{"id":38455,"date":"2018-03-26T17:20:01","date_gmt":"2018-03-26T16:20:01","guid":{"rendered":"https:\/\/www.lhr-law.de?p=38455"},"modified":"2018-12-10T18:35:35","modified_gmt":"2018-12-10T17:35:35","slug":"wann-benoetigen-unternehmen-einen-datenschutzbeauftragten","status":"publish","type":"post","link":"https:\/\/www.lhr-law.de\/en\/magazin\/datenschutzrecht\/wann-benoetigen-unternehmen-einen-datenschutzbeauftragten\/","title":{"rendered":"DSGVO: Wann ben\u00f6tigen Unternehmen einen Datenschutzbeauftragten?\u00a0"},"content":{"rendered":"<figure id=\"attachment_38456\" aria-describedby=\"caption-attachment-38456\" style=\"width: 448px\" class=\"wp-caption alignleft\"><img decoding=\"async\" class=\"wp-image-38456 size-full\" src=\"https:\/\/www.lhr-law.de\/wp-content\/uploads\/2018\/03\/DSGVO-Datenschutzbeauftragter.jpg\" alt=\"DSGVO Datenschutzbeauftragter\" width=\"448\" height=\"268\" srcset=\"https:\/\/www.lhr-law.de\/wp-content\/uploads\/2018\/03\/DSGVO-Datenschutzbeauftragter.jpg 448w, https:\/\/www.lhr-law.de\/wp-content\/uploads\/2018\/03\/DSGVO-Datenschutzbeauftragter-90x54.jpg 90w\" sizes=\"(max-width: 448px) 100vw, 448px\" \/><figcaption id=\"caption-attachment-38456\" class=\"wp-caption-text\">\u00a9 Jan Engel &#8211; fotolia.com<\/figcaption><\/figure>\n<p><em>Viele Unternehmen haben aktuell das Thema <a href=\"https:\/\/www.lhr-law.de\/rechtsgebiete\/datenschutzrecht\/eu-datenschutz-grundverordnung\">Datenschutzgrundverordnung (DSGVO)<\/a> auf der Agenda und sehen sich daher auch mit dem Thema konfrontiert, ob sie einen Datenschutzbeauftragten brauchen oder nicht und wenn ja wie sich die Pflicht zur Bestellung eines Datenschutzbeauftragten umsetzen l\u00e4sst?<\/em><\/p>\n<p>Zwar bestand auch nach bisheriger Rechtslage die Pflicht zur Bestellung eines Datenschutzbeauftragten (<a href=\"https:\/\/dejure.org\/gesetze\/BDSG\/4f.html\">\u00a7 4f BDSG<\/a> in der Fassung bis 25.05.2018), jedoch haben viele Unternehmen das Thema eher stiefm\u00fctterlich behandelt und \u201epro forma\u201c einen Angestellten als Datenschutzbeauftragten deklariert. Dies war der Auffassung geschuldet, dass die Aufsichtsbeh\u00f6rden \u201ezahnlose Tiger\u201c seien und Verst\u00f6\u00dfe kaum geahndet w\u00fcrden.<\/p>\n<p>Die ab dem 25.05.2018 geltende DSGVO d\u00fcrften angesichts der nun drohenden drastischen Geldbu\u00dfen (At. 83 DSGVO) zu einem Umdenken f\u00fchren.<\/p>\n<h2><b>Regelungen der DSGVO zum Datenschutzbeauftragten<\/b><\/h2>\n<p>Wann sehen die k\u00fcnftig geltenden Regelungen zum Datenschutzbeauftragten also eine Pflicht f\u00fcr Unternehmen zur Bestellung eines Datenschutzbeauftragten vor?<\/p>\n<p>Laut <a href=\"https:\/\/dejure.org\/gesetze\/DSGVO\/37.html\" title=\"Art. 37 DSGVO: Benennung eines Datenschutzbeauftragten\">Art. 37 Abs. 1 DSGVO<\/a> ist ein Datenschutzbeauftragter zu benennen, wenn<\/p>\n<ul>\n<li>die Kernt\u00e4tigkeit in der Durchf\u00fchrung von Verarbeitungsvorg\u00e4ngen besteht, welche aufgrund ihrer Art, ihres Umfangs und\/oder ihrer Zwecke eine umfangreiche regelm\u00e4\u00dfige und systematische \u00dcberwachung von betroffenen Personen erforderlich machen, oder<\/li>\n<\/ul>\n<ul>\n<li>die Kernt\u00e4tigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem\u00e4\u00df <a href=\"https:\/\/dejure.org\/gesetze\/DSGVO\/9.html\" title=\"Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten\">Artikel 9 DSGVO<\/a> besteht.