externer datenschutzbeauftragter ab wann pflicht

Externer Datenschutzbeauftragter: Ab wann Pflicht?

/ Allgemein, Datenschutz

Wann wird ein externer Datenschutzbeauftragter zur Pflicht?

Die Frage nach der Bestellpflicht eines Datenschutzbeauftragten beschäftigt viele Unternehmen. Die rechtlichen Anforderungen sind komplex und werden häufig missverstanden. Dabei können die Konsequenzen einer fehlenden Bestellung erheblich sein.

Viele Geschäftsführer und Inhaber sind sich der rechtlichen Verpflichtungen nicht bewusst oder unterschätzen die Anforderungen an einen Datenschutzbeauftragten. Besonders beim Unternehmenswachstum wird die Schwelle zur Bestellpflicht oft übersehen.

Die Entscheidung zwischen einem internen und einem externen Datenschutzbeauftragten hängt von verschiedenen Faktoren ab. Beide Varianten erfüllen die gesetzlichen Anforderungen, unterscheiden sich jedoch in praktischer Hinsicht erheblich.

Kontakt aufnehmen
Inhaltsübersicht
  1. Wann wird ein externer Datenschutzbeauftragter zur Pflicht?
  2. Das Wichtigste im Überblick
  3. Rechtliche Grundlagen der Bestellpflicht nach DSGVO und BDSG
  4. Die 20-Personen-Grenze: Was zählt und was nicht?
  5. Praktische Tipps für Unternehmen: So gehen Sie die Bestellpflicht richtig an
  6. Checkliste: Bin ich zur Bestellung verpflichtet?
  7. Konsequenzen bei Nichtbestellung: Risiken und Haftung
  8. Handeln Sie proaktiv
  9. Häufig gestellte Fragen 

Das Wichtigste im Überblick

  • Die Bestellung eines Datenschutzbeauftragten ist ab 20 Mitarbeitern verpflichtend, wenn diese ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind – dies gilt unabhängig von der Unternehmensgröße oder Branche.
  • Auch kleinere Unternehmen können bestellpflichtig sein, wenn sie Kerntätigkeiten ausüben, die eine umfangreiche regelmäßige und systematische Überwachung von Personen erfordern oder besondere Kategorien personenbezogener Daten verarbeiten.
  • Die Nichtbestellung eines verpflichtenden Datenschutzbeauftragten kann Bußgelder nach sich ziehen – die frühzeitige Prüfung der Bestellpflicht ist daher existentiell wichtig.

Rechtliche Grundlagen der Bestellpflicht nach DSGVO und BDSG

Die Bestellpflicht eines Datenschutzbeauftragten ergibt sich aus zwei Rechtsquellen: der europäischen Datenschutz-Grundverordnung und dem deutschen Bundesdatenschutzgesetz. Beide Regelwerke müssen parallel beachtet werden.

Regelung nach der DSGVO (Art. 37 DSGVO)

Die Datenschutz-Grundverordnung verpflichtet zur Benennung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. 

Erweiterte Regelung nach dem BDSG (§ 38 BDSG)

Der deutsche Gesetzgeber hat in § 38 BDSG eine deutlich weitergehende Bestellpflicht normiert. Danach müssen nicht-öffentliche Stellen einen Datenschutzbeauftragten benennen, sofern in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Besondere Fälle der Bestellpflicht

Unabhängig von der Mitarbeiterzahl besteht eine Bestellpflicht, wenn die Verarbeitung eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erfordert. Dies ist bei Verarbeitungen der Fall, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

Ebenso besteht eine zahlenmäßig unabhängige Bestellpflicht für Unternehmen, die geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Die 20-Personen-Grenze: Was zählt und was nicht?

Die Berechnung, ob die Schwelle von 20 Personen erreicht ist, bereitet in der Praxis erhebliche Schwierigkeiten. 

Wer zählt zu den 20 Personen?

Zu den 20 Personen zählen alle natürlichen Personen, die für das Unternehmen tätig sind und ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dies umfasst nicht nur fest angestellte Vollzeitmitarbeiter, sondern auch Teilzeitkräfte, geringfügig Beschäftigte, Auszubildende, Praktikanten, Werkstudenten und sogar externe Dienstleister, sofern diese weisungsgebunden für das Unternehmen tätig werden.

Das Merkmal „ständig“

Der Begriff „ständig“ erfordert keine durchgängige Beschäftigung mit Datenverarbeitung über den gesamten Arbeitstag. Es genügt, wenn die automatisierte Verarbeitung personenbezogener Daten einen wesentlichen Bestandteil der Tätigkeit darstellt. Nach Auffassung der Aufsichtsbehörden ist dies bereits dann der Fall, wenn die Datenverarbeitung mehr als gelegentlich erfolgt und zur regulären Aufgabenerfüllung gehört.

