Im Bundesdatenschutzgesetz (BDSG) ist definiert, wann ein Unternehmen dazu verpflichtet ist, einen Datenschutzbeauftragten zu bestellen. Eine gesetzliche Verpflichtung liegt in den folgenden drei Fällen vor:

  • Das Unternehmen beschäftigt mindestens neun Mitarbeiter, die personenbezogene Daten automatisiert verarbeiten. Ob es sich dabei um fest angestellte Mitarbeiter, freie Mitarbeiter oder Aushilfen handelt ist irrelevant. Sofern diese Arbeiten am Computer verrichtet werden, ist von einer automatisierten Verarbeitung der Daten auszugehen. Die rechtliche Grundlage bildet § 4f Abs. 1 Satz 3 BDSG.
  • Das Unternehmen übermittelt personenbezogene Daten geschäftsmäßig, erhebt oder verarbeitet diese. Beispiele für solche Unternehmen sind Auskunfteien, Adressverlage oder Marktforschungsunternehmen. Die Anzahl der Beschäftigen spielt dann keine Rolle. Rechtsgrundlage: § 4f Abs. 1 Satz 5 BDSG.
  • Das Unternehmen verarbeitet besonders sensible Daten, wie beispielsweise Bonitäts- oder Gesundheitsdaten. In solch einer Situation besteht unabhängig von der Anzahl der Beschäftigten eine grundsätzliche Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Rechtsgrundlage ist § 4f Abs. 1 Satz 5 BDSG.

Bei personenbezogenen Daten handelt es sich um Einzelangaben, die über persönliche oder sachliche Verhältnisse informieren. Hierzu zählen unter anderem:

  • Name, Alter, Familienstand, Geburtsdatum
  • Personalausweisnummer, Sozialversicherungsnummer
  • Adressdaten sowie Telefonnummer, E-Mail Adresse
  • Konto- und Kreditkartennummer
  • Kraftfahrzeugnummer, Kfz-Kennzeichen
  • Gesundheitsdaten und genetische Daten
  • Werturteile wie zum Beispiel Zeugnisse
  • Vorstrafen

Personenbezogene Daten, die Unternehmen verarbeiten sind überwiegend Kundendaten. Allerdings darf nicht vergessen werden, dass Personaldaten ebenfalls personenbezogen und somit im Rahmen des Datenschutzes zu berücksichtigen sind.

Die Form, in der relevante Daten verarbeitet und beispielsweise gesichert werden, spielt keine Rolle. Daher können auch Audioaufzeichnungen, Fotos, Videos oder Röntgenaufnahmen als personenbezogene Daten klassifizierbar sein.

Ein Datenschutzbeauftragter stellt sicher, dass keine Fehler im Umgang mit diesen Daten gemacht werden und sich das Unternehmen somit auf rechtssicherem Terrain bewegt. Soweit die Bestellung eines Datenschutzbeauftragten nicht gesetzlich vorgeschrieben ist, muss die Unternehmensleitung den Datenschutz sicherstellen. Es besteht die Option, einen externen Datenschutzbeauftragten freiwillig zu bestellen.

Hier erfahren Sie mehr über die Aufgaben eines Datenschutzbeauftragten.