<\/li>\n<\/ul>\n<p>Die in <a href=\"https:\/\/dejure.org\/gesetze\/DSGVO\/9.html\" title=\"Art. 9 DSGVO: Verarbeitung besonderer Kategorien personenbezogener Daten\">Art. 9 Abs. 1 DSGVO<\/a> genannten \u201ebesonderen Kategorien\u201c beziehen sich auf Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religi\u00f6se oder weltanschauliche \u00dcberzeugungen oder die Gewerkschaftszugeh\u00f6rigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer nat\u00fcrlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer nat\u00fcrlichen Person.<\/p>\n<h2><b>Doch was bedeutet \u201eKernt\u00e4tigkeit\u201c?<\/b><\/h2>\n<p>Eine Kernt\u00e4tigkeit liegt vor, wenn es sich um eine f\u00fcr die Gesch\u00e4ftst\u00e4tigkeit oder die Unternehmensstrategie wichtige T\u00e4tigkeit handelt und nicht blo\u00df um routinem\u00e4\u00dfige Verwaltungsaufgaben, die in jedem Unternehmen als Nebent\u00e4tigkeit vorkommen.<\/p>\n<p>So liegt eine Kernt\u00e4tigkeit in der umfangreichen Verarbeitung von personenbezogenen Daten, bei Unternehmen wie z.B.<\/p>\n<ul>\n<li>Unternehmen die Scoring- oder Profiling-Ma\u00dfnahmen anbieten<\/li>\n<li>Markt- und Meinungsforschungsunternehmen<\/li>\n<li>Sicherheits- und \u00dcberwachungsunternehmen<\/li>\n<li>Social-Media-Anbieter<\/li>\n<li>Versicherungsunternehmen<\/li>\n<\/ul>\n<p>Bezogen auf besondere Kategorien von Daten sind z.B.<\/p>\n<ul>\n<li>Arztpraxen<\/li>\n<li>Labors<\/li>\n<li>Krankenh\u00e4user<\/li>\n<li>Unter Umst\u00e4nden auch Rechtsanw\u00e4lte (bspw. Medizinrecht, Arbeitsrecht etc.)<\/li>\n<\/ul>\n<p>zu nennen.<\/p>\n<h2><b>Und was stellt eine \u201eumfangreiche, regelm\u00e4\u00dfige und systematische \u00dcberwachung\u201c dar?<\/b><\/h2>\n<p>Ob eine Verarbeitung nach Art, Umfang und\/oder der Zwecke eine umfangreiche, regelm\u00e4\u00dfige und systematische \u00dcberwachung erfordert, h\u00e4ngt von verschiedenen Parametern ab. So sind folgende Faktoren zu ber\u00fccksichtigen:<\/p>\n<ul>\n<li>Anzahl der betroffenen Personen<\/li>\n<li>Datenvolumen<\/li>\n<li>Dauer der Verarbeitung<\/li>\n<li>geografische Ausdehnung der Verarbeitung<\/li>\n<li>Risiken f\u00fcr die betroffenen Personen<\/li>\n<\/ul>\n<p>Nicht umfangreich soll in diesem Zusammenhang die Verarbeitung sein, wenn die Verarbeitung durch einen einzelnen Arzt, einen einzelnen sonstigen Angeh\u00f6rigen eines Gesundheitsberufes oder einen einzelnen Rechtsanwalt erfolgt. Im Umkehrschluss d\u00fcrfte das bedeuten, dass jedenfalls ab zwei \u00c4rzten, zwei Rechtsanw\u00e4lten oder zwei Angeh\u00f6rigen eines Gesundheitsberufes eine umfangreiche Verarbeitung vorliegt.<\/p>\n<h2><b>Was ergibt sich aus dem neu gefassten Bundesdatenschutzgesetz (BDSG)?<\/b><\/h2>\n<p>Die Bundesrepublik Deutschland hat von der \u00d6ffnungsklausel in der DSGVO Gebrauch gemacht und in dem ebenfalls am 25.05.2018 flankierend zur neuen DSGVO in-kraft-tretenden neuen BDSG eine weitere Verfeinerung der Voraussetzungen f\u00fcr eine verpflichtende Bestellung eines Datenschutzbeauftragten geregelt. Dort ergibt sich k\u00fcnftig f\u00fcr private Unternehmen aus <a href=\"https:\/\/dejure.org\/gesetze\/BDSG\/38.html\" title=\"&sect; 38 BDSG: Datenschutzbeauftragte nicht&ouml;ffentlicher Stellen\">\u00a7 38 BDSG<\/a> (neu), dass die Bestellung eines Datenschutzbeauftragten verpflichtend ist,<\/p>\n<ul>\n<li>soweit in einem Unternehmen in der Regel mindestens zehn Personen st\u00e4ndig mit der automatisierten Verarbeitung von personenbezogenen Daten besch\u00e4ftigt sind oder<\/li>\n<\/ul>\n<ul>\n<li>in dem Unternehmen Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabsch\u00e4tzung nach <a href=\"https:\/\/dsgvo-gesetz.de\/art-35-dsgvo\/\">Artikel 35<\/a> der Verordnung (EU) 2016\/679 unterliegen oder<\/li>\n<\/ul>\n<ul>\n<li>in dem Unternehmen personenbezogene Daten gesch\u00e4ftsm\u00e4\u00dfig zum Zweck der \u00dcbermittlung, der anonymisierten \u00dcbermittlung oder f\u00fcr Zwecke der Markt- oder Meinungsforschung verarbeitet werden.