DATENSCHUTZ

Leistungen im Datenschutz

Die behördlichen, betrieblichen und kirchlichen Datenschutzbeauftragten der BfbA sind vom TÜV Rheinland zertifiziert und stehen Unternehmen, KMUs, Behörden und kirchlichen Einrichtungen regional in Berlin und Brandeburg zur Seite. Gemäß den Vorgaben des Bundesdatenschutzgesetzes (BDSG) und der Datenschutz-Grundverordnung (DSGVO) bieten wir umfassende Unterstützung und Beratung in allen datenschutzrelevanten Fragen.

Unsere Dienstleistungen umfassen:

Externe Datenschutzbeauftragte und Beratung
  • Benennung eines externen, TÜV-zertifizierten Datenschutzbeauftragten
  • Umfassende Beratung zu Datenschutz- und Datensicherheitsfragen
  • Durchführung von Bestandsanalysen und Erstellung eines Maßnahmenkatalogs
  • Einrichtung eines Datenschutz-Management-Handbuchs und einer elektronischen Datenschutzakte
  • Zusammenstellung aller datenschutzrelevanten Informationen des Kunden, inklusive Firmenstruktur und Ansprechpartner
Datenschutz-Dokumentation und Überprüfung
  • Prüfung der Internetpräsentation (inkl. Impressum und Datenschutzerklärung)
  • Recherche und Sammlung branchenbezogener Datenschutzregelungen und Literaturhinweise
  • Überprüfung und Vorarbeiten zur Erstellung von Verzeichnissen der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO
  • Überprüfung und Vorarbeiten zur Erfassung und Einführung interner Verarbeitungsübersichten
Datenschutz-Organisation und Schulung
  • Aufbau und Betrieb einer professionellen Datenschutz-Organisation
  • Datenschutzschulung für Beschäftigte (inkl. E-Learning)
  • Sensibilisierung der Beschäftigten zu Datenschutzanforderungen und Anwendung geeigneter Maßnahmen
Überwachung und Begutachtung
  • Überwachung der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen, die personenbezogene Daten verarbeiten
  • Prüfung der Zulässigkeit der Datenverarbeitung, einschließlich Erhebung, Speicherung, Übermittlung, Sperrung und Löschung
  • Durchführung von Datenschutz-Folgenabschätzungen gemäß Art. 35 DSGVO bei der Einführung neuer Technologien
  • Begutachtung der technischen und organisatorischen Maßnahmen gemäß Art. 32 DSGVO mit schriftlicher Zusammenfassung
Beratung und Unterstützung im Kontakt mit Behörden
  • Vertretung bei Kontrollen durch Datenschutzaufsichtsbehörden
  • Unterstützung bei der Konzeption von Auskunftsverfahren und der Benachrichtigungspflicht für Betroffene
  • Kontaktaufnahme zu Behörden und Verbänden zur Klärung datenschutzrechtlicher Fragestellungen
Informationsvermittlung und Schulungsmaßnahmen
  • Regelmäßige Informationsvermittlung zu Gesetzesänderungen, EU-Richtlinien und relevanter Rechtsprechung
  • Durchführung von Informationsveranstaltungen und Trainings zum Datenschutz und zur Datensicherheit

Mit unserer umfassenden Unterstützung stellen wir sicher, dass Ihr Unternehmen alle datenschutzrechtlichen Anforderungen erfüllt und Ihre Datenverarbeitung sicher und rechtskonform organisiert ist. Unsere zertifizierten Datenschutzexperten bieten praxisnahe und zielgerichtete Lösungen, die den individuellen Bedürfnissen Ihres Unternehmens entsprechen.

Betreuung im Datenschutz jetzt anfragen
Kathrin Maiwald
Kathrin MaiwaldBehördliche Datenschutzbeauftragte (TÜV) & Datenschutzauditorin (TÜV)
Michael Rudolph
Michael RudolphDatenschutzbeauftragter (TÜV)

Unter welchen Bedingungen ist ein Datenschutzbeauftragter im Unternehmen erforderlich?

