Eigener Datenschutzbeauftragter erst ab 20 Mitarbeitern Pflicht

Im Mai 2018 trat die Datenschutz-Grundverordnung (DSVGO) in Kraft, die den Schutz personenbezogener Daten in Europa einheitlich regelt. Die Anpassungen des Gesetzes, die der Bundesrat kürzlich bewilligte, entlasten vor allem kleinere Unternehmen: Bisher lag die Obergrenze für einen eigenen Datenschutzbauftragten bei neun Mitarbeitern – waren zehn oder mehr Mitarbeiter während ihrer Arbeitszeit ständig damit beschäftigt, personenbezogene Daten mittels eines automatisierten Systems aufzunehmen oder zu nutzen, benötigte das Unternehmen bereits einen eigenen Datenschutzbeauftragten.

Am 26. November trat die Gesetzesänderung in Kraft, mit der die Grenze auf 20 Mitarbeiter/-innen angehoben wird. Jedoch gelten hierbei einige Einschränkungen. Um festzustellen, ob ein eigene(r) Datenschutzbeauftragte(r) eingestellt werden muss, sollten folgende Punkte beachtet werden:

Erstens: Bei öffentlichen Stellen wie Behörden oder Ämtern sowie Unternehmen, die Teil einer öffentlichen Stelle sind, muss ein(e) Datenschutzbeauftragte(r) beschäftigt werden.

Zweitens: Ausschlaggebend ist, für wie viele Mitarbeiter/-innen die Datenverarbeitung der Kern ihrer Tätigkeit ist. Wenn sich 20 oder mehr Mitarbeiter/-innen größtenteils damit befassen, benötigt das Unternehmen eine(n) eigene(n) Datenschutzbauftragte(n).

Drittens: Auch der Umfang der personenbezogenen Daten kann dafür sorgen, dass es eine(n) Datenschutzbeautragte(n) bedarf. Werden neben Namen, Adresse und Kontaktdaten beispielsweise auch die Herkunft, gesundheitliche Daten, religiöse oder politische Ausrichtung erfasst, kann ein(e) Datenschutzbeautragte(r) verpflichtend sein.