Wer braucht einen Datenschutzbeauftragten?

Es gibt mehrere Gründe, warum Sie einen Datenschutzbeauftragten benennen sollten. Oft ist die Benennung eines Datenschutzbeauftragten aufgrund gesetzlicher Vorgaben verpflichtend. In bestimmten Branchen wie beispielsweise im Gesundheitswesen kann sich die freiwillige Benennung eines Datenschutzbeauftragten positiv sowohl auf die Ertragslage als auch Ihr Image als Arbeitgeber auswirken.

Pflicht zur Benennung eines Datenschutzbeauftragten

Es ist nicht immer auf den ersten Blick offensichtlich, ob ein Unternehmen oder eine Organisation einen Datenschutzbeauftragten bestellen muss. Gab es unter altem Datenschutzrecht bis 2018 nur eine Handvoll Kriterien, so ist die Zahl der Fälle, in denen eine Pflicht zur Bestellung besteht, mit dem Inkrafttreten der DSGVO und des neuen Bundesdatenschutzgesetzes förmlich explodiert.

Folgende Entscheidungshilfe soll Ihnen einen Überblick geben, ob für Sie eine gesetzliche Pflicht zur Benennung eines Datenschutzbeauftragten besteht. Sobald mindestens eines der genannten Kriterien auf Sie zutrifft, sind Sie verpflichtet einen Datenschutzbeauftragten zu bestellen:

 KriteriumBeispiele
1Sie sind eine Behörde oder andere öffentliche Stelle.Finanzamt, Stadtverwaltung, Verkehrsbetriebe
2Sie beschäftigen regelmäßig mindestens 20 Personen, die automatisiert personenbezogene Daten verarbeiten. 
3Sie verarbeiten Daten auf eine Art, in einem Umfang oder zu einem Zweck, für die eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich ist.Sicherheitsdienste
4Sie verarbeiten auf umfangreiche Art und Weise eine oder mehrere Arten folgender besonders geschützter Daten:

  1. Gesundheitsdaten
  2. Genetische Daten
  3. Biometrische Daten
  4. Daten zum Sexualleben oder zur sexuellen Orientierung
  5. Daten zur politischen Meinung
  6. Daten zur Zugehörigkeit zu einer Gewerkschaft
  7. Daten zu Religion oder Weltanschauung
  8. Daten zur ethnischen Herkunft
  9. Daten zu strafrechtlichen Verurteilungen und Straftaten
  10. Daten, die dem Sozial-, Berufs- oder Amtsgeheimnis unterliegen
  11. Daten zum vorübergehenden oder permanenten Aufenthalt von Personen
Krankenhäuser, Parteien, Träger großer sozialer Einrichtungen, Betrieb eines Insolvenzverzeichnisses, Große Anwaltssozietät, Tracking von Kundenbewegungen in Warenhäusern, Verkehrsstromanalysen
5Sie verarbeiten (egal in welchem Umfang) eine oder mehrere Arten besonders geschützter Daten und eines oder mehrere der folgenden Kriterien trifft zu:

  1. Sie erheben diese Daten nicht nur einmalig mittels der innovativen Nutzung von Sensoren oder mobilen Anwendungen und empfangen und bereiten diese Daten an einer zentralen Stelle auf.
  2. Als Anbieter neuer Technologien verwenden Sie die Daten, um die Leistungsfähigkeit von Personen zu bestimmen.
Telemedizin, Auswertungen von Fitness-Armbändern
6Sie verarbeiten (egal in welchem Umfang) Daten zu einen oder mehreren der folgenden Zwecke

  1. anonyme oder nicht-anonyme Übermittlung an Dritte
  2. Marktforschung
  3. Meinungsforschung
 
7Sie verarbeiten (egal in welchem Unfang) biometrische oder genetische Daten und eines oder mehrere der folgenden Kriterien trifft zu:

  1. Verarbeitung von Daten zu schutzbedürftigen Personen
  2. Systematische Überwachung
  3. Innovative Nutzung neuer technologischer oder organisatorischer Lösungen
  4. Bewerten oder Einstufen (Scoring)
  5. Abgleichen oder Zusammenführen von Datensätzen
  6. Automatisierte Entscheidungsfindung mit erheblicher Wirkung auf natürliche Personen
  7. Verhinderung der Ausübung eines Rechts, der Nutzung eines Dienstes oder der Durchführung eines Vertrages
Verwendung biometrischer Systeme zur Zutrittskontrolle, Früherkennung von Erbkrankheiten bei Neugeborenen, Genetische Datenbank zur Abstammungsforschung
8Sie bewerten, ausgehend von automatisierten Verarbeitungen (z.B. durch Profiling, Bewertungsportalen, Artbeitnehmerüberwachung), persönliche Aspekte einer Person systematisch und umfassend, um Entscheidungen zu treffen, die erhebliche Auswirkungen auf diese oder andere Personen haben.Systeme zur Betrugsverhinderung, Scoring durch Auskunfteien, Banken und Versicherungen
9Sie erheben und veröffentlichen oder übermitteln in umfangreicher Art und Weise Daten, die zur Bewertung des Verhaltens oder anderer persönlicher Aspekte von Personen dienen und von Dritten genutzt werden, um Entscheidungen mit erheblicher Wirkung auf diese Personen zu treffen.Betrieb von Bewertungsportalen, Inkassodienstleisterd
10Sie verarbeiten in umfangreicher Art und Weise Daten über das Verhalten von Beschäftigten, die zur Bewertung ihrer Arbeitstätigkeit eingesetzt werden können, aus denen sich eine erhebliche Wirkung auf diese Personen ergibt.Einsatz von Data-Loss-Prevention-Systemen, Geolokalisierung von Beschäftigten
11Sie erfassen in großem Umfang und auf optisch-elektronische Art und Weise Daten in öffentlichen Bereichen.Daten aus den Umgebungssensoren von Fahrzeugen
12Sie verarbeiten Daten zur Erstellung umfassender Profile über die Interessen, die persönlichen Beziehungen oder die Persönlichkeit einer oder mehrerer Personen.Betrieb von Dating- und Kontaktportalen oder sozialen Netzwerken
13Zur Entdeckung vorher unbekannter Zusammenhänge für nicht im Vorhinein bestimmte Zwecke:

