Pflicht zur Benennung eines Datenschutzbeauftragten

Im November 2019 wurden die deutschen Datenschutzregelungen an die Vorgaben der europäischen Datenschutzgrundverordnung (DS-GVO) angepasst. Eine der wichtigsten Änderungen betraf das Bundesdatenschutzgesetz (BDSG): Erst ab 20 Mitarbeitern, die mit der Verarbeitung personenbezogener Daten beschäftigt sind, sind Unternehmen verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Die europarechtlichen Voraussetzungen für die Verpflichtung sind in Art. 37 DS-GVO geregelt. Danach besteht eine Benennungspflicht insbesondere für Unternehmen, die beispielsweise bei Ausübung ihrer Kerntätigkeit sensible Daten verarbeiten oder für deren Tätigkeit umfangreiche Überwachung von betroffenen Personen nötig ist.

Der deutsche Gesetzgeber hat von der Öffnungsklausel des Art. 37 Abs. 4 S. 1 DS-GVO Gebrauch gemacht. § 38 BDSG regelte bislang für deutsche Verantwortliche die Pflicht, einen Datenschutzbeauftragten zu benennen, soweit

in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten

 beschäftigt sind.

Im November 2019 trat das 2. Datenschutz-Anpassungs- und Umsetzungsgesetz EU (2. DSAnpUG-EU) in Kraft. Dadurch wurde diese Grenze auf 20 Personen erhöht. Somit entfällt für viele kleinere Unternehmen die Verpflichtung, einen Datenschutzbeauftragten zu benennen.


§ 38 Abs. 1 BDSG n. F.:

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 679/2016 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Allerdings ist es möglich, dass auch Unternehmen mit weniger als 20 solcher Mitarbeiter weiterhin einen Datenschutzbeauftragten benötigen:

§ 38 Abs. 1 S. 2 BDSG n. F.:

Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Eine Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO erfasst insbesondere folgende Fälle:

a) systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

b) umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 [beispielsweise religiöse Überzeugungen] oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

c) systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Es ist zu beachten, dass der Wegfall der Verpflichtung zur Benennung eines Datenschutzbeauftragten nicht von allgemeinen Pflichten der Datenschutzgrundverordnung entbindet. Ein Datenschutzbeauftragter bleibt auch weiterhin ein wichtiges Instrument, um Vertrauen bei potenziellen Auftraggebern und Kunden zu gewinnen.

Es empfiehlt sich daher im Einzelfall zu prüfen, ob ein Datenschutzbeauftragter für das eigene Unternehmen sinnvoll ist.