Die Benennung eines Datenschutzbeauftragten (DSB) ist für viele Unternehmen und Organisationen in der EU gemäß der Datenschutz-Grundverordnung (DSGVO) gesetzlich vorgeschrieben. Die DSGVO soll den Schutz personenbezogener Daten gewährleisten und legt fest, unter welchen Bedingungen Unternehmen einen Datenschutzbeauftragten benennen müssen. Der folgende Artikel beleuchtet, welche Unternehmen dazu verpflichtet sind, ab welcher Beschäftigtenzahl diese Pflicht greift und welche Konsequenzen bei einer Nichtbenennung drohen.

Welche Unternehmen sind zur Benennung eines Datenschutzbeauftragten verpflichtet?

Unternehmen und Organisationen sind gemäß der DSGVO sowie den nationalen Datenschutzgesetzen unter bestimmten Voraussetzungen verpflichtet, einen DSB zu benennen. Diese Verpflichtung besteht darin, die Einhaltung des Datenschutzes sicherzustellen und den Schutz personenbezogener Daten im Unternehmen zu gewährleisten. Dabei spielt die Art und der Umfang der Datenverarbeitung eine entscheidende Rolle, während die Unternehmensgröße selbst nicht zwingend ausschlaggebend ist.

Ein Datenschutzbeauftragter ist insbesondere dann erforderlich, wenn eine oder mehrere der folgenden Bedingungen erfüllt sind:

  1. Regelmäßige und systematische Überwachung betroffener Personen

    Unternehmen, die als Kerntätigkeit eine kontinuierliche und systematische Überwachung der betroffenen Personen vornehmen, sind zur Benennung eines Datenschutzbeauftragten verpflichtet. Solche Überwachungsmaßnahmen umfassen das Tracking von Nutzern auf Websites, die Videoüberwachung von öffentlichen oder betrieblichen Räumen oder das Monitoring des Nutzerverhaltens. Diese Verfahren fallen unter „regelmäßige und systematische Überwachung“ gemäß DSGVO, da sie dazu genutzt werden können, Personenprofile zu erstellen, die deren Verhalten, Interessen oder Bewegungsmuster widerspiegeln. Die Pflicht zur Benennung eines Datenschutzbeauftragten stellt sicher, dass der Datenschutzbeauftragte die Prozesse überwacht und überprüft, dass keine unzulässigen Eingriffe in die Privatsphäre der betroffenen Personen erfolgen.

  2. Verarbeitung besonderer Kategorien personenbezogener Daten

    Die Verarbeitung sensibler oder besonders schützenswerter personenbezogener Daten stellt ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen dar. Nach Artikel 9 DSGVO umfassen diese „besonderen Kategorien“ unter anderem Daten zu Gesundheit, ethnischer Herkunft, religiöser oder politischer Überzeugung sowie biometrische Daten. Unternehmen, die diese Kategorien verarbeiten – wie z. B. im Gesundheitswesen, bei Versicherungen oder in Forschungseinrichtungen –, sind gesetzlich verpflichtet, einen Datenschutzbeauftragten zu benennen. Dieser unterstützt das Unternehmen darin, die Datenschutzrichtlinien für den Umgang mit sensiblen Daten konsequent umzusetzen und sich gegen Datenschutzverletzungen abzusichern, die insbesondere bei solchen schwerwiegenden Daten Konsequenzen nach sich ziehen können.

  3. Geschäftsmäßige Verarbeitung personenbezogener Daten ab einer bestimmten Beschäftigtenzahl

    In Unternehmen, die personenbezogene Daten geschäftsmäßig verarbeiten, ist ebenfalls die Benennung eines Datenschutzbeauftragten erforderlich, wenn die Verarbeitung von 20 oder mehr Beschäftigten dauerhaft vorgenommen wird. Dazu zählen Angestellte, die regelmäßig mit Daten arbeiten, z. B. in den Bereichen Personal, Kundenbetreuung oder Marketing. Die Pflicht zur Benennung eines Datenschutzbeauftragten in diesen Fällen hilft dabei, Datenschutzrichtlinien einheitlich festzulegen und die korrekte Verarbeitung zu gewährleisten. Dieser Schwellenwert wurde gewählt, um sicherzustellen, dass Unternehmen, die in erheblichem Umfang Daten verarbeiten, über die notwendige Fachkompetenz zur Einhaltung des Datenschutzes verfügen.

