kostenlos starten

Wann ist ein Datenschutzbeauftragter Pflicht? 

Dieser Beitrag erklärt klar und verständlich, wann Unternehmen laut DSGVO und BDSG einen Datenschutzbeauftragten benennen müssen. Erfahre, welche Kriterien entscheidend sind – etwa die Verarbeitung sensibler Daten, regelmäßige Überwachung oder die Mitarbeiterzahl – und erhalte praktische Tipps, wie du Datenschutzanforderungen rechtssicher und effizient erfüllst.

Die Datenschutz-Grundverordnung (DSGVO) schreibt unter bestimmten Voraussetzungen die Benennung eines Datenschutzbeauftragten (DSB) vor. Ergänzt wird diese europäische Vorgabe in Deutschland durch § 38 des Bundesdatenschutzgesetzes (BDSG), der die Regelungen konkretisiert und teilweise erweitert. Unternehmen und öffentliche Stellen sollten sich mit diesen Normen gut auskennen – nicht zuletzt, um Bußgelder zu vermeiden und den Anforderungen der Datenschutzaufsichtsbehörden gerecht zu werden. Doch wann ist ein Datenschutzbeauftragter Pflicht? In diesem Beitrag erfährst du, in welchen Fällen ein Datenschutzbeauftragter benannt werden muss und welche Kriterien dabei eine Rolle spielen. 

Die europäische Grundlage: Artikel 37 DSGVO 

Artikel 37 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter zur Benennung eines Datenschutzbeauftragten, wenn eine der folgenden Voraussetzungen erfüllt ist: 

  1. Es handelt sich um eine Behörde oder öffentliche Stelle, mit Ausnahme von Gerichten im Rahmen ihrer justiziellen Tätigkeit. 
  1. Die Kerntätigkeit des Unternehmens besteht in der regelmäßigen und systematischen Überwachung von betroffenen Personen in großem Umfang. 
  1. Die Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten im Sinne von Artikel 9 (z. B. Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen im Sinne von Artikel 10 DSGVO. 

Diese Voraussetzungen sind auf europäischer Ebene unmittelbar verbindlich. In vielen Fällen stellt sich jedoch die Frage, wie diese abstrakten Begriffe wie „Kerntätigkeit“, „umfangreich“ oder „regelmäßig“ konkret zu verstehen sind. 

Auslegungshilfe: Erwägungsgrund 97 DSGVO 

Erwägungsgrund 97 der DSGVO dient als Orientierung für die Auslegung von Artikel 37. Er betont, dass ein Datenschutzbeauftragter immer dann erforderlich ist, wenn die Verarbeitung personenbezogener Daten ein wesentlicher Bestandteil der Geschäftstätigkeit ist – insbesondere, wenn damit die systematische Überwachung von Personen oder die Verarbeitung sensibler Daten verbunden ist. 

Gleichzeitig unterstreicht der Erwägungsgrund die Anforderungen an den Datenschutzbeauftragten selbst: Er muss unabhängig agieren, über Fachwissen im Datenschutzrecht verfügen und darf keinen Interessenkonflikten unterliegen. Das zeigt: Die Position des DSB ist nicht bloß ein formaler Compliance-Posten, sondern ein zentrales Element moderner Datenschutzorganisation. 

Die nationale Ergänzung: § 38 BDSG 

Während die DSGVO für ganz Europa gilt, konkretisiert § 38 BDSG die Anforderungen speziell für Deutschland. Hier finden sich zwei wichtige Ergänzungen:

1. Wann ist ein Datenschutzbeauftragter Pflicht: Erweiterte Benennungspflicht für Unternehmen: 

§ 38 Absatz 1 BDSG schreibt vor, dass auch dann ein Datenschutzbeauftragter zu benennen ist, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind – und zwar unabhängig davon, ob eine „Kerntätigkeit“ im Sinne der DSGVO vorliegt. Diese Schwelle gilt ausschließlich in Deutschland und ist besonders relevant für kleinere und mittlere Unternehmen, die sonst nicht unter Artikel 37 DSGVO fallen würden. 

2. Weitere besondere Fälle: 

Darüber hinaus verlangt § 38 BDSG die Benennung eines DSB auch dann, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, anonymisierten Übermittlung oder Markt- oder Meinungsforschung verarbeitet werden. Damit schafft das BDSG zusätzliche, risikobasierte Kriterien, die über die DSGVO hinausgehen. 

Kerntätigkeit, Umfang und Überwachung: was bedeutet das in der Praxis? 

Die Frage, wann eine Verarbeitung als „umfangreich“ oder „regelmäßig“ gilt, lässt sich nicht pauschal beantworten. Aufsichtsbehörden und Fachliteratur orientieren sich dabei an Kriterien wie der Zahl der betroffenen Personen, der Menge und Art der verarbeiteten Daten, der Dauer der Verarbeitung sowie deren geografischer Reichweite. 

Beispielsweise fällt ein Unternehmen, das eine App zur Gesundheitsüberwachung betreibt, unter die Benennungspflicht, selbst wenn es nur eine überschaubare Anzahl an Mitarbeitenden hat – da sowohl sensible Daten verarbeitet als auch Nutzerverhalten systematisch beobachtet wird. Gleiches gilt für größere Online-Händler, die Tracking- und Analyseverfahren zum Nutzerverhalten einsetzen. 

