Nach Art. 37 DSGVO und in Ergänzung dazu § 38 BDSG ist die Benennung eines Datenschutzbeauftragten Pflicht, wenn mindestens zwanzig Mitarbeiter (Angestellte, freie Mitarbeiter, Praktikanten, Teilzeitkräfte…) ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind. Doch auch kleine Unternehmen sind häufig zur Benennung eines Datenschutzbeauftragten verpflichtet.
Je nach Art, Umfang und/oder Zweck der Verarbeitung ist die Benennung eines Datenschutzbeauftragten notwendig. So muss jede Organisation, deren „Kerntätigkeit“ darin besteht, besondere Kategorien von Daten zu verarbeiten, einen Datenschutzbeauftragten benennen. Hierzu gehört beispielsweise die Verarbeitung von Gesundheitsdaten. Nur Arztpraxen oder medizinische Einrichtungen, in denen weniger als 10 Personen mit Gesundheitsdaten arbeiten, müssen keinen Datenschutzbeauftragten benennen.
Generell ist ein DSB zu benennen, wenn Verarbeitungen vorgenommen werden, die zur Pflicht führen, eine Datenschutz-Folgenabschätzung vorzunehmen. Außerdem muss jede Behörde oder öffentliche Stelle, die personenbezogene Daten verarbeitet – mit Ausnahme von Gerichten – einen Datenschutzbeauftragten benennen.
Organisationen oder Vereine, die nicht verpflichtet sind, einen Datenschutzbeauftragten zu benennen, können dies freiwillig tun. Die freiwillige Benennung des DSB schafft in vielen Fällen Vertrauen bei Kunden oder Mitgliedern und entlastet nebenbei die Geschäftsführung.
Ist ein betrieblicher Datenschutzbeauftragter nicht verfügbar, dann ist ein externer Datenschutzbeauftragter oft eine gute Lösung. Dieser bringt bereits Fachwissen, Erfahrung und Kompetenzen für die Tätigkeit mit, Weiterbildungskosten werden so gespart, die Freistellung eines produktiven Mitarbeiters ist nicht nötig. Auch ist eine bessere Absicherung bezüglich der Haftung gegeben.
Ein externer Datenschutzbeauftragter ist unabhängig, da er nicht in bestimmte Unternehmensbereiche involviert ist und Interessenskonflikte so nicht entstehen können. Im Gegensatz zum betrieblichen ist der externe DSB durch einen Vertrag verpflichtet, der unter Beachtung der vereinbarten Kündigungsfristen aufgelöst werden kann.
Kosten für Weiterbildung und regelmäßige Fortbildungen trägt das Unternehmen |
Mitarbeiter kann nur aus „wichtigem Grund“ abberufen werden und genießt umfassenden Kündigungsschutz |
Kennt sich mit Abläufen im Unternehmen besser aus, jedoch Interessenskonflikt möglich |
Umfang der Tätigkeit bei weiteren Aufgaben des Datenschutzbeauftragten oft unklar, Datenschutztätigkeit und andere Aufgaben stehen in Konkurrenz |
Kein Versicherungsschutz, Verantwortlichkeit im Unternehmen |
Fortbildungskosten trägt der Datenschutzbeauftragte selbst |
Benennung widerrufbar, vertragliche Kündigung mit Einhaltung der Kündigungsfristen möglich |
Kennt interne Abläufe im Unternehmen weniger gut, daher kein Interessenskonflikt |
Umfang und Kosten der Tätigkeit vertraglich genau festgelegt |
Umfangreicher Versicherungsschutz gegenüber Unternehmen |