Datenschutzbeauftragter ab 10 oder ab 20 Personen?

Die immer wieder kehrende Frage, ab wann ist ein Datenschutzbeauftragter zu bestellen, hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) wie folgt konkretisiert:

Ergänzend zu den Voraussetzungen des Art. 37 Abs. 1 lit. b und c DSGVO müssen nichtöffentliche Stellen – wie die unter dem Dach organisierten Physiotherapeuten – gemäß § 38 BDSG Datenschutzbeauftragte benennen, wenn sie

• in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen,

• unabhängig von der Anzahl der Personen, die mit der Verarbeitung von personen-bezogenen Daten beschäftigt sind, Verarbeitungen vornehmen, die einer Daten-schutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen

oder

• unabhängig von der Anzahl der Personen, die mit der Verarbeitung von personen-bezogenen Daten beschäftigt sind, personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeiten.

Dabei stellt sich die Frage, wann eine Person mit der Datenverarbeitung im Sinne der DSGVO bzw. des BDSG „beschäftigt“ ist. Unstreitig zählen hierzu auch Teilzeitkräfte und Leiharbeitnehmer, denen im Rahmen ihrer beruflichen Aufgabenstellung die Verarbeitung personenbezogener Daten übertragen ist, sowie Beschäftigte mit Mischarbeitsplätzen

Ein völlig untergeordneter Anteil von Datenverarbeitung an der Aufgabenstellung eines Beschäftigten dürfte aber nicht genügen. Dies wäre z. B. dann der Fall, wenn der oder die konkrete Beschäftigte nur vereinzelt Schreiben mit personenbezogenen Daten erstellt. Würden auch solche Beschäftigte in der Zählung erfasst, wäre die Verpflichtung zur Benennung eines Datenschutzbeauftragten in einem Maße ausgedehnt, wie es nicht der gesetzgeberischen Absicht entspricht.