Es ist Aufgabe des Datenschutzbeauftragten, dafür Sorge zu tragen, dass in einem Unternehmen oder einer Behörde der personenbezogene Datenschutz gesetzeskonform umgesetzt wird. Nach der aktuellen Rechtslage sind private Unternehmen verpflichtet einen Datenschutzbeauftragten zu bestellen, wenn

  • mehr als 9 Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  • mehr als 19 Mitarbeiter mit der nicht automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  • das Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder
  • für Zwecke der Markt- und Meinungsforschung automatisiert verarbeitet werden sollen oder
  • wenn Verarbeitungen vorgenommen werden sollen, die der Vorabkontrolle unterliegen, wie z.B. Einsatz von Videokameras oder
  • das Unternehmen hoheitliche Aufgaben wahrnimmt und personenbezogene Daten verarbeitet.
  • Öffentliche Stellen sind generell zur Bestellung eines Datenschutzbeauftragten verpflichtet.

Zusammenfassung:

In Fällen der nicht-automatisierter Verarbeitung: Pflicht zur Bestellung eines DSB ab 20 Personen, die mit der Datenverarbeitung beschäftigt sind. Eine Bestellung ist bei Betreiben mit weniger als 10 Personen entbehrlich, aber, das gilt jedoch nur dann (Rückausnahme!), wenn personenbezogene Daten nicht zum Zweck der geschäftsmäßigen Übermittlung (z.B. Adresshandel), der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Auf die Anzahl der mit der Verarbeitung beschäftigten Personen kommt es auch dann nicht an, wenn die automatisierte Verarbeitung einer Vorabkontrolle (§ 4d Abs. 5 BDSG; künftig „Datenschutz-Folgenabschätzung, Art. 35 DSGVO) unterliegt z.B. medizinische Daten, weil diese besondere Risiken für die Rechte der Betroffenen birgt. In all diesen Ausnahmefällen bleibt eine Bestellpflicht – ohne Rücksicht auf die Anzahl der mit der Verarbeitung betrauten Personen – bestehen.

Was prüft der Datenschutzbeauftragte?

  • Mitarbeiterdatenschutz
    Maßnahmen nach § 9 BDSG
    Zutrittkontrolle
    Zugangskontrolle
    Zugriffskontrolle
    Auftragskontrolle
    Anspruch auf Löschung / Löschfristen
    Auftragsdatenverarbeitung
    Verfügbarkeitskontrolle
    Trennungsgebot
    Internetauftritt / Shopsystem
    Auskunftsanspruch des Betroffenen
    Verfahrensverzeichnisse
    Videoüberwachung
    Auftragsdatenverarbeitung
    Dokumentationspflichten

Es ist Aufgabe des Datenschutzbeauftragten, dafür Sorge zu tragen, dass in einem Unternehmen oder einer Behörde der personenbezogene Datenschutz gesetzeskonform umgesetzt wird. Nach der aktuellen Rechtslage sind private Unternehmen verpflichtet einen Datenschutzbeauftragten zu bestellen, wenn

  • mehr als 9 Mitarbeiter mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  • mehr als 19 Mitarbeiter mit der nicht automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  • das Unternehmen personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder
  • für Zwecke der Markt- und Meinungsforschung automatisiert verarbeitet werden sollen oder
  • wenn Verarbeitungen vorgenommen werden sollen, die der Vorabkontrolle unterliegen, wie z.B. Einsatz von Videokameras oder
  • das Unternehmen hoheitliche Aufgaben wahrnimmt und personenbezogene Daten verarbeitet.
  • Öffentliche Stellen sind generell zur Bestellung eines Datenschutzbeauftragten verpflichtet.

Zusammenfassung:

In Fällen der nicht-automatisierter Verarbeitung: Pflicht zur Bestellung eines DSB ab 20 Personen, die mit der Datenverarbeitung beschäftigt sind. Eine Bestellung ist bei Betreiben mit weniger als 10 Personen entbehrlich, aber, das gilt jedoch nur dann (Rückausnahme!), wenn personenbezogene Daten nicht zum Zweck der geschäftsmäßigen Übermittlung (z.B. Adresshandel), der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Auf die Anzahl der mit der Verarbeitung beschäftigten Personen kommt es auch dann nicht an, wenn die automatisierte Verarbeitung einer Vorabkontrolle (§ 4d Abs. 5 BDSG; künftig „Datenschutz-Folgenabschätzung, Art. 35 DSGVO) unterliegt z.B. medizinische Daten, weil diese besondere Risiken für die Rechte der Betroffenen birgt. In all diesen Ausnahmefällen bleibt eine Bestellpflicht – ohne Rücksicht auf die Anzahl der mit der Verarbeitung betrauten Personen – bestehen.

Was prüft der Datenschutzbeauftragte?

  • Mitarbeiterdatenschutz
    Maßnahmen nach § 9 BDSG
    Zutrittkontrolle
    Zugangskontrolle
    Zugriffskontrolle
    Auftragskontrolle
    Anspruch auf Löschung / Löschfristen
    Auftragsdatenverarbeitung
    Verfügbarkeitskontrolle
    Trennungsgebot
    Internetauftritt / Shopsystem
    Auskunftsanspruch des Betroffenen
    Verfahrensverzeichnisse
    Videoüberwachung
    Auftragsdatenverarbeitung
    Dokumentationspflichten