UPDATE:
Mit Wirkung vom 26.11.2019 wurde durch eine Gesetzesänderung die im nachstehenden Artikel erörterte Mitarbeiterschwelle von 10 Personen auf 20 Personen angehoben. 

28. November 2018

Ein Datenschutzbeauftragter ist jedenfalls dann zu benennen, wenn ein Unternehmen mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Aber auch unterhalb dieser Schwelle kann in bestimmten Fällen ein Datenschutzbeauftragter erforderlich sein.

Ein Datenschutzbeauftragter ist in folgenden Fällen zu benennen:

• es werden in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt
• die Kerntätigkeit des Unternehmens liegt darin, Verarbeitungsvorgänge vorzunehmen, die aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, bspw. Auskunfteien, Partnervermittlungen, Marketing auf Basis detaillierter Kunden- bzw. Interessentenprofile
• die Kerntätigkeit des Unternehmens liegt in der umfangreichen Verarbeitung sensibler Daten nach Art. 9 und 10 DSGVO, nämlich personenbezogener Daten folgender Art:
  • aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgeht
  • genetische Daten
  • biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person
  • Gesundheitsdaten (wobei jedenfalls eine kleinere Arztpraxis üblichen Zuschnitts nicht erfasst ist)
  • Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
  • Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln
• es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen; eine Datenschutz-Folgeabschätzung ist bei Verarbeitungen – insbesondere unter Verwendung neuer Technologien – mit voraussichtlich hohem Risiko für die Rechte und Freiheiten natürlicher Personen erforderlich; eine Liste der Datenschutzbehörden mit den Verarbeitungstätigkeiten, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, finden Sie hier.
• es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder der anonymisierten Übermittlung (bspw. Auskunfteien oder Adresshändler) oder für Zwecke der Markt- oder Meinungsforschung verarbeitet

Autor: Rechtsanwalt Marc Dimolaidis

WEITERE ARTIKEL ZUM DATENSCHUTZRECHT:

• Wie lange dürfen personenbezogene Daten gespeichert werden
• EU-Datenschutzgrundverordnung – wesentliche Neuerungen
• LG Düsseldorf: Einbindung des Facebook „Like“ Buttons ist unzulaessig
• Datenschutzerklaerung: erhöhtes Risiko bei Fehlern