  4. Branchen mit erhöhten Datenschutzanforderungen

    Branchen wie Gesundheitswesen, Finanzdienstleistungen oder IT sind häufig besonders verpflichtet, einen Datenschutzbeauftragten zu benennen. Diese Branchen verarbeiten besonders wertvolle Daten oder Daten in großem Umfang und tragen daher eine besondere Verantwortung für die Datensicherheit. Auch Unternehmen, die Dienstleistungen für andere Organisationen erbringen und dabei Zugang zu personenbezogenen Daten haben – wie Lohnbuchhaltung, Gehaltsabrechnung oder IT-Dienstleister –, sind häufig zur Benennung eines Datenschutzbeauftragten verpflichtet. Der Datenschutzbeauftragte unterstützt hier dabei, Risiken zu minimieren und die geltenden Datenschutzstandards effektiv umzusetzen.

Ab welcher Beschäftigtenzahl besteht die Pflicht zum Datenschutzbeauftragten?

Die DSGVO legt keine genaue Beschäftigtenzah fest, ab der ein Datenschutzbeauftragter erforderlich ist, sondern macht diese Pflicht von der Art der Datenverarbeitung abhängig. Das Bundesdatenschutzgesetz (BDSG-neu) ergänzt jedoch diese Regelung und sieht die Benennung eines Datenschutzbeauftragten vor, wenn in der Regel mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind.

Dabei ist es wichtig zu wissen, dass nicht nur Vollzeit-Mitarbeitende zählen, sondern auch Teilzeitkräfte, Auszubildende oder andere Angestellte, die regelmäßig Zugriff auf personenbezogene Daten haben. Unternehmen sollten regelmäßig prüfen, wie viele Beschäftigte mit der Datenverarbeitung beschäftigt sind, da ein Anstieg auf 20 und mehr Personen zur zur Pflicht der Benennung führt.

Wenn diese Schwelle erreicht ist, müssen Unternehmen proaktiv einen Datenschutzbeauftragten benennen – entweder intern oder extern.

Wann und warum brauchen Unternehmen mehrere Datenschutzbeauftragte?

Die Vorgabe zur Benennung eines einzelnen DSB hat ihre Grundlage in der institutionellen Rolle und den Aufgaben, die damit verbunden sind: Der DSB soll als unabhängige Instanz agieren und so eine zentrale Ansprechperson für Datenschutzthemen bieten. Trotz dieser Regelung spricht jedoch nichts dagegen, zusätzliche Unterstützung zu organisieren, falls die Aufgaben für einen einzelnen DSB zu umfangreich werden. In diesen Fällen ist es sinnvoll, weitere Beschäftigte mit Fachkenntnissen im Datenschutz zu benennen, die den DSB bei seinen Aufgaben unterstützen. Dies bedeutet jedoch nicht, dass ein Unternehmen offiziell mehrere Datenschutzbeauftragte benennen darf, sondern zusätzliche Beschäftigte, die dem DSB zuarbeiten und bestimmte Aufgabenbereiche übernehmen können.

Für öffentliche Stellen ist die Benennung mehrerer DSBs nicht zulässig – hier bleibt die Verantwortung auf eine zentrale Position beschränkt, um klare Zuständigkeiten zu gewährleisten. Unternehmen dagegen können jederzeit auch einen stellvertretenden DSB ernennen, auch wenn dies gesetzlich nicht vorgeschrieben ist. Ein Stellvertreter kann eine wertvolle Unterstützung sein, um dem DSB bei Bedarf zuzuarbeiten und während Abwesenheiten für eine nahtlose Fortführung der Datenschutzprozesse zu sorgen. So profitieren Unternehmen von einer verstärkten Struktur im Datenschutz, ohne dabei gegen die formalen Vorgaben der DSGVO zu verstoßen.

Ab welchem Zeitpunkt ist ein Datenschutzbeauftragter erforderlich?

