Ein Datenschutzbeauftragter (DSB) überwacht die Einhaltung der datenschutzrechtlichen Vorschriften im Unternehmen. Die Benennung ist nach Art. 37 DSGVO und § 38 BDSG verpflichtend, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, oder wenn besondere Datenkategorien verarbeitet werden.
Erklärung
Die Pflicht zur Benennung eines Datenschutzbeauftragten ergibt sich aus zwei Rechtsquellen: Die DSGVO (Art. 37) verlangt einen DSB bei öffentlichen Stellen, bei umfangreicher systematischer Überwachung und bei der Verarbeitung besonderer Datenkategorien (Gesundheitsdaten, biometrische Daten etc.). Das BDSG (§ 38) ergänzt die Pflicht für Unternehmen, in denen mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Der DSB kann ein interner Mitarbeiter oder ein externer Dienstleister sein. Er muss über Fachwissen im Datenschutzrecht verfügen und darf keinem Interessenkonflikt unterliegen – der Geschäftsführer oder IT-Leiter kann daher in der Regel nicht DSB sein. Der DSB genießt besonderen Kündigungsschutz (§ 38 Abs. 2 i. V. m. § 6 Abs. 4 BDSG).
Auch ohne Pflicht zur Benennung eines DSB müssen alle Unternehmen die DSGVO einhalten: Verarbeitungsverzeichnis führen (Art. 30 DSGVO), Betroffenenrechte sicherstellen, technische und organisatorische Maßnahmen umsetzen und bei Datenpannen die Meldepflicht beachten (Art. 33 DSGVO). Verstöße können Bußgelder von bis zu 20 Mio. EUR oder 4 % des Jahresumsatzes nach sich ziehen.
Rechtsgrundlage: Art. 37–39 DSGVO, § 38 BDSG
Art. 37 DSGVO regelt die Pflicht zur Benennung eines DSB. Art. 38 und 39 DSGVO bestimmen seine Stellung und Aufgaben. § 38 BDSG ergänzt die Benennungspflicht für Unternehmen mit mindestens 20 Personen in der automatisierten Datenverarbeitung.
Verwandte Begriffe
Häufig gestellte Fragen
Braucht mein Startup einen Datenschutzbeauftragten?
Wenn weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind und Sie keine besonders sensiblen Daten verarbeiten, besteht keine Pflicht zur Benennung. Die DSGVO müssen Sie aber trotzdem vollständig einhalten.
Weitere Glossar-Einträge
Insolvenz
Insolvenz bezeichnet die Situation, in der ein Schuldner seine fälligen Zahlungsverpflichtungen nicht mehr erfüllen kann. Sie ist der wirtschaftliche Zustand der Zahlungsunfähigkeit und bildet die Grundlage für die Eröffnung eines Insolvenzverfahrens nach der Insolvenzordnung (InsO).
Insolvenzverfahren
Ein Insolvenzverfahren ist ein gerichtlich überwachtes Verfahren zur geordneten Abwicklung der Schulden eines zahlungsunfähigen Schuldners. Es dient der gleichmäßigen Befriedigung aller Gläubiger und kann die Sanierung oder Liquidation des Unternehmens zum Ziel haben.
Insolvenzverwalter
Der Insolvenzverwalter ist eine vom Gericht bestellte Person, die das Vermögen des Schuldners verwaltet, verwertet und an die Gläubiger verteilt. Er übernimmt die Verwaltungs- und Verfügungsbefugnis über die Insolvenzmasse und ist zentraler Akteur im Insolvenzverfahren.