Wann brauche ich eigentlich eine/n Datenschutzbeauftragte/n?
Irgendwann kommt diese Frage wohl in jeder Firma auf.
Egal ob Kleinstunternehmen, Mittelständler oder Großkonzern, um das Thema Datenschutz kommt heute niemand mehr drumherum.
Aber besonders die kleineren Firmen fragen sich häufig: Was muss ich überhaupt tun?
Ein/e Datenschutzbeauftragte/r muss von jeder privaten Stelle benannt werden, die mindestens 20 Mitarbeiter hat, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (hierzu gehören auch Mitarbeiterdaten!).
Jedoch müssen auch kleinere Unternehmen eine/n Datenschutzbeauftragte/n benennen, wenn zum Beispiel
- deren Kerntätigkeit ist, besondere Kategorien von personenbezogenen Daten zu verarbeiten, dazu gehören z. B. Gesundheitsdaten, biometrische Daten, rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit, oder auch die sexuelle Orientierung.
- deren Hauptzweck die regelmäßige und systematische Überwachung von Betroffenen ist, so wie es zum Beispiel häufig bei einer Sicherheitsfirma der Fall sein kann.
- in der Firma die Verarbeitung personenbezogener Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung erfolgt. Dies würde ebenso für kleine Umfrageportale gelten, wie auch für Wirtschaftsauskunfteien, Adresshändler und Markt- und Meinungsforschungsinstitute.
- ein Prozess im Unternehmen erfolgt, der eine Datenschutzfolgeabschätzung notwendig macht. Hier gibt eine Liste bei jeder/m Landesbeauftragte/n von möglichen Verarbeitungen, die diese erfordern, oft von Bundesland zu Bundesland verschieden.
Was ist also zu tun, wenn man feststellt, dass man eine/n Datenschutzbeauftragte/n braucht?
Das ist wie alles eine Kostenfrage und die Entscheidung, was macht für mich als Unternehmer/in Sinn.
Für kleinere Unternehmen lohnt es sich meistens nicht, eine/n Datenschutzbeauftragte/n aus den eigenen Reihen der Mitarbeiter zu stellen. Dafür sind schlichtweg nicht die Ressourcen da.
Die Ausbildung allein kostet schon zwischen 3.000 und 5.000 Euro, die vorgeschriebenen Fortbildungen erhöhen den Aufwand nochmal um ca. 1.500 Euro pro Jahr. Dazu kommt die Arbeitszeit, die in anderen Bereichen wegfällt. Denn natürlich muss der/die Datenschutzbeauftragte auch den auferlegten Pflichten nachkommen, je nach Betrieb können das zwischen 30 und 60 % sein.
Je kleiner also die Firma, desto eher macht es Sinn eine/n externe/n Datenschutzbeauftragte/n zu benennen. Ausbildungs- und Weiterbildungskosten fallen weg und neben einem geringen monatlichen Obolus kostet es das Unternehmen nur, was an Stunden auch tatsächlich anfällt.
Sie sind sich nicht sicher, ob Sie aktiv werden müssen? Wir beraten Sie gerne »
Ich brauche keine/n Datenschutzbeauftragte/n, dann muss ich ja nichts machen!
Das ist so leider nicht richtig.
Jede natürliche oder juristischen Person im nicht-öffentlichen Bereich unterliegt der DS-GVO, dazu zählen insbesondere
- natürliche Personen als Selbständige oder freie Unternehmer/innen bzw. Handwerker/innen und Kaufleute (z. B. Ärzte, Apotheker, Rechtsanwälte, Steuerberater, Handels-, Handwerks- und Industriebetriebe usw.)
- juristische Personen (z. B. als GmbH organisierte Auskunfteien, Markt- und Meinungsforschungsinstitute, Telefondienste, Adressverlage, Detekteien, Handels-, Handwerks- und Industriebetriebe, als Kommanditgesellschaft auf Aktien konstituierte Banken, als Aktiengesellschaften tätige Kliniken, eingetragene Vereine, rechtsfähige Stiftungen des bürgerlichen Rechts)
- Personengesellschaften (z. B. ein als Gesellschaft des bürgerlichen Rechts organisiertes Baukonsortium, ein als GmbH & Co. KG agierendes Versandunternehmen oder Servicerechenzentrum, eine Anwaltssozietät als Partnerschaftsgesellschaft oder ein als OHG auftretender Filmverleih)
- Nicht rechtsfähige Vereinigungen (z. B. Parteien, Vereine, Gewerkschaften und Berufsverbände).
Selbst wenn also kein/e Datenschutzbeauftragte/r benannt werden muss, muss die Firma ihrer Dokumentationspflicht nachkommen, sobald irgendwo personenbezogene Daten verarbeitet werden, sei es auf einer Webseite, Personal- oder Kundendaten (Name, Anschrift, Telefon oder auch E-Mail-Adresse und IP-Adresse sind selbstverständlich personenbezogene Daten).
Prozesse, in denen personenbezogene Daten verarbeitet werden, müssen identifiziert und protokolliert werden, Sicherheitsmaßnahmen müssen getroffen werden.
Bewerber/innen und auch Mitarbeiter/innen brauchen eine Datenschutzerklärung, Ihre Webseite benötigt entsprechende Datenschutzhinweise und in jedem Fall müssen Sie den Umgang mit Betroffenenrechten dokumentieren.
Sie brauchen Hilfe bei Ihrer Datenschutzorganisation? Wir helfen »
Was passiert, wenn ich keine/n Datenschutzbeauftragte/n benenne, obwohl ich das müsste?
Der Art. 37 DS-GVO sieht die Verpflichtung vor, eine/n Datenschutzbeauftragte/n zu benennen, sofern bestimmte Voraussetzungen vorliegen.
Gemäß Art. 84 Abs.4 DS-GVO kann gegen einen Verantwortlichen ein Bußgeld in Höhe von bis zu 10 Mio. € bzw. von bis zu 2 % des Vorjahresumsatzes geltend gemacht werden, sollte kein/e Datenschutzbeauftragte/r benannt worden sein.
Doch auch Kleinstunternehmen werden hier nicht vor einer Geldbuße verschont, so sind auch hier bereits Geldbußen zwischen 10.000 und 50.000 Euro verhängt worden.
Das Thema Datenschutz sollte also sehr ernst genommen werden.
Unsere umfangreiche Branchenerfahrung
- Gesundheitsbereich: Arztpraxen, Physiotherapiepraxen, Labore und Techniker/innen
- Softwareentwicklung, IT, Hi-Tech
- Produktion, Logistik
- Steuerberater, Versicherungen, Ingenieurbüros
- Handel, Einzelhandel, E-Commerce
- Immobilien, Gastronomie, Fitness
- Handwerker aus allen Bereichen