DSGVO: Datenschutzbeauftragter im Unternehmen nötig?

920x3405af00941304dc

Brauchen Sie nach DSGVO einen Datenschutzbeauftragten? Welche Mitarbeiter zählen zur „10-Mitarbeiter-Grenze“? Und können Sie einfach selbst Datenschutzbeauftragter sein?  Diese und weitere Fragen beantworten wir in unserem Rechtstipp der Woche.

Regelung nach der DSGVO

10-Mitarbeiter-Grenze

In Deutschland sieht § 38 Abs. 1 S. 1 BDSG-neu vor, dass nicht-öffentliche verantwortliche Stellen einen DSB bestellen müssen, wenn sie mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Deutsche Onlinehändler brauchen also zwingend einen Datenschutzbeauftragten, wenn mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Wer zählt zu diesen 10 Personen?

Hier müssen einige Begriffe geklärt werden.

Personenbezogene Daten (Art. 4 Nr. 1 DSGVO) meint:

„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind;“

Verarbeitung (Art. 4 Nr. 2 DSVGO) meint:

„jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;“

Automatisiert bedeutet in diesem Zusammenhang die Verarbeitung mit elektronischen Mitteln. Um ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt zu sein, genügt es in der Regel, einen Zugang zur automatisierten Datenverarbeitung zu haben.

Das bedeutet, dass auch ein Logistikmitarbeiter, der am Computer Adressaufkleber ausdruckt, zu diesen 10 Personen zu zählen ist, nicht jedoch der Arbeiter, der lediglich Adressaufkleber auf Pakete klebt. Zu den 10 Personen zählen auch Aushilfen, Studenten und Azubis.

Ausnahmen unter 10 Mitarbeitern?

Unabhängig von der Anzahl der ständig mit der automatisierten Verarbeitung beschäftigten Personen ist ein Datenschutzbeauftragter zu benennen, wenn:
- die Verarbeitung der Daten einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegt oder
- die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Die Verarbeitung der Daten durch Onlinehändler unterliegt grundsätzlich keiner Datenschutz-Folgenabschätzung.

Auch die geschäftsmäßige Verarbeitung zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung ist in der Regel bei Onlinehändlern nicht einschlägig. Hier sind vor allem Auskunfteien und Marktforschungsinstitute betroffen.

Wer darf als Datenschutzbeauftragte/r benannt werden?

Diese Tätigkeit kann von einem internen Mitarbeiter oder von einem externen ausgeübt werden. Die Anforderungen an das Fachwissen und die datenschutzrechtliche Kompetenz dieser Person richten sich an der Qualität der Durchführungen zur Datenverarbeitung aus. Je höher der Schutzbedarf der verarbeiteten Daten ist, desto höher sind auch die Anforderungen an das Fachwissen und die vorzuhaltende Kompetenz. So arbeitet zum Beispiel eine Online-Apotheke mit sensibleren Kundendaten als ein Baumarkt.

Welche Aufgaben hat der Datenschutzbeauftragte?

Der Datenschutzbeauftragte ist weisungsfrei und direkt der Geschäftsleitung zu unterstellen. Der Geschäftsführer selbst darf deshalb nicht Datenschutzbeauftragter sein. Seine Aufgaben sind in Art. 39 DSGVO aufgelistet. Darunter fallen die Unterrichtung und Beratung des Verantwortlichen oder Auftragsverarbeiters sowie der Beschäftigten, die die Datenverarbeitung durchführen; Überweisung der Einhaltung der europäischen sowie nationalen datenschutzrechtlichen Vorschriften; Zusammenarbeit mit der Aufsichtsbehörde; Beratung auf Anfrage im Zusammenhang der Datenschutz-Folgenabschätzung.

Datenschutzbeauftragte genießen einen besonderen Kündigungsschutz. Wenn die Position im Unternehmen intern besetzt wird, ist nur eine Kündigung aus wichtigem Grund zulässig. Zudem verantwortet der DSB zwar die Einhaltung seiner gesetzlich normierten Aufgaben, eine weitergehende Haftung ist aber ausgeschlossen.  Es ist daher ratsam, den Datenschutzbeauftragten sorgfältig auszuwählen.

rechtstipp_blog_banner_dsgvo_schutz5ad45eb232b6e

Unser Tipp

Prüfen Sie, ob mindestens 10 Ihrer Mitarbeiter elektronischen Zugriff auf personenbezogene Daten haben. Ist das der Fall, benötigen Sie einen Datenschutzbeauftragten, den Sie entsprechend sorgfältig auswählen sollten, bei weniger als 10 Mitarbeitern mit Zugriff brauchen Sie in der Regel keinen Datenschutzbeauftragten.

 

autor_frieder_schelleFrieder Schelle ist Wirtschaftsjurist und seit 2011 für Trusted Shops im Bereich Audit and Legal tätig. Er war verantwortlich für die Entwicklung rechtlicher Dokumente im Rahmen der Auditierung Schweizer Onlineshops und für die Betreuung deutscher und britischer Shops im Auditprozess. Seit 2014 ist Frieder im Bereich Legal Expert Services als Consultant tätig und betreut Rechtsberatungsprojekte und die Trusted Shops Abmahnschutzpakete. Frieder Schelle beschäftigt sich seit 2008 intensiv mit den Themenfeldern Wettbewerbs- und Medienrecht.

Kommentar schreiben

Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.

Beitrag teilen

Passende Artikel

  • Abmahnschutz PREMIUM
    Der  Trusted Shops Abmahnschutz PREMIUM bietet Ihnen immer aktuelle und abmahnsichere Rechtstexte für bis zu fünf Internetpräsenzen – egal ob eigener Shop, eBay oder Amazon. Zusätzliche...

    49,90 €

    pro Monat