DSGVO: Pflicht zur Bestellung eines Datenschutzbeauftragten im Unternehmen?

Aktualisiert: 29. Juni 2019

Seit einigen Monaten wenden wir nun die Datenschutzgrundverordnung (DSGVO) an. Laut Umfragen haben sich die meisten Unternehmen noch nicht auf die neuste Rechtslage eingestellt oder sind gerade dabei.

Die DSGVO erfordert Änderungen und Umstrukturierungen im Unternehmen. Eine davon ist die Benennung eines Datenschutzbeauftragten. Dieser Datenschutzbeauftragte kann ein interner Datenschutzbeauftragter sein oder ein externer Datenschutzbeauftragter.


Doch was ist der Unterschied zwischen internem Datenschutzbeauftragten und externen Datenschutzbeauftragten?


In Kürze: Ein interner Datenschutzbeauftragter ist ein Angestellter des Unternehmens, der neben seinen normalen Tätigkeiten zusätzlich die Tätigkeiten eines internen Datenschutzbeauftragten übernimmt. Ein externer Datenschutzbeauftragter ist jemand, der von außen in das Unternehmen geholt wird und für dieses tätig wird.

Oft handelt es sich dabei um Rechtsanwälte, da sie gleichzeitig eine rechtliche Beratung vornehmen können, was beispielsweise einem Informatiker verwehrt ist. Ausführlicher habe ich die Frage in einem anderen Rechtstipp erläutert. Lesen Sie ihn hier.


Doch wann muss ein Datenschutzbeauftragter bestellt werden?


Hier eine Aufzählung:


- Behörden und öffentliche Stellen müssen immer einen Datenschutzbeauftragten bestellen.

- Darunter fallen unter Umständen auch Unternehmen, wenn sie öffentliche Aufgaben wahrnehmen wie z. B. der bezirkliche Schornsteinfeger, der auch einen Datenschutzbeauftragten bestellen muss.

- Auch Unternehmen, die mindestens zehn Personen im Unternehmen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, sind verpflichtet einen Datenschutzbeauftragten zu bestellen. Dies ist bereits erfüllt, wenn ein Beschäftigter über ein E-Mail-Postfach verfügt!

- Unternehmen, deren Kerntätigkeit die Verarbeitung personenbezogener Daten ist, müssen immer einen Datenschutzbeauftragten bestellen. Unabhängig von der Mitarbeiterzahl! Kerntätigkeit meint hier die Haupttätigkeit des Unternehmens. Darunter fallen auch Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung verarbeiten. Auskunfteien, Institute für Markt- oder Meinungsforschung und Unternehmen des Adresshandels sind Beispiele für solche Unternehmen.

- Auch Unternehmen, deren Kerntätigkeit die Verarbeitung sogenannter sensibler Daten (z. B. Sozial- oder Gesundheitsdaten) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten umfasst, sind verpflichtet, einen Datenschutzbeauftragten zu bestellen. Auch dies ist unabhängig von der Anzahl der Mitarbeiter.

- Auch Unternehmen, die einer sog. Datenschutz-Folgeabschätzung unterliegen, sind verpflichtet, einen Datenschutzbeauftragten unabhängig von der Mitarbeiterzahl zu bestellen.


Die DSGVO hält einen Vorteil parat für Unternehmensgruppen: Ein Konzern kann unter bestimmten Umständen für die ganze Unternehmensgruppe nur einen gemeinsamen Datenschutzbeauftragten ernennen.


Die Frage danach, ob ein Datenschutzbeauftragter bestellt werden muss, ist also nicht so einfach zu beantworten. Lassen Sie sich im Zweifel rechtlich beraten, ob Sie einen Datenschutzbeauftragten benötigen. Eine Beratung kann Sie vor Folgekosten durch Abmahnungen und Bußgelder schützen und ist in den meisten Fällen günstiger.


Meine Kanzlei unterstützt Sie gerne bei dieser Frage und auch bei anderen datenschutzrechtlichen und wettbewerbsrechtlichen Fragen. Kommen Sie für ein Angebot auf mich zu. Ich freue mich auf Ihren Anruf oder Ihre E-Mail!

© 2018 by Karina Filusch. Proudly created by Hélène Baum with Wix.com