Ein Unternehmen muss einen externen Datenschutzbeauftragten bestellen, wenn es die gesetzlichen Vorgaben der DSGVO und des BDSG erfüllt. Diese Verpflichtung ergibt sich aus Artikel 37 DSGVO und § 38 BDSG. Konkret bedeutet dies, dass bestimmte Arten von Datenverarbeitungen oder Unternehmensgrößen die Bestellung eines Datenschutzbeauftragten erforderlich machen. Zu den wichtigsten Kriterien gehören:
Umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten
Wenn ein Unternehmen besondere Kategorien personenbezogener Daten in großem Umfang verarbeitet, ist die Bestellung eines Datenschutzbeauftragten notwendig. Besondere Kategorien personenbezogener Daten sind unter anderem:
- Daten zur rassischen und ethnischen Herkunft
- Politische Meinungen
- Religiöse oder weltanschauliche Überzeugungen
- Gewerkschaftszugehörigkeit
- Genetische und biometrische Daten
- Gesundheitsdaten
- Daten zum Sexualleben oder zur sexuellen Orientierung
Diese Daten sind besonders sensibel und erfordern daher einen höheren Schutzstandard gemäß Artikel 9 DSGVO.
Regelmäßige und systematische Überwachung
Unternehmen, deren Kerntätigkeit in der regelmäßigen und systematischen Überwachung betroffener Personen liegt, müssen ebenfalls einen Datenschutzbeauftragten benennen. Dies betrifft beispielsweise Unternehmen, die durch umfangreiche Überwachungstätigkeiten, wie Videoüberwachung oder umfassende Verhaltensanalysen, personenbezogene Daten in großem Umfang verarbeiten (Artikel 37 Absatz 1 Buchstabe b DSGVO).
Öffentliche Stellen und Behörden
Öffentliche Stellen und Behörden sind grundsätzlich verpflichtet, einen Datenschutzbeauftragten zu benennen, unabhängig von der Art der verarbeiteten Daten oder der Anzahl der Mitarbeiter. Dies ergibt sich aus Artikel 37 Absatz 1 Buchstabe a DSGVO und § 38 BDSG.
Unternehmen mit mindestens 20 Mitarbeitern
In Deutschland besteht zusätzlich die Regelung, dass Unternehmen, die mindestens 20 Personen beschäftigen, die regelmäßig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind, einen Datenschutzbeauftragten bestellen müssen (§ 38 BDSG). Diese Schwelle kann in manchen Bundesländern variieren, weshalb es wichtig ist, die spezifischen Landesregelungen zu beachten.
Haftung und Sanktionen
Die Bestellung eines Datenschutzbeauftragten ist nicht nur eine gesetzliche Verpflichtung, sondern auch eine Maßnahme zur Risikominimierung. Unternehmen, die gegen die Pflicht zur Bestellung eines Datenschutzbeauftragten verstoßen, riskieren erhebliche Bußgelder. Gemäß Artikel 83 DSGVO können bei Verstößen gegen die Datenschutzvorschriften Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist.
Zusammengefasst müssen Unternehmen einen externen Datenschutzbeauftragten bestellen, wenn sie umfangreiche und risikobehaftete Datenverarbeitungen durchführen, öffentliche Stellen oder Behörden sind, oder eine bestimmte Anzahl an Mitarbeitern beschäftigen, die regelmäßig mit personenbezogenen Daten arbeiten. Die Einhaltung dieser Anforderungen ist entscheidend, um datenschutzrechtliche Risiken zu minimieren und das Vertrauen der betroffenen Personen zu stärken.
