Damit umfasst diese Anforderung der DSGVO praktisch jedes Unternehmen, das Daten seiner Kunden oder Daten von Teilnehmern verarbeitet. Achtung: Nur wenige Unternehmen sind per Gesetz dazu verpflichtet einen Datenschutzbeauftragten – kurz DSB genannt – zu bestellen.
Ein Datenschutzbeauftragter ist nach DSGVO für das Unternehmen nämlich mit deutlich höheren rechtlichen Anforderungen verbunden als ein bloßer Ansprechpartner für eventuelle Anfragen rund um das Thema Datenschutz. Die Nutzung der Bezeichnung Datenschutzbeauftragter ist dafür bereits ausreichend. Grenzen Sie hier also gut ab, ob das Unternehmen die juristischen Erfordernisse für einen Datenschutzbeauftragten erfüllt oder die Ernennung eines Ansprechpartners für Datenschutz ausreichend ist. Eine gängige Bezeichnung für einen Ansprechpartner ist Datenschutzkoordinator.
Die Bestellung eines Datenschutzbeauftragten ist nach Artikel 37 DSGVO nur dann verpflichtend, wenn:
Deutschland
Mehr als 9 Personen ständig Zugriff auf personenbezogene Daten haben. Ausnahmen bestehen bei datengetriebenen Unternehmen.
Österreich
Die Kerntätigkeit in der regelmäßigen und systematischen Überwachung Betroffener liegt, Daten besonderer Kategorien oder strafrechtliche Verurteilungen verarbeitet werden.
Ein Datenschutzbeauftragter ist bei Unternehmen also insbesondere dann verpflichtend, wenn die „Kerntätigkeit“ des Verantwortlichen oder des Auftragsverarbeiters eine umfangreiche, regelmäßige und systematische Überwachung Betroffener erforderlich macht oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder Daten über strafrechtliche Verurteilungen besteht. Hierbei handelt es sich in der Regel um Unternehmen wie Detekteien, Banken oder Versicherungen – zumindest Eventdienstleister werden kaum in diese Kategorie fallen.
Qualifikationsvoraussetzung für einen Datenschutzbeauftragter ist das Fachwissen, insbesondere auf dem Gebiet des Datenschutzrechts, und Praxis sowie technische und organisatorische IT-Fachkenntnisse. Ein DSB muss ordnungsgemäß und frühzeitig über alle Angelegenheiten der Datenverarbeitung informiert werden und weisungsfrei gestellt sein.
Der Datenschutzbeauftragter berichtet grundsätzlich an den Vorstand oder die Geschäftsführung und darf keine Benachteiligung im Unternehmen erfahren. Zu seinen Aufgaben zählen die Information und Beratung des Unternehmens sowie der Mitarbeiter, die Überwachung und Einhaltung der Datenschutzbestimmungen. Der Datenschutzbeauftragter fungiert auch als Ansprechpartner für die Datenschutzbehörde.
Freilich steht eine freiwillige Bestellung eines Datenschutzbeauftragten jedem Unternehmen offen. Eine Unternehmensgruppe kann einen gemeinsamen Datenschutzbeauftragten ernennen. Auch kann ein externer Dienstleister, z. B. ein auf Datenschutz spezialisierter Rechtsanwalt, bestellt werden.