<\/li>\n<\/ul>\n<p>In den allermeisten F\u00e4llen in denen eine Verpflichtung besteht, wird sich eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten aus der ersten Alternative ergeben. Es wird sich zeigen, wie streng die Beh\u00f6rden, das Merkmal \u201est\u00e4ndig mit der automatisierten Bearbeitung von personenbezogenen Daten besch\u00e4ftigt\u201c auslegen werden. Es kann jedoch nur dazu angeraten werden, nicht leichtfertig von einer allzu weiten Interpretation des Begriffs auszugehen. Im Zweifel d\u00fcrfte es schon reichen, wenn in der Buchhaltung, im Marketing- oder im Servicebereich insgesamt mindestens zehn Personen automatisiert Kundendaten verarbeiten.<\/p>\n<h2><b>Brauche ich nun\u00a0einen Datenschutzbeauftragten oder nicht?<\/b><\/h2>\n<p>Die pauschale Aussage, dass jedes Unternehmen mit mindestens zehn Mitarbeitern einen Datenschutzbeauftragten braucht, ist genauso wenig richtig, wie die Aussage, dass im Falle von weniger als zehn Mitarbeitern stets kein Datenschutzbeauftragter ben\u00f6tigt wird.<\/p>\n<p>Es kommt auf den Einzelfall an und bedarf jeweils einer gr\u00fcndlichen Pr\u00fcfung.<\/p>\n<p>Angesichts der Aussagen einiger Landesdatenschutzbeauftragten Unternehmen, die am 25.05.2018 keinen Datenschutzbeauftragten benannt haben, mit empfindlichen Bu\u00dfgeldern zu belegen, sollten Unternehmen sorgf\u00e4ltig pr\u00fcfen, ob sie einen Datenschutzbeauftragten bestellen m\u00fcssen oder nicht.<\/p>\n<p>Da Datenschutzbeauftragte nicht nur bei der Aufsichtsbeh\u00f6rde gemeldet werden m\u00fcssen, sondern auch die Kontaktdaten ver\u00f6ffentlicht werden m\u00fcssen (bspw. in der Datenschutzerkl\u00e4rung auf der Website), besteht bei Nichteinhaltung zudem die Gefahr von wettbewerbsrechtlichen Abmahnungen durch Mitbewerber oder Verb\u00e4nde.<\/p>\n<div class=\"box \"><div class=\"box__content\">\n<h3>Lesen Sie hier alle wichtigen Beitr\u00e4ge zur DSGVO:<\/h3>\n<ul>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/abmahnung-datenschutz-grundverordnung-dsgvo\"><span style=\"color: #333333;\">Abgeordneter warnt: \u201cEs wird bei der EU-DSVGO kein Pardon geben!\u201d<\/span><br \/>\n<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/dsgvo-der-datenschutz-und-die-fotografie\">DSGVO: Der Datenschutz und die Fotografie<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/dsgvo-google-neue-massnahmen-fuer-werbetreibende\">DSGVO: Google k\u00fcndigt neue Spielregeln f\u00fcr Werbetreibende an<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/wann-benoetigen-unternehmen-einen-datenschutzbeauftragten\">DSGVO: Wann ben\u00f6tigen Unternehmen einen Datenschutzbeauftragten?<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/dsgvo-die-e-mail-am-arbeitsplatz-und-der-datenschutz\">DSGVO: Die E-Mail am Arbeitsplatz und der Datenschutz<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/kopplungsverbot-datenschutz-grundverordnung-dsgvo\">Service gegen Daten: Nach dem Kopplungsverbot der DSGVO nun nicht mehr erlaubt?<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/dsgvo-der-datenschutz-und-die-fotografie\">DSGVO: Der Datenschutz und die Fotografie<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/3-dinge-die-man-zur-dsgvo-abmahnwelle-wissen-muss\">3 Dinge, die man zur DSGVO-Abmahnwelle wissen muss<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/medienrecht-und-persoenlichkeitsrecht\/olg-koeln-gibt-entwarnung-fuer-fotografen-kug-gilt-auch-nach-der-dsgvo-weiter\">OLG K\u00f6ln gibt Entwarnung f\u00fcr Fotografen: KUG gilt auch nach der DSGVO weiter<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/rechtsanwaeltin-rosenbaum-in-der-servicezeit-zum-thema-dsgvo\">Rechtsanw\u00e4ltin Rosenbaum in der WDR-Servicezeit zum Thema \u201cDSGVO \u2013 \u00e4ndert sich f\u00fcr Fotografen?