Wann muss ein Unternehmen gemäß § 38 BDSG einen Datenschutzbeauftragten benennen?

Ein Unternehmen ist verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn es in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Gibt es Fälle, in denen unabhängig von der Anzahl der Mitarbeiter ein Datenschutzbeauftragter benannt werden muss?

Ja, unabhängig von der Mitarbeiterzahl muss ein Datenschutzbeauftragter benannt werden, wenn das Unternehmen: • Verarbeitungen durchführt, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen, oder • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Was versteht man unter einer Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO?

Eine Datenschutz-Folgenabschätzung ist ein Verfahren zur Identifizierung und Minimierung von Risiken für die Rechte und Freiheiten natürlicher Personen, die sich aus bestimmten Datenverarbeitungen ergeben können. Sie ist insbesondere erforderlich, wenn eine Form der Verarbeitung voraussichtlich ein hohes Risiko mit sich bringt, beispielsweise bei der Einführung neuer Technologien oder bei umfangreicher Überwachung.

Welche Konsequenzen drohen bei Verstößen gegen die Pflicht zur Benennung eines Datenschutzbeauftragten?

Verstöße gegen die Pflicht zur Benennung eines Datenschutzbeauftragten können gemäß Artikel 83 DSGVO mit Bußgeldern von bis zu 10 Millionen Euro oder bis zu 2 % des weltweiten Jahresumsatzes des Unternehmens geahndet werden, je nachdem, welcher Betrag höher ist.

Bundesdatenschutzgesetz

TEIL 1 – GEMEINSAME BESTIMMUNGEN

TEIL 2 – DURCHFÜHRUNGSBESTIMMUNGEN für Verarbeitungen zu Zwecken gemäß Artikel 2 der Verordnung (EU) 2016/679

TEIL 3 - BESTIMMUNGEN FÜR VERARBEITUNGEN ZU ZWECKEN gem. Art. 1 Absatz 1 der Richtlinie (EU) 2016/680 (Anmerk.: Strafverfolgung!)

TEIL 4 - BESONDERE BESTIMMUNGEN für Verarbeitungen im Rahmen von nicht in die Anwendungsbereiche der Verordnung (EU) 2016/679 und der Richtlinie (EU) 2016/680 fallenden Tätigkeiten

§ 38 BDSG – Datenschutzbeauftragte nichtöffentlicher Stellen

(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor,

die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, (Anm. d. Red.: für die eine Datenschutzfolgenabschätzung erforderlich ist)
oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung,
der anonymisierten Übermittlung oder
für Zwecke der Markt- oder Meinungsforschung,

haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.

Anmerkung:

bei der Zahl der Personen wird au Köpfe, nicht auf FTE (full-time-äquivalent / Vollzeitstellen) abgestellt, externe Mitarbeiter wie Freelancer und Leiharbeiter zählen mit dazu.
„mit der Datenverarbeitung beschäftigt“ heißt nicht, dass diese Personen in der IT-Abteilung arbeiten, sondern, dass sie regelmäßig mit personenbezogenen Daten umgehen. Im Zweifel sind das mindestens alle Personen mit einem PC-Arbeitsplatz.

Häufig gestellte Fragen

Holen Sie sich den Umsetzungsfahrplan zur DSGVO und unseren Newsletter!

§ 38 BDSG – Datenschutzbeauftragte nichtöffentlicher Stellen

§ 38 BDSG – Datenschutzbeauftragte nichtöffentlicher Stellen

Häufig gestellte Fragen

Navigieren Sie sicher durch den DSGVO-Dschungel!

Externe Datenschutzbeauftragte (DSB) und Informationssicherheitsbeauftragte (ISB)