20-Personen-Regel
Beschäftigt das Unternehmen in der Regel mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten?
Datenschutzbeauftragter Pflicht
Die Antwort hängt nicht nur von der Zahl der Beschäftigten ab. Wichtig sind auch Art, Umfang und Zweck der Datenverarbeitung. Ich helfe Unternehmen, die Pflicht sauber zu prüfen und das Ergebnis nachvollziehbar festzuhalten.
Kurz gesagt
Viele Unternehmen fragen zuerst nach der Mitarbeiterzahl. Das ist verständlich. In Deutschland ist die Zahl der Personen, die ständig mit automatisierter Datenverarbeitung beschäftigt sind, tatsächlich ein wichtiger Punkt.
Aber damit ist die Prüfung nicht erledigt. Die DSGVO schaut zusätzlich darauf, ob Datenschutz im Kern des Geschäftsmodells liegt, ob Personen umfangreich überwacht werden oder ob besondere Daten in großem Umfang verarbeitet werden.
Schnellantwort
In Deutschland ist die DSB-Pflicht für viele Unternehmen erreicht, wenn in der Regel mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten. Das wird oft als Pflicht „ab 20 Mitarbeitern“ gesucht. Genau ist aber nicht die Kopfzahl allein entscheidend, sondern wer regelmäßig mit personenbezogenen Daten in digitalen Systemen arbeitet.
Unabhängig davon kann die Pflicht auch früher entstehen, etwa bei umfangreicher Überwachung, bei umfangreicher Verarbeitung besonderer Daten oder wenn eine Datenschutz-Folgenabschätzung nötig ist.
Prüfpfad
Beschäftigt das Unternehmen in der Regel mindestens 20 Personen ständig mit automatisierter Verarbeitung personenbezogener Daten?
Ist die Verarbeitung personenbezogener Daten nicht nur Nebensache, sondern ein zentraler Teil des Geschäftsmodells?
Geht es um umfangreiche regelmäßige und systematische Überwachung von Personen, etwa bei Plattformen, Tracking oder Scoring?
Werden Gesundheitsdaten, besondere Kategorien personenbezogener Daten oder Daten über Straftaten in großem Umfang verarbeitet?
§ 38 BDSG
Nach § 38 BDSG kann eine Benennungspflicht schon deshalb entstehen, weil regelmäßig mindestens 20 Personen ständig automatisiert personenbezogene Daten verarbeiten. Gemeint sind zum Beispiel Arbeiten in CRM, HR-Systemen, Buchhaltung, Support, Vertrieb, Praxissoftware oder anderen digitalen Systemen mit personenbezogenen Daten.
Auch HR, Vertrieb, Kundenservice, Lohnbuchhaltung oder Verwaltung können mitzählen, wenn dort ständig personenbezogene Daten verarbeitet werden. Für HR-Themen lohnt sich zusätzlich ein Blick auf den Beschäftigtendatenschutz.
Es reicht, wenn die Verarbeitung regelmäßig zur Tätigkeit gehört. Es muss nicht die einzige Aufgabe der Person sein.
Typisch sind Software, Tabellen, Datenbanken, Cloud-Dienste, Bewerbertools, Kundensysteme oder digitale Akten.
Die Zählung und die Gründe für die Entscheidung sollten kurz dokumentiert werden.
Art. 37 DSGVO
Die DSGVO verlangt einen Datenschutzbeauftragten vor allem dann, wenn bestimmte Datenverarbeitungen den Kern der Tätigkeit ausmachen. Das betrifft nicht jedes Unternehmen. Aber bei datengetriebenen Geschäftsmodellen, sensiblen Daten oder systematischer Überwachung sollte genau hingesehen werden.
Besondere Daten können schnell eine vertiefte Prüfung auslösen, vor allem wenn sie umfangreich verarbeitet werden.
Regelmäßige und systematische Überwachung kann relevant sein, wenn sie umfangreich und Teil der Haupttätigkeit ist.
Bewertungen, Profile oder Risikomodelle über Personen können datenschutzrechtlich besonders sensibel sein.
Auch Dienstleister können betroffen sein, wenn ihre Kerntätigkeit in relevanten Verarbeitungsvorgängen liegt.
Unabhängig von der Personenzahl
§ 38 BDSG nennt weitere Fälle, in denen ein Datenschutzbeauftragter unabhängig von der Zahl der Personen zu benennen sein kann. Dazu gehören insbesondere Verarbeitungen, die eine Datenschutz-Folgenabschätzung erfordern, sowie bestimmte geschäftsmäßige Übermittlungen, anonymisierte Übermittlungen oder Markt- und Meinungsforschung.
Das sind keine Alltagssätze für die Website. Für Unternehmen heißt es einfacher: Wenn Datenverarbeitung ein ernstes Risiko für Betroffene haben kann oder selbst Teil des Geschäfts ist, sollte die DSB-Frage nicht nebenbei beantwortet werden.
Wenn keine Pflicht besteht
Auch ohne Datenschutzbeauftragten bleiben die Pflichten aus der DSGVO bestehen. Unternehmen brauchen weiterhin eine Rechtsgrundlage, Informationspflichten, AV-Verträge, passende Sicherheit, Löschregeln und einen Umgang mit Betroffenenrechten.
Eine kurze Aktennotiz oder Übersicht hilft, wenn später Fragen kommen.
Auch ohne DSB sollte intern feststehen, wer Datenschutzfragen annimmt und koordiniert.
Wachstum, neue Software, neue Geschäftsmodelle oder sensible Daten können die Lage ändern.
Manchmal ist eine freiwillige externe Lösung sinnvoll, auch wenn keine Pflicht besteht.
Angebot
Einmalig
Für Unternehmen, die eine erste klare Einschätzung zur Benennungspflicht brauchen.
Nach Aufwand
Für Unternehmen, die nach der Prüfung direkt die nächsten Schritte umsetzen möchten.
Monatlich
Für Unternehmen, die die Aufgabe dauerhaft extern besetzen möchten.
FAQ
In Deutschland ist § 38 BDSG wichtig: Eine Pflicht besteht, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Daneben können Art. 37 DSGVO und weitere Fälle des § 38 BDSG greifen.
Nein, so einfach ist es nicht. Entscheidend ist, wer regelmäßig und ständig mit automatisierter Verarbeitung personenbezogener Daten beschäftigt ist. Die konkrete Zählung sollte nachvollziehbar erfolgen.
Das ist die gängige Kurzform, aber rechtlich nicht ganz genau. § 38 BDSG spricht von in der Regel mindestens 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Doch, das kann vorkommen. Art. 37 DSGVO und bestimmte Fälle des § 38 BDSG können unabhängig von der 20-Personen-Regel eine Pflicht auslösen.
Dann sollte die Entscheidung dokumentiert werden. Die übrigen Datenschutzpflichten bleiben bestehen.
Ja. Die DSGVO erlaubt, dass der Datenschutzbeauftragte Beschäftigter ist oder die Aufgabe auf Grundlage eines Dienstleistungsvertrags übernimmt.
Nächster Schritt
Schicken Sie eine kurze Nachricht mit Branche, Unternehmensgröße, Zahl der Personen mit Zugriff auf personenbezogene Daten und den wichtigsten Verarbeitungsvorgängen. Dann lässt sich meist schnell einordnen, wie weiter vorzugehen ist.