Wann ist ein Datenschutzbeauftragter (DSB) zu benennen

Ein Datenschutzbeauftragter ist zu benennen, wenn:

  • mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. § 38 BDSG (neu)
  • systematische Beobachtung von Personen die Kerntätigkeit des Unternehmens ist. Art. 37 Abs. 1 b) und c) DSGVO §
  • besondere Kategorien von Daten oder von Daten über Straftaten umfangreich als Kerntätigkeit verarbeitet werden. Art. 37 Abs. 1 b) und c) DSGVO §
  • Videoüberwachung oder ähnliche Verarbeitungen vorgenommen werden, die der Datenschutz-Folgenabschätzung unterliegen. § 38 BDSG (neu)

Beispiele der Unternehmen, in denen i.d.R. ein Datenschutzbeauftragter benannt werden muss:

  • Behörden
  • Banken
  • Versicherungen
  • Krankenhäuser
  • Arztpraxen
  • Unternehmen, die Bewertungsplattformen und Vergleichsportale betreiben
  • Größere Autohäuser und andere Unternehmen mit ähnlichen Strukturen
  • Marketing Agenturen
  • IT-Dienstleister
  • Sicherheitsfirmen (Überwachung)
  • Unternehmen, die mit Videoüberwachung arbeiten
  • Unternehmen, die Schufa-Auskünfte einholen
  • Unternehmen, die ihre Daten an Nicht-EU-Länder übermitteln (Server-Standorte!)

Beispiele der Unternehmen, für die in der Regel KEIN Datenschutzbeauftragter notwendig ist:

(wenn nicht einer der o.g. 4 Punkte zutrifft)

  • Einzelne Ärzte
  • Einzelne Rechtsanwälte
  • Kleine Einzelhandelsunternehmen
  • Hotels
  • Freiberufler