Bis zum 26. November 2019 war ein Datenschutzbeauftragter ab einer Schwelle von zehn Beschäftigte erforderlich. Diese Regelung basiert auf dem alten Bundesdatenschutzgesetz (BDSG) vor Einführung der DSGVO. Um kleine und mittlere Unternehmen sowie selbstständige bürokratische Lasten zu verringern, wurde diese Schwelle jedoch vom Bundestag angehoben.

Seitdem gilt: Unternehmen müssen einen Datenschutzbeauftragten benennen, sobald mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind. Dabei ist zu beachten, dass auch Praktikanten, Teilzeitkräfte und Freelancer in diese Zahl mit eingerechnet werden. Diese Erhöhung der Schwelle entlastet kleinere Unternehmen und macht die Verpflichtung zum Datenschutzbeauftragten nur bei tatsächlich umfangreicher Datenverarbeitung zur Pflicht.

Was droht bei Nichtbenennung des Datenschutzbeauftragten?

Die DSGVO sieht bei Nichteinhaltung erhebliche Konsequenzen vor. Werden die Anforderungen an die Benennung eines Datenschutzbeauftragten nicht erfüllt, können sowohl Bußgelder als auch zusätzliche rechtliche Konsequenzen die Folge sein. Insbesondere bei Datenschutzverstößen kann das Fehlen eines Datenschutzbeauftragten als Verstoß gegen die DSGVO ausgelegt werden.

Die Höhe vom Bußgeld ist abhängig von mehreren Faktoren, z. B. dem Umsatz des Unternehmens, der Schwere des Verstoßes und der Kooperation des Unternehmens mit den Datenschutzbehörden. Die DSGVO sieht für Verstöße gegen die Bestimmungen zur Benennung eines Datenschutzbeauftragten Bußgelder von bis zu 10 Millionen Euro oder 2 % des weltweit erzielten Jahresumsatzes vor – je nachdem, welcher Betrag höher ist.

Zusätzlich können Imageschäden und ein Vertrauensverlust bei Kundinnen und Kunden das Unternehmen erheblich belasten.

Fazit: Frühzeitig handeln und rechtliche Anforderungen umsetzen

Unternehmen sollten regelmäßig überprüfen, ob sie einen Datenschutzbeauftragten benötigen, um den gesetzlichen Anforderungen der DSGVO und des BDSG-neu gerecht zu werden. Bei Unsicherheiten empfiehlt sich eine Beratung, um mögliche Verstöße und die damit verbundenen Konsequenzen zu vermeiden. Ein Datenschutzbeauftragter stellt nicht nur die gesetzliche Konformität sicher, sondern trägt auch zum langfristigen Vertrauen und zur Sicherheit in der Datenverarbeitung im Unternehmen bei.

Adresse

BfbA GmbH
Adolf-Damaschke-Str. 56/58
Gebäude 16 - OG
14542 Werder (Havel)

E-Mail

info@bfba.eu

Telefon

Innendienst: 03327.7322560
Akademie: 03327.7413241

Öffnungszeiten Büro

Mo. - Do. 08:00 bis 16:00 Uhr
Fr. 08:00 bis 13:00 Uhr
Sa. + So. + Feiertage geschlossen

Öffnungszeiten Praxis

Die Praxiszeiten entnehmen Sie bitte den Onlinebuchungskalendern in den Fachbereichen Arbeitsmedizin sowie FeV.

Callback - Wir rufen Sie zurück

Wir rufen Sie gern während unserer Öffnungszeiten zurück. Sonderrufnummern sowie Rufnummern außerhalb Deutschlands können wir leider nicht zurückrufen.

Falls wir Sie telefonisch nicht erreichen können, kontaktieren wir Sie via E-Mail.

Bitte füllen Sie alle Felder aus.
Bitte füllen Sie alle Felder aus.
Bitte füllen Sie alle Felder aus.

Download & Link Desk | Impressum | Datenschutzinformationen | AGB

Copyright © 2012 - 2024 by BfbA GmbH
Überbetrieblicher arbeitsmedizinischer und sicherheitstechnischer Dienst