Gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten

In der Bundesrepublik Deutschland regeln derzeit §§ 4f, 4g BDSG die Bestellung und Aufgaben des Datenschutzbeauftragten. Besteht die gesetzliche Bestellpflicht, stellt sich Unternehmen oftmals die Frage, ob die Position durch einen internen Mitarbeiter oder einen externen Dienstleister besetzt werden soll. Letztere sind aus der Sicht des unbefangenen Dritten oftmals als unabhängiger anzusehen.

Wie steht es im Mittelstand?

Meist sind Mitarbeiter mit den notwendigen Kenntnissen des Datenschutzrechts nur im Großkonzern vorhanden. Konzerne beschäftigen oft Inhouse-Juristen, die die notwendigen Voraussetzungen erfüllen. Mittelständische Betriebe haben in der Regel jedoch keine eigene Rechtsabteilung. In kleineren Unternehmen kann sich daher die Bestellung eines externen Datenschutzbeauftragten rechnen.

Wer kann Bestellpflichtig sein?

Zur Bestellung eines Datenschutzbeauftragten kann sowohl die juristische Person (Aktiengesellschaft, GmbH etc.), eine Gesellschaft bürgerlichen Rechts (GbR), eine Vereinigung (Gewerkschaft, Partei etc.) oder auch eine natürliche Person (Architekt, Arzt etc.) verpflichtet sein.

Wann muss bestellt werden?

Voraussetzung für die Bestellpflicht ist, dass im Rahmen der Tätigkeit einer Organisation eine Verarbeitung personenbezogener Daten stattfindet. Es stellt sich daher zunächst die Frage, ob personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hängt die gesetzliche Obliegenheit zur Bestellung eines Datenschutzbeauftragten davon ab, wie viele Personen an der ständigen Verarbeitung dieser Daten beteiligt sind (§ 4f BDSG).

Die Neun-Personen Regel

Das gesetzliche Erfordernis zur Bestellung eines Datenschutzbeauftragten ergibt sich aus § 4f BDSG. Nach dieser Vorschrift haben nicht-öffentliche Stellen, die mehr als neun Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen, einen Datenschutzbeauftragten zu bestellen.

Die neun Personen müssen nicht zwingend Angestellte der Organisation sein. Mitarbeiter von externen Dienstleistern (z.B. Spediteure, Zoll-Büros, Versanddienstleister), Freiberufler und deren Angestellte (z.B. Unternehmensberater) und die Mitarbeiter von Drittunternehmen (z.B. Callcenter, Kreditversicherungen, Forderungsmanagement-Gesellschaften, Factoring-Gesellschaften, Gehaltsabrechnungsstellen) können von der Neun-Personen-Regel erfasst sein.

Insofern können selbst Organisationen, die keine Angestellten beschäftigen, unter die gesetzliche Bestellpflicht fallen.

Der gesetzliche Zeitrahmen

Gemäß § 4f Abs. 1 Satz 1 BDSG muss der Datenschutzbeauftragte schriftlich bestellt werden. Er ist innerhalb von einem Monat nach der Aufnahme der jeweiligen datenschutzrelevanten Tätigkeit zu bestellen, § 4f Abs. 1 Satz 2 BDSG.

1. Werden personenbezogene Daten verarbeitet?

Können Sie hier mit Ja antworten, überprüfen Sie Schritt 2.

2. Wie viele Personen sind daran beteiligt?

Bei mehr als 9 Personen gilt es Schritt 3 zu prüfen.

3. Handelt es sich um eine automatisierte Verarbeitung?

Wenn ja, besteht eine Bestellungspflicht.

Können wir Ihnen Fragen beantworten?