  1. führen Sie in großem Umfang Daten aus verschiedenen Quellen zusammen,
  2. verarbeiten diese zu Zwecken, für welche die Daten nicht direkt bei den betroffenen Personen erhoben wurden, und
  3. wenden einen für die betroffenen Personen nicht nachvollziehbaren Algorithmus an.
Big-Data-Analyse von Kundendaten, die mit Angaben aus Drittquellen angereichert wurden
13Sie setzen Systeme mit künstlicher Intelligenz ein, um personenbezogen Daten zur Steuerung der Interaktion mit Personen oder zur Bewertung persönlicher Aspekte zu verarbeiten.Einsatz von Chat-Bots im Support
14Sie nutzen Sensoren eines Mobilfunkgeräts oder die Funksignale, die von solchen Geräten versendet werden, um den Aufenthalt oder die Bewegung von Personen über einen erheblichen Zeitraum zu bestimmen.Offline-Tracking von Kundenbewegungen in Warenhäusern, Verkehrsstromanalyse auf der Grundlage von Standortdaten des öffentlichen Mobilfunknetzes
15Sie werten Bild- oder Tonaufnahmen automatisiert aus, um die Persönlichkeit von Personen zu bewerten.Telefongespräch-Auswertung mittels Algorithmen
16Sie erstellen umfassende Profile über Bewegung oder Kaufverhalten.Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten.
17Sie anonymisieren besonders geschützte Daten zum Zweck der Übermittlung an Dritte.Patientendaten werden durch ein Apothekenrechenzentrum oder eine Versicherung anonymisiert und zu anderen Zwecken selbst verarbeitet oder an Dritte weitergegeben
18Sie verarbeiten Daten, insbesondere bei Verwendung neuer Technologien, in einer Art, in einem Umfang, unter Umständen oder zu einem Zweck, der voraussichtlich ein hohes Risiko für die betroffenen Personen zur Folge hat. 

Wie zählt man die regelmäßig beschäftigten Personen, die automatisiert Daten verarbeiten?

Zu zählen sind alle Personen:

  1. die im Unternehmen bzw in der Organisation ständig beschäftigt sind, unabhängig von ihrem vertraglichen Status oder des Umfangs geleisteter Arbeit (also auch alle Praktikanten, Auszubildenden, Ehrenamtlichen, Geschäftsführer, Organträger, etc.), und
  2. die personenbezogene Daten automatisiert verarbeiten zum Beispiel durch das Abrufen, Lesen und Versenden von E-Mails auf einem PC oder durch das Bearbeiten von Kunden- oder Mitarbeiterdaten in einer Datenbank

Was bedeutet „umfangreiche Art und Weise“?

Wie oben dargestellt sind einige Kriterien nur relevant, sofern die Verarbeitung in umfangreicher Art und Weise geschieht. Die gesetzlichen Bestimmungen geben jedoch keine festen Grenzen vor, ab wann eine Verarbeitung als umfangreich betrachtet werden muss. Es werden auch seitens der Aufsichtsbehörden nur Anhaltspunkte genannt, deren hohes Zutreffen für eine „umfangreiche“ Verarbeitung spricht:

  • Menge der verarbeiteten personenbezogenen Daten (Volumen),
  • Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt)
  • Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße)
  • Dauer der Verarbeitung (zeitlicher Aspekt)

Zusätzlich werden noch folgende Konstellationen genannt, in denen regelmäßig nicht von einer umfangreichen Verarbeitung ausgegangen wird.

  • Verarbeitung von Patientendaten durch einen einzelnen Arzt oder sonstigen Angehörigen eines Gesundheitsberufs
  • Verarbeitung von Mandantendaten durch einen einzelnen Anwalt

Ultimativ liegt es in der Verantwortung des Unternehmens bzw. der Organisation zu entscheiden, ob sie einen Datenschutzbeauftragten ernennt oder nicht. Wird jedoch kein Datenschutzbeauftragter bestellt, obwohl nach dem Gesetz einer bestellt werden müsste, so greifen die drakonischen Bußgeldvorschriften der DSGVO.

Wenn Sie sich unsicher sind, ob Sie einen Datenschutzbeauftragten brauchen oder nicht, kontaktieren Sie uns. Wir beraten Sie gern!

/1 Kommentar/von
1 Antwort

Trackbacks & Pingbacks

  1. Die 5 wichtigsten Dinge, die Startups beim Datenschutz beachten müssen - BLUEDATEX sagt:
    5. Februar 2020 um 22:28 Uhr

    […] des Datenschutzbeauftragten (soweit […]

    Antworten

Dein Kommentar

An Diskussion beteiligen?
Hinterlassen Sie uns Ihren Kommentar!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert