Wann ist ein Datenschutzbeauftragter vorgeschrieben?

Die Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) ergibt sich aus zwei Rechtsgrundlagen: Art. 37 DSGVO und § 38 BDSG. Sie knüpfen an unterschiedliche Kriterien an und können unabhängig voneinander greifen. Eine Benennungspflicht entsteht, sobald auch nur eines der Kriterien erfüllt ist.

DSB-Benennungspflicht prüfen

Schritt 1: Art der Organisation

Öffentliche Stellen unterliegen einer besonderen Regelung nach Art. 37 Abs. 1 lit. a DSGVO.

Öffentliche Stelle Behörde, Körperschaft des öffentlichen Rechts, staatliche Einrichtung
Privatunternehmen GmbH, AG, GbR, Verein, Stiftung oder sonstige private Organisation

Schritt 2: Wie viele Personen in Ihrem Unternehmen verarbeiten regelmäßig personenbezogene Daten mithilfe von IT-Systemen?

Gemeint sind alle Mitarbeitenden, die im Rahmen ihrer Tätigkeit regelmäßig auf personenbezogene Daten zugreifen, z. B. HR, Vertrieb, Kundenservice, Buchhaltung.

Weniger als 20 Unter 20 Personen mit regelmäßigem Datenzugriff
20 oder mehr 20 oder mehr Personen mit regelmäßigem Datenzugriff

Schritt 3: Welche Arten von Daten verarbeiten Sie in Ihrer Kerntätigkeit?

Besondere Kategorien nach Art. 9 DSGVO lösen unabhängig von der Mitarbeiterzahl eine Benennungspflicht aus, sofern die Verarbeitung umfangreich erfolgt.

Besondere Datenkategorien — umfangreich Gesundheitsdaten, biometrische Daten, genetische Daten, religiöse oder politische Überzeugungen, Gewerkschaftszugehörigkeit, Sexualleben, ethnische Herkunft, strafrechtliche Daten — und das in größerem Umfang als Kerntätigkeit
Systematische Überwachung von Personen — umfangreich Videoüberwachung, Online-Tracking, Profiling, Bonitätsbewertungen oder Verhaltensanalysen in großem Maßstab als Kerntätigkeit
✖ Keines davon trifft zu Normale Verarbeitung von Kundendaten, Mitarbeiterdaten oder Geschäftsdaten ohne besondere Kategorien oder systematische Überwachung

Rechtsgrundlagen der Benennungspflicht im Überblick

RechtsgrundlageKriteriumGilt für
Art. 37 Abs. 1 lit. a DSGVOÖffentliche StelleBehörden und öffentliche Einrichtungen (immer)
§ 38 BDSG20 oder mehr Personen mit regelmäßiger automatisierter DatenverarbeitungPrivate Unternehmen
Art. 37 Abs. 1 lit. b DSGVOUmfangreiche systematische Überwachung als KerntätigkeitPrivate Unternehmen
Art. 37 Abs. 1 lit. c DSGVOUmfangreiche Verarbeitung besonderer Datenkategorien als KerntätigkeitPrivate Unternehmen

Interner oder externer Datenschutzbeauftragter?

Ist die Benennung eines DSB erforderlich, kann diese Funktion intern durch einen Mitarbeitenden oder extern durch einen beauftragten Fachmann ausgeübt werden. Beide Varianten sind zulässig. Ein externer DSB bietet den Vorteil, dass Interessenkonflikte von vornherein ausgeschlossen sind und fachliches Spezialwissen eingebracht wird, ohne eine eigene Stelle besetzen zu müssen.

Der DSB darf nicht gleichzeitig in einer Funktion tätig sein, die er als DSB beaufsichtigt (z. B. Geschäftsführer, IT-Leiter oder Personalverantwortlicher).