Datenschutz und Datensicherheit

Für wen gilt die Benennungspflicht?

Nach Art. 37 DSGVO und in Ergänzung dazu § 38 BDSG ist die Benennung eines Datenschutzbeauftragten Pflicht, wenn mindestens zwanzig Mitarbeiter (Angestellte, freie Mitarbeiter, Praktikanten, Teilzeitkräfte…) ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Doch auch kleine Unternehmen sind häufig zur Benennung eines Datenschutzbeauftragten verpflichtet.

DSB-Benennung hängt nicht nur von der Mitarbeiterzahl ab

Je nach Art, Umfang und/oder Zweck der Verarbeitung ist die Benennung eines Datenschutzbeauftragten notwendig. So muss jede Organisation, deren „Kerntätigkeit“ darin besteht, besondere Kategorien von Daten zu verarbeiten, einen Datenschutzbeauftragten benennen. Hierzu gehört beispielsweise die Verarbeitung von Gesundheitsdaten. Nur Arztpraxen oder medizinische Einrichtungen, in denen weniger als 10 Personen mit Gesundheitsdaten arbeiten, müssen keinen Datenschutzbeauftragten benennen.

Generell ist ein DSB zu benennen, wenn Verarbeitungen vorgenommen werden, die zur Pflicht führen, eine Datenschutz-Folgenabschätzung vorzunehmen. Außerdem muss jede Behörde oder öffentliche Stelle, die personenbezogene Daten verarbeitet – mit Ausnahme von Gerichten ­– einen Datenschutzbeauftragten benennen.

Betrieblicher oder externer Datenschutzbeauftragter?

Organisationen oder Vereine, die nicht verpflichtet sind, einen Datenschutzbeauftragten zu benennen, können dies freiwillig tun. Die freiwillige Benennung des DSB schafft in vielen Fällen Vertrauen bei Kunden oder Mitgliedern und entlastet nebenbei die Geschäftsführung.

Ist ein betrieblicher Datenschutzbeauftragter nicht verfügbar, dann ist ein externer Datenschutzbeauftragter oft eine gute Lösung. Dieser bringt bereits Fachwissen, Erfahrung und Kompetenzen für die Tätigkeit mit, Weiterbildungskosten werden so gespart, die Freistellung eines produktiven Mitarbeiters ist nicht nötig. Auch ist eine bessere Absicherung bezüglich der Haftung gegeben.

Ein externer Datenschutzbeauftragter ist unabhängig, da er nicht in bestimmte Unternehmensbereiche involviert ist und Interessenskonflikte so nicht entstehen können. Im Gegensatz zum betrieblichen ist der externe DSB durch einen Vertrag verpflichtet, der unter Beachtung der vereinbarten Kündigungsfristen aufgelöst werden kann.

Vor- und Nachteile eines betrieblichen und eines externen Datenschutzbeauftragten

Betrieblicher DSB

Kosten für Weiterbildung und regelmäßige Fortbildungen trägt das Unternehmen

Mitarbeiter kann nur aus „wichtigem Grund“ abberufen werden und genießt umfassenden Kündigungsschutz

Kennt sich mit Abläufen im Unternehmen besser aus, jedoch Interessenskonflikt möglich

Umfang der Tätigkeit bei weiteren Aufgaben des Datenschutzbeauftragten oft unklar, Datenschutztätigkeit und andere Aufgaben stehen in Konkurrenz

Kein Versicherungsschutz, Verantwortlichkeit im Unternehmen

Externer DSB

Fortbildungskosten trägt der Datenschutzbeauftragte selbst

Benennung widerrufbar, vertragliche Kündigung mit Einhaltung der Kündigungsfristen möglich

Kennt interne Abläufe im Unternehmen weniger gut, daher kein Interessenskonflikt

Umfang und Kosten der Tätigkeit vertraglich genau festgelegt

Umfangreicher Versicherungsschutz gegenüber Unternehmen

Cookie Consent mit Real Cookie Banner