Bürokratie und Regulierung trifft Unternehmer auch im Datenschutzrecht. Wir nehmen bereits für verschiedene Unternehmen die Funktion als Datenschutzbeauftragter wahr. Doch welche Unternehmer brauchen gesetzlich vorgeschrieben einen betrieblichen Datenschutzbeauftragten?
Das Bundesdatenschutzgesetz (BDSG) gilt gemäß § 1 Abs. 2 Nr. 3 BDSG auch für alle nicht öffentlichen Stellen. Hierunter fallen sowohl juristische Personen (z.B. UG, GmbH, AG), Personengesellschaften (z.B. GbR) und natürliche Personen, soweit sie personenbezogene Daten unter Einsatz von Datenverarbeitungsanlagen (z.B. Computer) oder in oder aus nicht automatisierten Dateien wie Karteien verarbeiten, nutzen oder dafür erheben. Es sei denn die Erhebung, Verarbeitung oder Nutzung der Daten erfolgt ausschließlich für persönliche oder familiäre Tätigkeiten.
Entscheidende Rechtsgrundlage für die Bestellungspflicht eines Datenschutzbeauftragten ist § 4f BDSG.
Danach ist jede Stelle zur Bestellung eines Datenschutzbeauftragten verpflichtet, bei der im Falle automatisierter Datenverarbeitung in der Regel mehr als neun Mitarbeiter bzw. im Falle herkömmlicher Datenverarbeitung zwanzig Mitarbeiter ständig mit der Verarbeitung personenbezogener Daten betraut sind. Ob es sich dabei um fest angestellte Mitarbeiter, freie Mitarbeiter oder Aushilfen handelt ist unerheblich. Zu den personenbezogenen Daten gehören vor allem der Name, Vorname, Geburtsdatum, Anschrift, Familienstand, Kontonummer und Personalausweisnummer. Unter personenbezogene Daten fallen allerdings nicht nur Kundendaten oder Daten, die für Kunden verarbeitet werden, sondern auch die Daten der eigenen Mitarbeiter wie Personal- und Gehaltsdaten.
„In der Regel“ bedeutet in diesem Zusammenhang, dass zur Bewältigung der Aufgabe „Verarbeitung personenbezogener Daten“ zehn bzw. zwanzig Beschäftigte benötigt werden, diese also dementsprechend in dieser Aufgabe ihre Dauerbeschäftigung finden. „Ständig“ ist die Person wiederum beschäftigt, wenn sie für diese Aufgabe auf unbestimmte bzw. für eine längere Zeit vorgesehen ist und sie entsprechend wahrnimmt. Das bedeutet, dass der Mitarbeiter immer dann mit der Verarbeitung personenbezogener Daten beschäftigt ist, wenn diese Aufgabe anfällt.
Anders gestaltet sich die rechtliche Lage, wenn besonders sensible personenbezogene Daten wie z.B. Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben verarbeitet werden oder wenn die personenbezogenen Daten geschäftsmäßig zum Zwecke der personenbezogenen oder auch nur anonymisierten Übermittlung automatisiert verarbeitet werden (z.B. Auskunfteien, Adresshandelsunternehmen, Mark- bzw. Meinungsforschungsinstitute). In diesen Fällen muss unabhängig von der Anzahl der tätigen Mitarbeiter ein Datenschutzbeauftragter bestellt werden.
Gerne stehen wir Ihnen für weitere Fragen zur Verfügung. Sprechen Sie uns auch gerne an, wenn Sie für Ihren Betrieb uns als externen Datenschutzbeauftragten engagieren möchten.