Automatisierte Verarbeitung als Voraussetzung

Die Bestellpflicht nach § 38 BDSG knüpft an die automatisierte Verarbeitung an. Dies bedeutet, dass die Datenverarbeitung unter Einsatz elektronischer Hilfsmittel erfolgen muss. Die rein manuelle Verarbeitung von Papierdokumenten fällt nicht darunter.

Praktische Tipps für Unternehmen: So gehen Sie die Bestellpflicht richtig an

Die Prüfung und Umsetzung der Bestellpflicht sollte strukturiert erfolgen. Aus meiner langjährigen Erfahrung habe ich einen praktikablen Ansatz entwickelt, der Unternehmen hilft, ihre Verpflichtungen zu erkennen und umzusetzen.

Schritt 1: Erfassen Sie alle relevanten Personen

Erstellen Sie eine Liste aller Personen, die in Ihrem Unternehmen tätig sind. Berücksichtigen Sie dabei nicht nur fest angestellte Mitarbeiter, sondern auch Teilzeitkräfte, Minijobber, Auszubildende, Praktikanten, Leiharbeitnehmer und funktional eingegliederte freie Mitarbeiter. Dokumentieren Sie deren Tätigkeiten in Bezug auf die Verarbeitung personenbezogener Daten.

Schritt 2: Analysieren Sie die Datenverarbeitungstätigkeiten

Untersuchen Sie für jede Person, ob sie ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt ist. Berücksichtigen Sie dabei alle digitalen Systeme: CRM-Systeme, E-Mail-Programme, Personalverwaltungssoftware, Zeiterfassungssysteme, Warenwirtschaftssysteme, Cloud-Speicher mit Personenbezug und alle weiteren IT-Anwendungen, die personenbezogene Daten verarbeiten.

Schritt 3: Prüfen Sie Sonderfälle der Bestellpflicht

Unabhängig von der Personenzahl müssen Sie prüfen, ob Ihr Unternehmen Verarbeitungen durchführt, die eine Datenschutz-Folgenabschätzung erfordern, oder ob Sie geschäftsmäßig besonders sensible Daten verarbeiten. Falls Sie etwa Gesundheitsdaten, Bonitätsinformationen oder Bewegungsprofile umfangreich verarbeiten, kann unabhängig von der Mitarbeiterzahl eine Bestellpflicht bestehen.

Schritt 4: Entscheiden Sie zwischen internem und externem Datenschutzbeauftragten

Wenn Sie die Bestellpflicht bejahen, müssen Sie entscheiden, ob Sie einen internen Mitarbeiter benennen oder einen externen Datenschutzbeauftragten bestellen. Ein interner Datenschutzbeauftragter muss über die erforderliche Fachkunde verfügen, genügend zeitliche Ressourcen haben und darf keinen Interessenkonflikt aufweisen. 

Ein externer Datenschutzbeauftragter bringt umfassende Fachkunde mit, ist sofort verfügbar und unterliegt keinem Kündigungsschutz. Dies bietet Flexibilität und vermeidet Interessenkonflikte. Die Kosten für einen externen Datenschutzbeauftragten sind kalkulierbar und oft günstiger als die Freistellung und Fortbildung eines internen Mitarbeiters.

Schritt 5: Dokumentieren Sie die Bestellung ordnungsgemäß

Die Bestellung des Datenschutzbeauftragten muss schriftlich erfolgen und der zuständigen Aufsichtsbehörde gemeldet werden. Die Meldung erfolgt in den meisten Bundesländern online über die Webseite der zuständigen Datenschutzbehörde. Informieren Sie auch alle Mitarbeiter über die Bestellung und veröffentlichen Sie die Kontaktdaten des Datenschutzbeauftragten in Ihrer Datenschutzerklärung.

Checkliste: Bin ich zur Bestellung verpflichtet?

Um Ihnen die Prüfung zu erleichtern, habe ich eine praktische Checkliste entwickelt, die Sie Schritt für Schritt durch die relevanten Fragen führt:

Personenzahl und Tätigkeiten 

  • Wir beschäftigen mindestens 20 Personen (inkl. Teilzeit, Minijob, Leiharbeit, funktional eingegliederte Freie) 
  • Mindestens 20 dieser Personen sind ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt 
  • Die Datenverarbeitung gehört zum wesentlichen Aufgabenbereich dieser Personen

Sonderfälle unabhängig von der Personenzahl 

  • Wir verarbeiten geschäftsmäßig personenbezogene Daten zur Übermittlung oder für Markt- oder Meinungsforschung 
  • Unsere Kerntätigkeit erfordert umfangreiche regelmäßige systematische Überwachung von Personen 
  • Unsere Kerntätigkeit besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Gesundheitsdaten, ethnische Herkunft, religiöse Überzeugungen etc.) 
  • Wir führen Verarbeitungen durch, die eine Datenschutz-Folgenabschätzung erfordern

Organisatorische Faktoren 

  • Wir nutzen CRM-Systeme, Warenwirtschaftssysteme oder umfangreiche Kundendatenbanken 
  • Wir betreiben Online-Marketing mit Tracking und Profilbildung 
  • Wir verarbeiten Beschäftigtendaten in Personalmanagementsystemen 
  • Wir setzen Videoüberwachung oder andere Überwachungstechnologien ein 
  • Wir beauftragen Dritte mit der Verarbeitung personenbezogener Daten

Wenn Sie sich unsicher sind, ob die Bestellpflicht für Ihr Unternehmen besteht, empfehle ich eine professionelle rechtliche Prüfung. Die Konsequenzen einer fehlenden Bestellung können erheblich sein, während eine vorsorglich erfolgte Bestellung keine nachteiligen Folgen hat.

Konsequenzen bei Nichtbestellung: Risiken und Haftung

Die Nichtbestellung eines verpflichtend zu bestellenden Datenschutzbeauftragten stellt eine Ordnungswidrigkeit dar, die mit empfindlichen Sanktionen bewehrt ist. Die rechtlichen und wirtschaftlichen Folgen sollten nicht unterschätzt werden.

Bußgeldrahmen und Sanktionen

Nach Art. 83 DSGVO kann die Nichtbestellung eines Datenschutzbeauftragten mit einem Bußgeld geahndet werden. 

Zivilrechtliche Haftungsrisiken

Neben den Bußgeldern drohen zivilrechtliche Konsequenzen. Betroffene Personen können nach Art. 82 DSGVO Schadensersatz verlangen, wenn ihnen durch einen Datenschutzverstoß ein materieller oder immaterieller Schaden entstanden ist. Die fehlende Bestellung eines Datenschutzbeauftragten kann als Organisationsverschulden gewertet werden, das die Haftung begründet oder verschärft.

Geschäftsführerhaftung und strafrechtliche Aspekte

Geschäftsführer und Vorstände tragen die Verantwortung für die Einhaltung der datenschutzrechtlichen Pflichten. Die vorsätzliche oder fahrlässige Nichtbestellung eines Datenschutzbeauftragten kann zu einer persönlichen Haftung der Organe gegenüber dem Unternehmen führen, wenn dem Unternehmen dadurch Bußgelder oder andere Schäden entstehen.

Reputationsschäden und Geschäftsrisiken

Neben den rechtlichen Konsequenzen sollten die wirtschaftlichen Folgen nicht unterschätzt werden. Datenschutzverstöße und fehlende Compliance-Strukturen werden zunehmend öffentlich bekannt und können zu erheblichen Reputationsschäden führen. Kunden und Geschäftspartner verlieren das Vertrauen in Unternehmen, die grundlegende Datenschutzanforderungen nicht erfüllen.

Handeln Sie proaktiv

Die Bestellpflicht eines Datenschutzbeauftragten ist eine zentrale Anforderung des deutschen Datenschutzrechts. Die 20-Personen-Schwelle wird schneller erreicht, als viele Unternehmer vermuten. Auch kleinere Unternehmen können unter die Bestellpflicht fallen, wenn sie besonders sensible Daten verarbeiten oder ihre Kerntätigkeit auf umfangreicher Datenverarbeitung beruht.

Die Konsequenzen einer fehlenden Bestellung können erheblich sein. Bußgelder, Haftungsrisiken und Reputationsschäden sind reale Gefahren, die durch eine rechtzeitige Bestellung vermieden werden. Die Entscheidung zwischen einem internen und einem externen Datenschutzbeauftragten hängt von den individuellen Gegebenheiten ab. Beide Varianten erfüllen die gesetzlichen Anforderungen, unterscheiden sich aber in praktischer Hinsicht.

Ein externer Datenschutzbeauftragter bietet den Vorteil sofortiger Verfügbarkeit mit umfassender Fachkunde, vermeidet Interessenkonflikte und bindet keine internen Ressourcen. Die Kosten sind transparent und planbar. Für die meisten kleinen und mittelständischen Unternehmen stellt die externe Lösung die effizienteste Option dar.

Wenn Sie sich unsicher sind, ob Sie zur Bestellung verpflichtet sind, sollten Sie nicht zögern und professionelle Beratung einholen. Die Prüfung der Bestellpflicht ist komplex und erfordert eine genaue Analyse Ihrer betrieblichen Strukturen und Datenverarbeitungsprozesse.

Häufig gestellte Fragen 

Ab wie vielen Mitarbeitern muss ein Datenschutzbeauftragter bestellt werden?

