Die Datenschutz‑Grundverordnung (DSGVO) verpflichtet Unternehmen zur rechtmäßigen, transparenten und sicheren Verarbeitung personenbezogener Daten. Verstöße können gemäß Art. 83 DSGVO mit Bußgeldern von bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes geahndet werden.

Ergänzend regelt das Bundesdatenschutzgesetz (BDSG‑neu) insbesondere nationale Anforderungen, unter anderem zur Bestellung eines Datenschutzbeauftragten und zu besonderen Verarbeitungssituationen.

Ein weit verbreiteter Irrglaube ist, dass Datenschutz erst ab 20 Mitarbeitenden relevant sei. Tatsächlich ist lediglich die formale Benennung eines Datenschutzbeauftragten an bestimmte Voraussetzungen geknüpft.

Unabhängig davon ist jedes Unternehmen verpflichtet:

• Datenschutzprozesse aufzubauen
- Verarbeitungsverzeichnisse zu führen
• Mitarbeitende mindestens einmal jährlich zu unterweisen
• Betroffenenrechte umzusetzen
• Datenschutzvorfälle korrekt zu behandeln
• Auftragsverarbeitungsverträge mit Dienstleistern abzuschließen

In der Praxis fehlen häufig:

• vollständige Verzeichnisse von Verarbeitungstätigkeiten
• regelmäßige Datenschutzunterweisungen
- dokumentierte Prozesse für Auskunftsersuchen
• Konzepte zum Umgang mit Datenpannen
• Auftragsverarbeitungsverträge
• geprüfte Datenschutzerklärungen für Webseiten

Diese Lücken stellen erhebliche rechtliche und wirtschaftliche Risiken dar.

Viele Unternehmen erwägen, einen internen Datenschutzbeauftragten zu benennen. Dabei entstehen hohe Personalkosten, laufende Weiterbildungskosten und organisatorische Risiken.

Interne Datenschutzbeauftragte genießen einen besonderen Kündigungsschutz und sind selbst nach Abberufung oft über ein Jahr faktisch unkündbar.