Wann braucht ein Unternehmen einen Datenschutzbeauftragten?

Ein Unternehmen muss einen Datenschutzbeauftragten bestellen, sofern mindestens 10 Mitarbeiter regelmäßig über Computer, Tablet oder Smartphone personenbezogenen Daten (z.B. Name, Adresse, Telefonnummer, E-Mail, Alter, Geburtsdatum, Familienstand etc.) von Kunden, Mitarbeitern oder Lieferanten verarbeiten. Dabei ist es unerheblich, ob die Mitarbeiter mit diesen personenbezogenen Daten tatsächlich arbeiten – relevant ist bereits der reine Zugang zu diesen Daten. An dieser Rechtslage ändert sich auch nichts mit Wirksamwerden der europäischen Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018.


Darüber hinaus muss ein Datenschutzbeauftragter auch bestellt werden, wenn

  • Adresshandel oder Markt- und Meinungsforschung betrieben wird,
  • besondere datenschutzrechtliche Risiken mit den eingesetzten Verfahren verbunden sind, z. B. Installation einer Videokamera zur Überwachung im Betrieb (Verfahren, die der sogenannten „Vorabkontrolle“ unterliegen)
  • mindestens 20 Personen ohne Hilfe technischer Mittel (wie Computer) personenbezogene Daten verarbeiten.
Datenschutz in Berlin: Packen Sie die Herausforderungen der DSGVO gemeinsam mit uns an!

Mit der DSGVO entfällt zwar der obige Punkt 3, aber es gibt für nichtöffentliche Stellen (also die Privatwirtschaft) zusätzliche Fälle, in denen ein Datenschutzbeauftragter zu benennen ist. Ab 25. Mai 2018 ist dann unabhängig von der Anzahl der Mitarbeiter in folgenden Konstellationen ein Datenschutzbeauftragter zu bestellen:

  1. bei Verarbeitung personenbezogener Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung,
  2. besondere datenschutzrechtliche Risiken mit den eingesetzten Verfahren verbunden sind, z. B. Installation einer Videokamera zur Überwachung im Betrieb (Verfahren, die der sogenannten „Datenschutz-Folgenabschätzung“ nach Artikel 35 DSGVO unterliegen),
  3. bei umfangreicher regelmäßiger und systematischer Überwachung von Personen,
  4. bei Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO, also insbesondere zu Rasse, Ethnie, politischen Meinungen, religiösen oder weltanschaulichen Überzeugungen, Gewerkschaftszugehörigkeit, die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Datenschutz im Unternehmen – Warum?

Zweck des Datenschutzrechts ist es, das Grundrecht auf informationelle Selbstbestimmung der Bürger zu gewährleisten. Damit begrenzt der Datenschutz den wirtschaftlichen Betätigungsfreiraum im Bereich der Verarbeitung personenbezogener Daten. Der Datenschutz ist dabei als Rahmenbedingung des Wettbewerbs von allen Marktteilnehmern gleichermaßen zu beachten.

Insofern müssen Unternehmen unterschiedliche datenschutzrechtliche Regelungen berücksichtigen und sinnvoll ins Tagesgeschäft integrieren.

Maßgeblich für den Datenschutz in Unternehmen sind insbesondere die Regelungen des Bundesdatenschutzgesetzes (BDSG) und ab 25.Mai 2018 der europäischen Datenschutzgrundverordnung in Verbindung mit einem überarbeiteten Bundesdatenschutzgesetz (BDSG-Neu). Geplant ist zusätzlich eine E-Privacy-Verordnung mit Regelungen für das Online- und Direktmarketing (Cookie-Tracking, E-Mail-Werbung, Telefon-Marketing), welche ebenfalls in 2018 in Kraft treten soll. Daneben existieren Landesdatenschutzgesetze, die jedoch grundsätzlich nicht für Unternehmen gelten, da sie lediglich auf öffentlich-rechtliche Einrichtungen anwendbar sind. Bereichsspezifische Sondergesetze, etwa Telemediengesetz (TMG), Sozialgesetzbuch (SGB) oder das Gesetz über die Datenverarbeitung bei der Polizei (PolDatG) enthalten weitere Datenschutzbestimmungen. Diese Sondervorschriften sind auf die Anforderungen der jeweiligen Bereiche angepasst und gehen unter Umständen den allgemeineren Regeln des BDSG vor. Schließlich gelten die besonderen Verschwiegenheitspflichten der sogenannten Berufsgeheimnisträger, wie etwa die ärztliche oder anwaltliche Schweigepflicht und vertragliche Datenschutzregelungen wie etwa das Bankgeheimnis.

Der externe Datenschutzbeauftragte entlastet Sie durch Expertenwissen

Viele Unternehmen greifen auf einen externen Datenschutzbeauftragten zurück, der Unternehmen in der Erfüllung des Bundesdatenschutzgesetzes unterstützt. Kennen Sie beispielsweise den Inhalt des § 5 Bundesdatenschutzgesetz bzw. § 53 Bundesdatenschutzgesetz-Neu? Nach dieser Vorschrift ist es Mitarbeitern eines Unternehmens untersagt, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen. Nach § 5 Satz 2 BDSG bzw. § 53 Satz 2 BDSG-Neu müssen Sie Ihre Mitarbeiter zur Einhaltung dieser Vorschrift verpflichten. Möglich ist dies über eine sog. Verpflichtungserklärung, die die Mitarbeiter idealerweise vor Arbeitsantritt unterzeichnen sollten.