Wann brauche ich einen DSB?

Datenschutz ist ein komplexes Thema und viele Verantwortliche wissen oft nicht, wo sie anfangen und wo sie aufhören sollen. Eine wichtige Frage ist am Anfang, unter welchen Umständen man verpflichtet ist, einen Datenschutzbeauftragten zu benennen. Hier gibt es mehrere Fälle zu betrachten:

Fall 1 – >=20 MitarbeiterInnen

Das Bundesdatenschutzgesetz, welches in Ergänzung zur DSGVO gilt, definiert eine Grenze von 20 MitarbeiterInnen, die sich regelmäßig mit der Verarbeitung personenbezogener Daten beschäftigen. Dabei bedeutet regelmäßig, dass die Tätigkeit wiederholt und auf Dauer durchgeführt wird. Wie häufig das passiert, spielt hingegen keine Rolle. So zählt die Vertretung, die eine Verarbeitung nur ausnahmsweise vornimmt, nicht. Eine Mitarbeiterin, die zwar nur einmal im Jahr personenbezogene Daten verarbeitet, das aber jedes Jahr, schon.

Wenn also nach diesem Prinzip die Anzahl der MitarbeiterInnen (dazu gehören auch PraktikantInnen, Auszubildende, Hilfskräfte, Angestellte, LeiharbeitsnehmerInnen) festgestellt wurde und mindestens 20 Personen zählt, dann ist die Bestellpflicht für einen Datenschutzbeauftragten gegeben.

Fall 2 – DSFA

Ein weiterer Fall einer Benennungspflicht entsteht, sobald Sie als Verantwortlicher eine sogenannte Datenschutzfolgenabschätzung durchführen müssen. Diese DSFA liegt in einigen Bereichen in Ihrem Ermessen. Es gibt aber in jedem Bundesland von den jeweiligen Aufsichtsbehörden veröffentlichte Listen von Verarbeitungstätigkeiten, die in jedem Fall eine DSFA erfordern. 

Leider differieren diese Listen von Bundesland zu Bundesland und zum anderen stellen sie nur Beispiele dar. Das heißt, auch Verarbeitungen, die zwar nicht identisch mit den Beispielen sind, diesen aber nahe kommen, sind von der Pflicht zur DSFA mit umfasst. Im Zweifel müssen Sie als Verantwortlicher begründen, warum eine Verarbeitung keine DSFA erforderlich gemacht hat. 

Ist die Pflicht zur Durchführung einer DSFA eröffnet, dann müssen Sie auch einen Datenschutzbeauftragten benennen. Da kommen Sie dann nicht mehr herum. Die Pflicht besteht so lange, wie sie die mit der DSFA verbundene Verarbeitung durchführen.

Sonstige Fälle

Es gibt weitere Konstellationen, die eine Benennung eines Datenschutzbeauftragten erforderlich machen. Dies betrifft z.B. besondere Datenverarbeitungen, bei denen in größerem Umfang besondere Kategorien von personenbezogenen Daten verarbeitet werden. 

Wenn Sie Zweifel haben, ob in Ihrem Fall ein DSB benannt werden muss, sprechen Sie uns einfach an.

Andere Artikel

Warum sich Webseitenbetreiber interessieren sollten

Mit Webseiten haben wir ja alle irgendwie zu tun, entweder als Besucher oder weil unser Unternehmen, unser Verein oder wir selbst eine Webseite betreiben. Aus einer aktuellen nicht repräsentativen Untersuchung gewinne ich dennoch den Eindruck, dass die allermeisten Webseiten nicht

Weiterlesen »

Auftragsverarbeitung

Ich bin jedesmal überrascht, wie reflexartig die Zusammenarbeit von Verantwortlichen von Datenschutzbeauftragten und Rechtsberatern als Auftragsverarbeitung gewertet wird. Sobald eine Partei einer anderen Partei personenbezogene Daten übermittelt, rufen alle sofort nach einem Auftragsverarbeitungsvertrag. Als ob dies die einzige Möglichkeit sei. Tatsächlich

Weiterlesen »

Muss ein DSB eigentlich auch mal vor Ort sein?

Ich erledige alles remote! Total günstig! Mit ein paar Checklisten, einem intelligenten Tool und ein paar Telefonaten könnt Ihr sofort datenschutzkonform arbeiten! Really? Was wie ein traumhaftes Versprechen daherkommt, muss man doch noch einmal genau hinterfragen.  Die primäre Aufgabe eines DSB

Weiterlesen »

Der finale K(l)ick

Adrenalin pur. Der ganze Körper steht unter Stress. Anspannung, die ins Gesicht geschrieben steht. Montagmorgen und die Existenz steht auf Messers Schneide. Wie von Geisterhand haben alle Drucker im Netzwerk ihre Botschaft auf‘s Papier gedruckt. Deine Daten sind weg. Also eigentlich

Weiterlesen »

Immer gut informiert mit unserem Newsletter

Wenn Sie über die neuesten Entwicklungen rund um die rechtskonforme Verarbeitung von Daten informiert werden wollen, möchte ich Ihnen meinen Newsletter gerne ans Herz legen. In Abständen von vier bis sechs Wochen werden Sie von mir auf dem Laufenden gehalten.