\u201d<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/dsgvo-abmahnung\">DSGVO-Abmahnungen: LG W\u00fcrzburg erl\u00e4sst erste einstweilige Verf\u00fcgung gegen Rechtsanw\u00e4ltin<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/dsgvo-nicht-abmahnbar\">DSGVO-Abmahnungen: LG Bochum weist Antrag auf einstweilige Verf\u00fcgung zur\u00fcck<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/dsgvo-klingelschilder\">DSGVO: Muss die Wiener Hausverwaltung 220.000 Klingelschilder entfernen?<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/eu-kommision-dsgvo-abmahnbar\">DSGVO-Abmahnungen: EU-Kommission h\u00e4lt die Rechtsbehelfe Betroffener f\u00fcr abschlie\u00dfend geregelt<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/olg-hamburg-dsgvo-abmahnbar\">DSGVO-Abmahnungen eingeschr\u00e4nkt m\u00f6glich: OLG Hamburg vertritt vermittelnde Ansicht<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/?p=41809&amp;preview=true\">DSGVO-Abmahnungen: LG Wiesbaden sagt Nein zu \u201cAbmahnbarkeit\u201d<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/schmerzensgeld-spam-e-mail\"><span style=\"color: #333333;\">DSGVO-Abmahnungen: 50 \u20ac Schmerzensgeld pro Spam-EMail?<\/span><\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/erstes-bussgeld-dsgvo\">Erstes Bu\u00dfgeld wegen DSGVO-Versto\u00df: 20.000 \u20ac gegen die Chatplattform knuddels.de<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/representative-art-27-gdpr\">7 Dinge, die man zum EU-Vertreter nach Art. 27 DSGVO wissen muss<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/magazin\/datenschutzrecht\/representative-art-27-gdpr\">Haare schneiden ist keine Kunst \u2013 DSGVO\/KUG Urteil zur Ver\u00f6ffentlichung von Werbevideos<\/a><\/li>\n<li><a href=\"https:\/\/www.lhr-law.de\/wp-admin\/post.php?post=42104&amp;action=edit&amp;lang=de\">DSGVO: Wann liegt eine Auftragsdatenverarbeitung im Onlinehandel vor?<\/a><\/li>\n<\/ul>\n<\/div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Viele Unternehmen haben aktuell das Thema Datenschutzgrundverordnung (DSGVO) auf der Agenda und sehen sich daher auch mit dem Thema konfrontiert, ob sie einen Datenschutzbeauftragten brauchen oder nicht und wenn ja wie sich die Pflicht zur Bestellung eines Datenschutzbeauftragten umsetzen l\u00e4sst? Zwar bestand auch nach bisheriger Rechtslage die Pflicht zur Bestellung eines Datenschutzbeauftragten (\u00a7 4f BDSG [&hellip;]<\/p>\n","protected":false},"author":41,"featured_media":38456,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"content-type":"","footnotes":""},"categories":[8],"tags":[],"class_list":["post-38455","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzrecht"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/38455","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/comments?post=38455"}],"version-history":[{"count":0,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/posts\/38455\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media\/38456"}],"wp:attachment":[{"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/media?parent=38455"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/categories?post=38455"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.lhr-law.de\/en\/wp-json\/wp\/v2\/tags?post=38455"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}