Auch die „Kerntätigkeit“ ist ein zentrales Abgrenzungskriterium. Verarbeitet ein Unternehmen personenbezogene Daten nur unterstützend – etwa zur Personalverwaltung – liegt in der Regel keine Kerntätigkeit vor. Sobald jedoch die Datenverarbeitung selbst zum Geschäftsmodell gehört, etwa bei Bonitätsbewertungsdiensten, Auskunfteien oder datengetriebenen Plattformen, ist die Benennung eines Datenschutzbeauftragten meist zwingend erforderlich. 

Freiwillige Benennung ab wann ein Datenschutzbeauftragter Pflicht ist: Aus Compliance-Sicht oft sinnvoll 

Auch wenn weder die DSGVO noch das BDSG eine Benennung vorschreiben, kann die Bestellung eines Datenschutzbeauftragten auf freiwilliger Basis sinnvoll sein. Unternehmen, die frühzeitig in Datenschutz investieren, profitieren von klaren Verantwortlichkeiten, einer strukturierten Umsetzung der gesetzlichen Vorgaben und gesteigertem Vertrauen bei Kunden, Geschäftspartnern und Aufsichtsbehörden. Das ist auch von Vorteil, wenn das Unternehmen wächst und zu einem späteren Zeitpunkt ein DSB verpflichtend wird. In diesem Fall ist der Datenschutzbeauftragte bereits in die Strukturen des Unternehmens eingebunden.

Wichtig ist in jedem Fall: Die Entscheidung zur Nichtbenennung sollte dokumentiert und regelmäßig überprüft werden – etwa bei Änderungen der Geschäftsprozesse, bei Wachstum des Unternehmens oder bei Einführung neuer Technologien. 

Fazit: Pflicht oder freiwillig: die Benennung will gut begründet sein 

Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich einerseits aus der DSGVO – insbesondere aus Artikel 37 und Erwägungsgrund 97 – und wird in Deutschland durch § 38 BDSG erweitert. Verantwortliche müssen die datenschutzrechtlichen Anforderungen im konkreten Einzelfall sorgfältig prüfen und dokumentieren. Die Benennung eines DSB ist kein bloßer Formalakt, sondern Ausdruck einer verantwortungsbewussten Datenschutzorganisation. Unternehmen, die hier rechtzeitig handeln, stärken nicht nur ihre Rechtssicherheit, sondern auch ihre Position im Wettbewerb. 

Unser Tipp: Egal ob mit oder ohne Datenschutzbeauftragten ist eine saubere Datenschutzdokumentation wichtig. PLANIT // PRIMA unterstützt dich bei der rechtlich verpflichtenden Dokumentation. Jetzt 14 Tage kostenlos testen

Weitere Beiträge

Haftung des Datenschutzbeauftragten

Haftung des Datenschutzbeauftragten: Was droht dem DSB?

Datenschutzbeauftragte (DSB) haben nach Art. 37–39 DSGVO eine zentrale Beratungs- und Kontrollfunktion: Sie unterrichten

Wann ist ein Datenschutzbeauftragter Pflicht? 

Dieser Beitrag erklärt klar und verständlich, wann Unternehmen laut DSGVO und BDSG einen Datenschutzbeauftragten

Dienstleister datenschutzkonform einbinden: so geht’s

IT-Dienste werden heute nur noch selten in eigener Regie und mit eigener IT-Infrastruktur im

Auskunftsbegehren in der Unternehmenspraxis

Betroffene haben eine Reihe von Rechten, die sie gegenüber Verantwortlichen geltend machen können. Wenn

Mit Datenschutz den Unternehmenswert steigern! 

Mit Datenschutz den Unternehmenswert steigern – das funktioniert!Datenschutz wird meist als lästige Pflicht und

Umsetzung von Löschpflichten: Löschkonzepte und Löschkonzept mit Muster

Personenbezogene Daten dürfen nur verarbeitet werden, wenn dafür eine gesetzliche Rechtfertigung besteht und nur

DSFA

Datenschutz-Folgenabschätzung (DSFA) nach der EU-Datenschutz-Grundverordnung

Die DSFA DSGVO

Datenschutzrechtliche Gap- und Risikoanalyse

In einer Zeit, in der Daten als „neues Gold“ bezeichnet werden, hat der Datenschutz

Grundlagen des KI-Risikomanagements – KI-Systeme richtig einstufen, Risiken erkennen und managen

Grundlagen des KI-Risikomanagements Die KI-Verordnung (KI-VO) der Europäischen Union ist in Kraft getreten und

// PRIMA Newsletter

Datenschutz effizient und sicher umsetzen. 

Melden Sie sich an für regelmäßige Updates.

  • Wichtige Neuerungen im Datenschutz
  • Pragmatische Tipps für die Praxis
  • Best-Practice zum Senken der Compliance-Kosten
  • Exklusive Einladungen zu Webinaren
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Sie können hierzu den Abmeldelink in den Newslettern nutzen oder sich an mail@planitprima.com wenden. Nähere Informationen finden Sie in unserer Datenschutzerklärung
Linkedin Instagram Youtube

PLANIT // TECH GmbH

Jungfernstieg 1
20095 Hamburg
Deutschland

 

mail@planitprima.com
Tel: +49 (0) 40 609 44 190
Fax: +49 (0) 40 609 44 199

PLANIT // PRIMA

Online-Schulungen
Preise

// PRIMA-Tour

Datenschutz-Management-Software
DSGVO-Software
DSGVO-Tool
Kooperationen
Downloads
Datenschutzorganisation

KI-Verordnung

Datenschutz-Software Whitelabel

Kostenlos registrieren
©PLANIT // TECH GmbH 2024 | | Nutzungsbedingungen | Datenschutzerklärung | Impressum

©PLANIT // TECH GmbH 2024