grundsätzlich durch staatliche Aufsichtsbehörden kontrolliert. Daneben besteht für Unternehmen aber auch noch die Möglichkeit einer Selbstkontrolle, indem Sie einen betrieblichen Datenschutzbeauftragten bestellen, der auf die Einhaltung der gesetzlichen Vorgaben hinwirkt. Dieser ist gemäß § 4f Absatz 3 BDSG der Geschäftsführung unmittelbar unterstellt und auf dem Gebiet des Datenschutzes weisungsfrei. Nach § 4f Absatz 2 Satz 3 BDSG ist anstelle der Bestellung eines internen Datenschutzbeauftragten auch die Bestellung eines externen Datenschutzbeauftragten möglich.

In folgenden drei Fällen ist Unternehmen gemäß § 4f Absatz 1 BDSG die Bestellung eines Datenschutzbeauftragten vorgeschrieben: 

  • Wenn Unternehmen personenbezogene Daten, also solche über persönliche oder sachliche Verhältnisse, automatisiert, das heißt mit EDV, verarbeiten und in der Regel mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
  • Wenn Unternehmen personenbezogene Daten nichtautomatisiert, also zum Beispiel mittels Karteikarten, erheben, verarbeiten oder nutzen und hiermit in der Regel 20 oder mehr Personen beschäftigt sind.
  • Wenn Unternehmen eine automatisierte Verarbeitung personenbezogener Daten vornehmen, die einer Vorabkontrolle nach § 4d Absatz 5 BDSG unterliegt, oder sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung automatisiert verarbeiten. Dies ist unabhängig von der Anzahl der mit der Verarbeitung beschäftigen Personen.

Gerne hilft Ihnen das Institut für Datenschutz und -sicherheit zu klären, ob Sie verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Bitte nehmen Sie hierzu Kontakt mit dem Institut für Datenschutz und -sicherheit auf.

Für den Fall, dass Sie zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, beachten Sie bitte, dass die Bestellung gemäß § 4 Absatz 1 Satz 2 BDSG innerhalb von einem Monat nach Betriebsaufnahme erfolgen muss. Bei Nichtbestellung oder verspäteter Bestellung eines Datenschutzbeauftragten kann gemäß § 43 Absatz 1 Nr. 2, Absatz 3 BDSG ein Bußgeld von bis zu EUR 50.000,00 oder im Einzelfall sogar darüber erhoben werden.