Benennungspflicht DSB

Thomas · 15. Mai 2025 um 07:07

Hallo zusammen,

es gibt ja die Grenze von 20 Mitarbeitern, die regelmäßig mit DV betraut sind, ab der ein DSB benannt werden muss.
Welche Zahl wird da zu Grunde gelegt. Die Anzahl der Vollzeitstellen gem. einem Stellenplan oder ist die effektive Anzahl der Mitarbeiter die Grundlage. Eine 100% - Stelle kann ja auf mehrere Teilzeitkräfte aufgeteilt werden.
Weiß da jemand was dazu?

VG
Thomas

Alex · 15. Mai 2025 um 08:53

Moin Thomas,

in § 38 BDSG steht - wie von dir schon erwähnt die Regelung mit den 20MA, genauer heißt es dort in Satz 1 “[…] soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.”.

“Ständig” ist hier nach Behördenmeinung dann der Fall, wenn dies als Teil der Kerntätigkeit geschieht. Also, dass jede Person, die regelmäßig mit personenbezogenen Daten arbeitet, egal ob es sich um 20 Vollzeit-, oder 20 Teilzeitstellen handelt, dem Limit anzurechnen ist. Es geht um die Personen selber, nicht die Art ihrer Einstellung oder Zuteilung.

Im fiktiven Extrem kann das heißen:

Unternehmen 1 mit 1.000MA, von denen aber 995MA in der Fertigung arbeiten und dort keine PB Daten erhalten, braucht zumindest unter der Mitarbeitergrenze keinen DSB.

Unternehmen 2 mit 20MA, die alle nur jeweils 1 Tag die Woche arbeiten, aber alle mit personenbezogenen Daten arbeiten, braucht bzgl. der Mitarbeitergrenze vermutlich einen DSB, weil diese 20 “ständig” mit PB Daten arbeiten und es ihre Kerntätigkeit darstellt.

Ausnahmen für “ständig” und “in der Regel” könnten wie folgt aussehen:

Wenn in Unternehmen 1, die 995 MA, alle einen Tag in einer anderen Abteilung (die PB Daten verarbeitet) testweise arbeiten um zu schauen ob sie wechseln wollen. Dann ist nicht von Regelmäßigkeit auszugehen.
Wenn Unternehmen 2 nur temporär 20MA hat, weil eine Mitarbeiterin zum Ende des Monats gekündigt hat und ihren Ersatz einarbeitet, kann ggfs. von einer DSB-Bestellung abgesehen werden, weil es eine klar definierte temporäre Situation ist.

Darüber hinaus gibts natürlich viele andere Möglichkeiten in die DSB Pflicht reinzurutschen, die oft aus der Art der Verarbeitung oder Daten begründet wird.

SchutzZone · 15. Mai 2025 um 11:01

Hi Thomas,

bei der Bemessung der Anzahl der Beschäftigten werden und Praktikanten sowie Beschäftigte im Home-Office oder in der Telearbeit vollständig berücksichtigt.

Voll- und Teilzeitkräfte
Leiharbeitnehmer
Auszubildende,
freie Mitarbeiter
Praktikanten
Beschäftigte im Homeoffice
Mitarbeiter Telearbeit

vollständig berücksichtigt. Wichtig dabei ist, dass die Mitarbeiter regelmäßig und automatisiert Daten verarbeiten. Dies liegt zum Beispiel bereits dann vor, wenn die Personen ständig Zugang zu E-Mail-Systemen oder anderen Softwareprogrammen im Bereich Buchhaltung, Marketing oder dem Sales-Bereich haben. Nicht gemeint sind Personen, die nichts oder nur selten mit der umfangreichen Verarbeitung personenbezogener Daten zu tun haben, wie Reinigungskräfte, Lagerarbeiter oder LKW-Fahrer. Sinken die Mitarbeiter kurzzeitig auf eine Anzahl unterhalb der Grenze von zwanzig Mitarbeitern führt dies nicht zum Wegfall der Benennungspflicht. Entscheidend ist der durchschnittliche Personalbestand innerhalb eines Geschäftsjahres. Auch bei Unterschreiten der 20-Mitarbeiter-Schwelle gibt es weitere Voraussetzungen, wann ein Datenschutzbeauftragter verpflichtend zu benennen ist, z.B. wenn eine Datenschutz-Folgenabschätzung pflichtgemäß durchgeführt wird oder wenn geschäftsmäßig Daten übermittelt werden, z.B. bei SaaS- oder App-Anbietern

Thomas · 16. Mai 2025 um 04:57

Vielen Dank für Eure Rückmeldungen. Ich bin eigentlich immer davon ausgegangen, dass die Anzahl der “Nasen” ausschlaggebend ist und nicht unmittelbar die Anzahl der Vollzeitplanstellen.