Warum die Frage „Ab, wann du einen Datenschutzbeauftragten benötigst“ der falsche Ansatz ist
Ich bekomme immer mal wieder eine Anfrage, ab wann man oder ob man denn schon einen Datenschutzbeauftragten im Unternehmen benötigt. Diese Frage ist keinesfalls unberechtigt und wir haben sie in einem anderen Beitrag auch schon beantwortet. Wenn du dir diese Frage stellst, ist das aber der falsche Ansatz. Warum erkläre ich dir in diesem Beitrag.
In der Regel muss ein Datenschutzbeauftragter erst ab einer gewissen Unternehmensgröße bestellt werden. Ob man dann einen internen Mitarbeiter oder einen externen Datenschutzbeauftragten bestellt, ist egal. Viele Unternehmen glauben, dass die Bestellung eines Datenschutzbeauftragten der erste Schritt beim Datenschutz ist, von der Datenschutzerklärung auf der Webseite und ein paar Auftragsverarbeitungsverträgen abgesehen. Und das ist genau der falsche Ansatz.
Datenschutz beginnt nicht mit dem Datenschutzbeauftragten
Für die meisten Unternehmen beginnt die gemeinsame Reise mit einem Datenschutzbeauftragten ab ungefähr 20 Mitarbeitern, genauer gesagt, wenn 20 Mitarbeiter regelmäßig personenbezogene Daten verarbeiten (§ 38 BDSG). Erst dann machen sich Unternehmen wirklich Gedanken zum Datenschutz, vorher eher nicht. Das soll jetzt kein Bashing sein, das ist einfach meine Erfahrung, die ich so mache. Und wenn du zu diesen Unternehmen gehörst, kann ich dich beruhigen. Du bist nicht allein.
Der Datenschutzbeauftragter als Bestandteil deines Datenschutzmanagements
Das Problem dabei ist, dass die Bestellung eines Datenschutzbeauftragten nur ein Teil des gesamten Prozesses ist und die Reise im Wunderland des Datenschutzes schon viel früher beginnen muss. Völlig losgelöst von der Frage, ab wann du einen Datenschutzbeauftragten benötigst, musst du nämlich sehr viele andere Pflichten im Datenschutz erfüllen.
Viele Pflichten auch ohne Datenschutzbeauftragten
Unabhängig von der Pflicht, einen Datenschutzbeauftragten zu bestellen, musst du ein Verarbeitungsverzeichnis führen. Dort müssen alle Tätigkeiten rein, bei denen du personenbezogene Daten verarbeitest und noch ein paar mehr Informationen. Du solltest dir dabei Gedanken machen, auf welche Rechtsgrundlage du die Verarbeitung stützt, z.B. auf eine Einwilligung oder das berechtigte Interesse. Im letzten Fall brauchst du eine Interessenabwägung.
Außerdem musst du deine technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten im Griff zu haben, protokollieren.
Du musst betroffene Personen über die Verarbeitung von personenbezogene Daten informieren. Dazu gehört nicht nur ein Hinweis auf deiner Webseite für die Besucher. Denn in der Regel verarbeitest du auch Daten von Kunden und deinen Mitarbeitern.
Daten, die du nicht mehr benötigst oder um es technischer auszudrücken, Daten, für die es keinen Verarbeitungszweck mehr gibt, müssen gelöscht werden. Du benötigst also ein Löschkonzept, um das alles im Griff zu haben.
Fazit
Das sind nur ein paar Punkte, die du völlig unabhängig von der Frage nach einem Datenschutzbeauftragten beachten musst. Die Frage ab wann du einen Datenschutzbeauftragten brauchst ist also nicht falsch, zeigt aber eventuell, dass du dich bislang nicht genug mit dem Thema Datenschutz auseinandergesetzt hast. Dein Ansatz sollte vielmehr sein, wie setze ich Datenschutz richtig um. Die Frage, ab wann du einen Datenschutzbeauftragten benötigst, beantwortet sich dann ganz von allein.