Datenschutz & Sicherheit

Wann braucht ein Unternehmen einen Datenschutzbeauftragten?

Zuletzt aktualisiert:

Die vier Pflichtkriterien

1) 20-Personen-Schwelle: Mindestens 20 Mitarbeitende verarbeiten regelmäßig automatisiert personenbezogene Daten. Wichtig: nicht 20 Mitarbeiter insgesamt, sondern 20, die mit Daten arbeiten. Tischlerei mit 500 Mitarbeitern und 5 in der Verwaltung braucht keinen DSB. 2) Hohes Risiko: Verarbeitung erfordert eine DSFA (z.B. Videoüberwachung, Gesundheitsdaten). 3) Öffentliche Stellen: Stadtverwaltung, Schulen, alle Träger öffentlicher Gewalt. 4) Umfangreiche besondere Daten: Krankenhäuser, Personaldienstleister.

Wenn keine Pflicht: Fachkraft reicht

Wenn kein DSB Pflicht ist, sollte trotzdem jemand das Thema verantworten. Eine Datenschutz-Fachkraft oder ein Koordinator ohne formale DSB-Pflicht reicht oft. Vorteil: weniger Formalien, gleiche fachliche Verantwortung. Wichtig: schriftlich definiert, mit Zeitbudget ausgestattet, in IT- und Personalprozesse eingebunden.

Intern oder extern?

Beides geht. Interner DSB: kennt das Unternehmen, schnelle Wege, aber mögliche Interessenkonflikte mit Arbeitgeberrolle. Externer DSB: neutrale Sicht, aber Einarbeitung nötig. In KMU ist externer DSB oft günstiger und sauberer, in größeren Konzernen wird häufig intern besetzt mit externer Beratung als Backup.

Was der DSB tut

Der DSB ist Anwalt der Mitarbeitenden und Kontrollinstanz. Aufgaben: DSGVO-Beratung der Geschäftsführung, Verzeichnis der Verarbeitungstätigkeiten (VVT) pflegen, DSFAs durchführen, Schulungen organisieren, Kontaktstelle für Aufsichtsbehörden und Betroffene. Er ist weisungsunabhängig, hat besonderen Kündigungsschutz und darf keine Nachteile für seine Arbeit haben.

Über thekey.academy

thekey.academy ist eine deutsche Online-Lernplattform für IHK-zertifizierte berufliche Weiterbildung — 25 Lehrgänge zu KI, Führung, Resilienz, Marketing und HR. 100 % online, self-paced, mit IHK-Zertifikat.