Brauche ich einen Datenschutzbeauftragten?
Eine Frage, die gerade hier in der Region oft zu lange aufgeschoben wird. In wenigen Minuten bekommst du eine ehrliche, verständliche Antwort – ohne Paragraphen-Dschungel.
Du musst eine(n) DSB benennen, wenn einer dieser Punkte zutrifft:
In der Regel mind. 20 Personen verarbeiten bei dir ständig personenbezogene Daten am Rechner.
Deine Kerntätigkeit ist die umfangreiche, regelmäßige Überwachung von Personen.
Du verarbeitest besondere Datenkategorien (z. B. Gesundheitsdaten) in großem Umfang.
Für eine Verarbeitung ist eine Datenschutz-Folgenabschätzung nötig.
Trifft keiner dieser Punkte zu? Dann ist ein DSB nicht Pflicht – die DSGVO gilt trotzdem. Mehr dazu weiter unten.
Wie viele Anzeichen treffen auf dich zu?
Je mehr du mit „ja" beantwortest, desto eher solltest du das Thema angehen – spätestens dann lohnt ein kurzes Gespräch.
Arbeiten bei euch 20 Personen oder mehr regelmäßig mit personenbezogenen Daten?
Verarbeitet ihr Gesundheits-, Bewerber- oder sensible Daten in größerem Umfang?
Habt ihr Onlineshop, Newsletter, Tracking oder eine größere Kundendatenbank?
Arbeitet ihr mit Dienstleistern & Subunternehmern, die Daten verarbeiten?
Fehlen euch Verarbeitungsverzeichnis, AV-Verträge oder TOM – oder sind sie veraltet?
Würde eine Datenpanne oder Beschwerde euch derzeit kalt erwischen?
Datenschutz wird oft zu lange aufgeschoben – „läuft doch"
Viele Betriebe schieben das Thema vor sich her. Bis eine Bewerberin Auskunft verlangt, ein Tool plötzlich Daten in die USA schickt oder die Aufsichtsbehörde nachfragt – dann wird aus „läuft doch" schnell Stress.
Meine Basis ist Isselburg am Niederrhein, persönlich vor Ort bin ich bis in den Raum Hannover – und remote sowieso deutschlandweit. Du bekommst jemanden, der die Abläufe im Mittelstand versteht.
Unverbindlich nachfragenPersönlich in der Region, digital überall.
Keine Pflicht heißt nicht „kein Datenschutz".
Auch ohne benannten DSB musst du die DSGVO einhalten: Datenschutzerklärung, Verarbeitungsverzeichnis, Verträge mit Dienstleistern, Auskunfts- und Löschrechte. Wer das sauber aufstellt, schläft ruhiger – und punktet bei Kunden, die genau hinschauen. Dafür gibt es mich auch in der „kleinen" Variante: als Datenschutz-Beratung, die dich startklar macht.
Datenschutzbeauftragter – kurz erklärt
01 Ab wann braucht ein Unternehmen einen Datenschutzbeauftragten?
In Deutschland muss ein Unternehmen einen Datenschutzbeauftragten benennen, sobald in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG). Unabhängig von der Personenzahl ist ein DSB außerdem Pflicht, wenn die Kerntätigkeit in umfangreicher, regelmäßiger Überwachung von Personen besteht oder besondere Kategorien personenbezogener Daten umfangreich verarbeitet werden (Art. 37 DSGVO), oder wenn eine Datenschutz-Folgenabschätzung erforderlich ist.
02 Zählen auch Teilzeitkräfte und Minijobber zu den 20 Personen?
Ja. Maßgeblich ist, wie viele Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten befasst sind – unabhängig vom Stundenumfang. Auch Teilzeitkräfte, Minijobber, Azubis oder Geschäftsführer zählen mit, wenn sie regelmäßig mit PCs, E-Mail, CRM oder ähnlichen Systemen personenbezogene Daten verarbeiten.
03 Was passiert, wenn ich keinen Datenschutzbeauftragten benenne, obwohl ich müsste?
Die Nicht-Benennung eines erforderlichen Datenschutzbeauftragten ist eine Ordnungswidrigkeit und kann mit einem Bußgeld geahndet werden (bis zu 10 Mio. € bzw. 2 % des weltweiten Jahresumsatzes nach Art. 83 DSGVO). In der Praxis fällt das oft erst bei einer Beschwerde, einer Datenpanne oder einer Prüfung durch die Aufsichtsbehörde auf – dann aber unangenehm.
04 Macht ein externer Datenschutzbeauftragter Sinn, wenn ich (noch) nicht verpflichtet bin?
Häufig ja. Die DSGVO gilt unabhängig von der Pflicht zur Benennung – jedes Unternehmen muss Datenschutz einhalten. Ein externer DSB oder eine Datenschutz-Beratung sorgt für saubere Dokumentation, weniger Haftungsrisiko und Vertrauen bei Kunden und Bewerbern. Gerade kleine und mittlere Betriebe profitieren von einer pragmatischen Lösung, ohne eigenes Personal abzustellen.
05 Intern oder extern – welcher Datenschutzbeauftragte ist besser?
Ein interner DSB kennt das Unternehmen, muss aber laufend geschult werden, genießt Kündigungsschutz und darf keine Interessenkonflikte haben (z. B. nicht die IT- oder Geschäftsleitung). Ein externer Datenschutzbeauftragter ist unabhängig, fachlich auf Stand, planbar in den Kosten und ohne internen Aufwand sofort einsatzbereit. Für kleine und mittlere Unternehmen ist die externe Lösung deshalb meist die wirtschaftlichere.
06 Welche Aufgaben übernimmt der Datenschutzbeauftragte?
Der DSB überwacht die Einhaltung der DSGVO, berät die Geschäftsführung, schult Mitarbeitende, ist Ansprechpartner für Betroffene und die Aufsichtsbehörde und wirkt bei Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzung und der Bearbeitung von Datenpannen mit. Er trifft keine Entscheidungen anstelle des Unternehmens, sondern sorgt dafür, dass die richtigen getroffen werden.
Dieser Überblick ersetzt keine Rechtsberatung im Einzelfall. Ob bei dir konkret eine Pflicht besteht, schauen wir uns gern gemeinsam an.
Bringen wir Klarheit in dein Datenschutz-Thema
Erzähl mir kurz, wie viele Leute bei euch mit Daten arbeiten und womit. Du bekommst eine ehrliche Einschätzung, ob und in welcher Form du einen DSB brauchst.