Wann brauche ich einen DSB?

Datenschutz ist ein komplexes Thema und viele Verantwortliche wissen oft nicht, wo sie anfangen und wo sie aufhören sollen. Eine wichtige Frage ist am Anfang, unter welchen Umständen man verpflichtet ist, einen Datenschutzbeauftragten zu benennen. Hier gibt es mehrere Fälle zu betrachten:

Fall 1 – >=20 MitarbeiterInnen

Das Bundesdatenschutzgesetz, welches in Ergänzung zur DSGVO gilt, definiert eine Grenze von 20 MitarbeiterInnen, die sich regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigen. Dabei bedeutet regelmäßig, dass die Tätigkeit wiederholt und auf Dauer durchgeführt wird. Wie häufig das passiert, spielt hingegen keine Rolle. So zählt die Vertretung, die eine Verarbeitung nur ausnahmsweise vornimmt, nicht. Eine Mitarbeiterin, die zwar nur einmal im Jahr personenbezogene Daten verarbeitet, das aber jedes Jahr, schon.

Wenn also nach diesem Prinzip die Anzahl der MitarbeiterInnen (dazu gehören auch PraktikantInnen, Auszubildende, Hilfskräfte, Angestellte, LeiharbeitsnehmerInnen) festgestellt wurde und mindestens 20 Personen zählt, dann ist die Bestellpflicht für einen Datenschutzbeauftragten gegeben.

Fall 2 – DSFA

Ein weiterer Fall einer Benennungspflicht entsteht, sobald Sie als Verantwortlicher eine sogenannte Datenschutzfolgenabschätzung durchführen müssen. Diese DSFA liegt in einigen Bereichen in Ihrem Ermessen. Es gibt aber in jedem Bundesland von den jeweiligen Aufsichtsbehörden veröffentlichte Listen von Verarbeitungstätigkeiten, die in jedem Fall eine DSFA erfordern. 

Leider differieren diese Listen von Bundesland zu Bundesland und zum anderen stellen sie nur Beispiele dar. Das heißt, auch Verarbeitungen, die zwar nicht identisch mit den Beispielen sind, diesen aber nahe kommen, sind von der Pflicht zur DSFA mit umfasst. Im Zweifel müssen Sie als Verantwortlicher begründen, warum eine Verarbeitung keine DSFA erforderlich gemacht hat. 

Ist die Pflicht zur Durchführung einer DSFA eröffnet, dann müssen Sie auch einen Datenschutzbeauftragten benennen. Da kommen Sie dann nicht mehr herum. Die Pflicht besteht so lange, wie sie die mit der DSFA verbundene Verarbeitung durchführen.

Sonstige Fälle

Es gibt weitere Konstellationen, die eine Benennung eines Datenschutzbeauftragten erforderlich machen. Dies betrifft z.B. besondere Datenverarbeitungen, bei denen in größerem Umfang besondere Kategorien von personenbezogenen Daten verarbeitet werden. 

Wenn Sie Zweifel haben, ob in Ihrem Fall ein DSB benannt werden muss, sprechen Sie uns einfach an.