Wann ist ein externer Datenschutzbeauftragter verpflichtend?

Die Pflicht zur Bestellung eines Datenschutzbeauftragten ergibt sich aus Art. 37 DSGVO sowie den nationalen Ausführungsgesetzen, insbesondere § 38 BDSG und den Landesdatenschutzgesetzen wie dem HDSIG in Hessen. Für viele Organisationen ist die Frage, ob sie einen DSB bestellen müssen, nicht auf den ersten Blick zu beantworten.

Öffentliche Stellen: Immer verpflichtet

Für öffentliche Stellen gilt nach Art. 37 Abs. 1 lit. a DSGVO eine unbedingte Bestellungspflicht. Behörden, Kommunen, Landeseinrichtungen und sonstige öffentliche Stellen müssen unabhängig von ihrer Größe oder der Art ihrer Datenverarbeitung einen Datenschutzbeauftragten benennen. In Hessen gilt dies nach § 5 HDSIG für alle öffentlichen Stellen des Landes und der Kommunen.

Diese absolute Pflicht für öffentliche Stellen erklärt sich aus der besonderen Verantwortung staatlicher Institutionen gegenüber Bürgerinnen und Bürgern. Öffentliche Stellen verarbeiten häufig besonders sensible Daten und sind in besonderem Maße rechenschaftspflichtig.

Private Unternehmen: Schwellenwerte und Kerntätigkeiten

Für private Unternehmen und sonstige nicht-öffentliche Stellen gelten nach § 38 BDSG folgende Pflichten: Wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, muss ein DSB bestellt werden. Diese Zahl bezieht sich auf alle Personen, die regelmäßig mit der Verarbeitung befasst sind – also nicht nur Vollzeitkräfte, sondern auch Teilzeitkräfte und gegebenenfalls externe Mitarbeitende.

Darüber hinaus besteht die Pflicht unabhängig von der Mitarbeiterzahl, wenn Kerntätigkeiten in der umfangreichen Verarbeitung besonderer Datenkategorien (Art. 9 DSGVO) oder der umfangreichen Verarbeitung von Daten über strafrechtliche Verurteilungen bestehen. Besondere Datenkategorien umfassen Gesundheitsdaten, biometrische Daten, genetische Daten, Daten zur rassischen oder ethnischen Herkunft, politischen Meinungen, religiösen Überzeugungen, Gewerkschaftszugehörigkeit und Sexualleben.

Kerntätigkeiten nach Art. 37 Abs. 1 lit. b und c DSGVO

Neben dem Schwellenwert von 20 Personen gibt es zwei weitere Tatbestände, die zur Bestellungspflicht führen. Erstens: Wenn die Kerntätigkeiten des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen bestehen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b DSGVO). Zweitens: Wenn die Kerntätigkeiten in der umfangreichen Verarbeitung besonderer Datenkategorien oder von Daten über strafrechtliche Verurteilungen bestehen (Art. 37 Abs. 1 lit. c DSGVO).

Freiwillige Bestellung

Auch wenn keine gesetzliche Pflicht besteht, kann die freiwillige Bestellung eines Datenschutzbeauftragten sinnvoll sein. Sie signalisiert Kunden und Geschäftspartnern ein hohes Datenschutzniveau und kann im Falle eines Datenschutzvorfalls strafmildernd wirken. Zudem profitiert die Organisation von der Fachkompetenz des DSB bei der Gestaltung datenschutzkonformer Prozesse.

Wichtig zu wissen: Wenn ein DSB freiwillig bestellt wird, gelten für ihn dieselben gesetzlichen Anforderungen wie für einen pflichtgemäß bestellten DSB – insbesondere der besondere Kündigungsschutz nach § 38 Abs. 2 BDSG.

Meldung bei der Aufsichtsbehörde

Nach Art. 37 Abs. 7 DSGVO müssen Verantwortliche und Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und der zuständigen Aufsichtsbehörde mitteilen. In Hessen ist dies der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI). Die Meldung erfolgt in der Regel über das Online-Portal des HBDI.