Wer muss einen Datenschutzbeauftragten haben?

Jedes Unternehmen, in dem mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss einen betrieblichen Datenschutzbeauftragten bestellen. Bereits die Nutzung von E-Mail bedeutet eine Verarbeitung personenbezogener Daten! Welches Vertragsverhältnis mit den Daten verarbeitenden Personen besteht, spielt keine Rolle. Deshalb sind auch Familienangehörige, Subunternehmer, Praktikanten usw. mitzuzählen. Personen, die nur kurzzeitig im Unternehmen sind, zählen nicht mit.

Unter bestimmten Umständen besteht auch bei weniger als 20 Personen die Pflicht, einen Datenschutzbeauftragten zu ernennen. Unternehmen, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, müssen immer einen betrieblichen Datenschutzbeauftragten bestellen. Gleiches gilt für Unternehmen, deren Datenverarbeitung hohe Risiken für die betroffenen Personen bedeutet, und die eine Datenschutzfolgeabschätzung nach Art. 35 DS-GVO durchführen mussten.

Wenn kein Datenschutzbeauftragter bestellt wird, kann dies zu einem Bußgeld von bis zu 10 Mio. Euro oder - sofern höher - 2% des weltweiten Vorjahreskonzernumsatz führen.