DSGVO: Brauche ich als Freiberufler einen Datenschutzbeauftragten?

Viele Freiberufler haben Angst, dass sie womöglich durch das neue Datenschutzrecht dazugezwungen sind, einen Datenschutzbeauftragten zu benennen. Doch tatsächlich hat sich im Vergleich zum alten Recht gar nicht so viel geändert. Nur in absoluten Ausnahmefällen sind auch Einzelkämpfer dazu verpflichtet, einen Datenschutzbeauftragten zu benennen.

  • Eine Checkliste zur DSGVO und zum neuen Datenschutzrecht für Selbstständige und Freiberufler finden Sie hier. Was sie beim Datenschutz auf Ihrer Webseite beachten müssen, lesen Sie hier.
  • Das Bayerischen Landesamt für Datenschutzaufsicht hat zudem ein Sofortmaßnahmen-Paket Datenschutz-Grundverordnung herausgebracht, das einen guten Überblick bietet.
  • Bei weiteren Fragen können Sie mich gerne in meiner Funktion als externen Datenschutzbeauftragten (TÜV) kontaktieren.
Foto: Thorben Wengert_pixelio.de

Nach §38 Bundesdatenschutzgesetz-neu (BDSG-neu) muss ein Datenschutzbeauftragter benannt werden, wenn sich in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Das ist erst einmal der Grundsatz und bedeutet, dass Freiberufler in der Regel keinen Datenschutzbeauftragten brauchen, solange sie weniger als zehn Mitarbeiter haben. Als Mitarbeiter gelten neben den Vollzeitkräften auch Teilzeitmitarbeiter, freie Mitarbeiter und Praktikanten.

Doch selbst wenn die Firma auf diese Weise größer wird, kommt es auf die Zahl der Mitarbeiter an, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Also nicht die Putzfrau, die öfter mal das Büro saubermacht, oder der Praktikant, der gerade lernt, wie man Photoshop benutzt.

Es gibt allerdings Ausnahmen: Wenn eine Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO verlangt wird, dann ist schon ab einer Personen ein Datenschutzbeauftragter erforderlich. Diese Datenschutz-Folgenabschätzung ist immer dann vorgeschrieben, wenn besondere Kategorien von Daten verarbeitet werden, etwa Gesundheitsdaten. Das würde dann zum Beispiel für kleine Arztpraxen oder Apotheken gelten.

Da aber in Art. 37 Abs. 1 c DSGVO darauf hingewiesen wird, dass ein Datenschutzbeauftragter benannt werden muss, wenn die „Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten“ liegt, sind die meisten kleinen Gesundheitsbetriebe (Ein-Mann-Arztpraxen oder Apotheken) davon ausgeschlossen. Im Erwägungsgrund 91 DS-GVO heißt es in Satz 4: „Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.

Eine weitere Ausnahme gilt dann, wenn die personenbezogenen Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Klassischerweise geht es hier um Auskunfteien oder Adresshandel. Auch wenn es so scheinen mag, sind hingegen Vertriebler, die im Auftrag Kontakt zu potenziellen Kunden herstellen, nicht davon umfasst, Auch für Online-Händler gilt das nicht, da deren Haupttätigkeit der Vertrieb von Produkten ist.

Henning Zander

Über den Autor Henning Zander

Henning Zander ist Wirtschaftsjournalist und externer Datenschutzbeauftragter (TÜV). Er arbeitet u.a. für FOCUS-Business, Legal Tribune Online und das Anwaltsblatt. Er ist Autor des Buches Startup für Einsteiger

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.