In Deutschland muss ein Datenschutzbeauftragter bestellt werden, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dabei werden nicht nur fest angestellte Vollzeitmitarbeiter gezählt, sondern auch Teilzeitkräfte, Minijobber, Auszubildende, Praktikanten und funktional eingegliederte freie Mitarbeiter.

Was bedeutet „ständig mit der automatisierten Verarbeitung beschäftigt“?

Der Begriff „ständig“ bedeutet nicht, dass Mitarbeiter ausschließlich Daten verarbeiten müssen. Es reicht aus, wenn die automatisierte Verarbeitung personenbezogener Daten einen wesentlichen Bestandteil der Tätigkeit darstellt und regelmäßig erfolgt. Mitarbeiter, die täglich E-Mails mit Kundendaten bearbeiten, CRM-Systeme nutzen oder Personaldaten pflegen, sind ständig mit Datenverarbeitung beschäftigt.

Können auch Unternehmen mit weniger als 20 Mitarbeitern bestellpflichtig sein?

Ja, die Bestellpflicht kann auch unabhängig von der Personenzahl bestehen. Dies ist der Fall, wenn das Unternehmen geschäftsmäßig personenbezogene Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet. Auch wenn die Kerntätigkeit eine umfangreiche regelmäßige und systematische Überwachung von Personen erfordert oder besondere Kategorien von Daten umfangreich verarbeitet werden, kann unabhängig von der Mitarbeiterzahl eine Bestellpflicht bestehen.

Was ist der Unterschied zwischen einem internen und einem externen Datenschutzbeauftragten?

Ein interner Datenschutzbeauftragter ist ein Mitarbeiter des Unternehmens, der zusätzlich zu seinen übrigen Aufgaben die Funktion des Datenschutzbeauftragten übernimmt. Er genießt besonderen Kündigungsschutz und darf wegen seiner Tätigkeit als Datenschutzbeauftragter nicht benachteiligt werden. Ein externer Datenschutzbeauftragter ist ein unabhängiger Dienstleister, der auf Grundlage eines Dienstleistungsvertrags tätig wird. Beide Varianten erfüllen die gesetzlichen Anforderungen. Der externe Datenschutzbeauftragte bietet den Vorteil sofortiger Verfügbarkeit, umfassender Fachkunde und vermeidet Interessenkonflikte.

Muss die Bestellung des Datenschutzbeauftragten der Aufsichtsbehörde gemeldet werden?

Ja, die Kontaktdaten des Datenschutzbeauftragten müssen der zuständigen Aufsichtsbehörde mitgeteilt werden. Zusätzlich müssen die Kontaktdaten in der Datenschutzerklärung des Unternehmens veröffentlicht werden, damit betroffene Personen den Datenschutzbeauftragten kontaktieren können. Die Meldung sollte unverzüglich nach der Bestellung erfolgen.

Kann der Geschäftsführer selbst Datenschutzbeauftragter sein?

Nein. Der Datenschutzbeauftragte darf keinen Interessenkonflikt aufweisen. Da der Geschäftsführer über die Zwecke und Mittel der Datenverarbeitung entscheidet und der Datenschutzbeauftragte diese Entscheidungen kontrollieren soll, besteht ein struktureller Interessenkonflikt. Auch IT-Leiter, Leiter der Personalabteilung oder Marketing-Leiter können wegen Interessenkonflikten regelmäßig nicht als interne Datenschutzbeauftragte bestellt werden. Für diese Positionen bietet sich die Bestellung eines externen Datenschutzbeauftragten an.

Was passiert, wenn ich keinen Datenschutzbeauftragten bestelle, obwohl ich dazu verpflichtet bin?

Die Nichtbestellung eines verpflichtend zu bestellenden Datenschutzbeauftragten stellt eine Ordnungswidrigkeit dar, die mit einem Bußgeld geahndet werden kann. Zusätzlich können zivilrechtliche Haftungsrisiken, Reputationsschäden und der Verlust von Geschäftsmöglichkeiten drohen. Geschäftsführer können persönlich für entstandene Schäden haften.

Wie prüfe ich, ob mein Unternehmen einen Datenschutzbeauftragten benötigt?

Erstellen Sie zunächst eine Liste aller Personen, die für Ihr Unternehmen tätig sind und ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt sind. Berücksichtigen Sie dabei auch Teilzeitkräfte, Minijobber, Auszubildende und funktional eingegliederte freie Mitarbeiter. Prüfen Sie anschließend, ob Sie geschäftsmäßig besonders sensible Daten verarbeiten oder ob Ihre Kerntätigkeit auf umfangreicher Datenverarbeitung beruht. Bei Unsicherheit empfehle ich eine professionelle rechtliche Prüfung. In einem Erstgespräch kann ich Ihre individuelle Situation analysieren und Ihnen Klarheit verschaffen.

Kontakt aufnehmen
Nach oben scrollen