Datenschutz | DSB

Benennung einer/s Datenschutzbeauftragten (DSB)

Art. 37 DSGVO i. V. m. § 38 BDSG regelt eindeutig, ab wann eine Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) vorliegt.

Die Benennung eines DSB für alle nichtöffentlichen Stellen, also Unternehmen und auch Unternehmer/Selbstständige, ist zwingend vorgeschrieben, wenn

- mindestens zwanzig Personen* ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind oder unabhängig von der Personenzahl

- eine Verarbeitung von personenbezogenen Daten stattfindet, die einer Datenschutz-Folgenabschätzung unterliegen oder
- personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO besteht.

* Hierbei ist der Status der Mitarbeiter (Vollbeschäftigte, Azubi, Praktikant, etc.) unerheblich, ebenso die Art der personenbezogenen Daten, intern (Personal-/Mitarbeiter-Daten) oder extern (Kunden, Interessenten, Geschäftspartner, Dritte).

Beachten Sie, dass regelmäßig alle Eigentümer, Geschäftsführer, Prokuristen, IT/EDV-Leiter ausgeschlossen sind.
Die erforderliche berufliche Qualifikation, insbesondere das geforderte Fachwissen im Bezug auf Datenschutzrecht und Datenschutzpraxis schließt bei kleinen und mittleren Unternehmen meist sämtliche Mitarbeiter aus.
Eine ungeeignete Person, die zum DSB benannt wird, gilt in der Regel als nicht benannt.