SITTIG LAW Kanzlei Blog

Datenschutzbeauftragter bei sensiblen Daten: Wann ist er Pflicht?

Wer besondere Datenkategorien nach Art. 9 oder strafrechtliche Daten nach Art. 10 DSGVO in der Kerntätigkeit umfangreich verarbeitet, ist zur Benennung eines Datenschutzbeauftragten verpflichtet. Der Beitrag erklärt, welche Daten betroffen sind, wann die Pflicht greift und welche Bußgelder bei Verstößen drohen.
Inhaltsverzeichnis

Das Wichtigste in Kürze:

Was sind sensible Daten nach Art. 9 DSGVO?

Ab wann ist ein Datenschutzbeauftragter wegen der Verarbeitung sensibler Daten gesetzlich vorgeschrieben? Die Antwort liegt in der Verbindung dreier DSGVO-Normen: Art. 9 DSGVO (besondere Kategorien personenbezogener Daten), Art. 10 DSGVO (strafrechtliche Daten) und Art. 37 DSGVO (Benennungspflicht). Als erfahrene Kanzlei im Datenschutz und IT-Recht begleitet SITTIG LAW Unternehmen und Organisationen durch diese komplexen Anforderungen.

Im folgenden Beitrag erfahren Sie, welche Datenkategorien als besonders schützenswert gelten, wann die Benennungspflicht entsteht und welche praktischen Konsequenzen ein Verstoß hat.

Die Datenschutz-Grundverordnung unterscheidet zwischen gewöhnlichen personenbezogenen Daten – etwa Name, Adresse oder E-Mail-Adresse – und solchen Datenkategorien, die ein besonders hohes Risiko für die Grundrechte und Grundfreiheiten der betroffenen Personen tragen. Diese besonderen Kategorien sind in Art. 9 DSGVO aufgeführt.

Zu den besonderen Kategorien zählen: rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten (zur eindeutigen Identifizierung einer Person), Gesundheitsdaten sowie Daten zum Sexualleben oder der sexuellen Orientierung.

Der Gesetzgeber hat diesen Katalog bewusst eng und abschließend gefasst. Es können keine weiteren Kategorien durch Auslegung hinzugefügt werden. Allerdings sind auch indirekte Daten erfasst: Informationen, die mittelbar auf eine dieser Kategorien schließen lassen, unterfallen ebenfalls dem Schutz des Art. 9 DSGVO.

Warum sind gerade diese Daten so besonders schützenswert?

Hintergrund des erhöhten Schutzstandards ist das Diskriminierungsverbot. Daten über die ethnische Herkunft, die Religion oder die sexuelle Orientierung können, wenn sie in falsche Hände geraten, unmittelbar zur Diskriminierung eingesetzt werden. Biometrische Daten ermöglichen eine eindeutige Identifizierung von Personen; eine Kompromittierung ist praktisch nicht reversibel.

Gesundheitsdaten betreffen den intimsten Bereich der menschlichen Existenz. Bereits die Information, dass eine Person einen Arzt aufgesucht hat, gilt nach herrschender Auffassung als Gesundheitsdatum. Gleiches gilt für Angaben aus Fitness-Apps, Laborergebnisse oder Diagnosen. Für Arbeitgeber ist dies besonders relevant: Auch eine schlichte Krankmeldung fällt darunter.

Genetische Daten wiederum sind dadurch besonders sensibel, dass sie nicht nur die betroffene Person beschreiben, sondern auch Rückschlüsse auf biologische Verwandte zulassen. Eine Weitergabe genetischer Daten tangiert daher stets auch den Datenschutz Dritter.

Was regelt Art. 10 DSGVO – und warum steht er neben Art. 9?

Art. 10 DSGVO bildet eine systematische Ergänzung zu Art. 9 DSGVO. Er regelt die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten sowie entsprechende Sicherungsmaßregeln. Diese Daten sind nicht Teil des Katalogs in Art. 9 DSGVO, erfahren aber durch Art. 10 DSGVO eine eigenständige Schutzebene.

Verarbeitet werden dürfen solche Daten grundsätzlich nur unter behördlicher Aufsicht oder wenn eine Rechtsgrundlage nach Unions- oder Mitgliedstaatenrecht dies ausdrücklich gestattet. Für Privatunternehmen bedeutet dies: Ohne explizite gesetzliche Grundlage ist die Verarbeitung strafrechtlicher Daten unzulässig.

Wann entsteht die Pflicht zur Benennung eines Datenschutzbeauftragten?

Nach Art. 37 DSGVO ist ein Datenschutzbeauftragter zwingend zu benennen, wenn zwei Voraussetzungen kumulativ vorliegen:

Die Verarbeitung der sensiblen Daten muss die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters darstellen.

Die Verarbeitung muss umfangreich erfolgen, d.h. über bloße Routineaufgaben hinausgehen.

Der Begriff „Kerntätigkeit“ ist dabei enger zu verstehen als der Gesamtbetrieb eines Unternehmens. Gemeint sind die hauptsächlichen Geschäftsbereiche, die die strategische Ausrichtung prägen – nicht Unterstützungsprozesse wie die eigene Personalverwaltung oder Buchhaltung. Eine Arztpraxis, deren Kerngeschäft die Behandlung von Patienten ist, verarbeitet Gesundheitsdaten in der Kerntätigkeit; ein Handwerksbetrieb, der lediglich Lohnsteuerdaten seiner wenigen Mitarbeitenden verwaltet, hingegen nicht.

Was ist der Unterschied zwischen internem und externem Datenschutzbeauftragten?

Das DSGVO-Regime lässt beide Modelle zu. Nach Art. 37 Abs. 6 DSGVO kann der Datenschutzbeauftragte Beschäftigter des Verantwortlichen sein oder seine Aufgaben auf Grundlage eines Dienstleistungsvertrags als externer DSB erbringen.

Ein interner Datenschutzbeauftragter ist fest im Unternehmen integriert, verfügt über unmittelbares Insiderwissen und ist dauerhaft verfügbar. Dafür bringt er strukturelle Interessenkonflikte mit sich – er darf keine Aufgaben ausüben, die zu einem Interessenkonflikt führen, und unterliegt einem besonderen Abberufungsschutz.

Ein externer Datenschutzbeauftragter bietet hingegen typischerweise höhere fachliche Tiefe, branchenübergreifende Erfahrung und eine echte strukturelle Unabhängigkeit. Für viele kleine und mittlere Unternehmen – sowie für Organisationen, die keinen geeigneten internen Kandidaten vorweisen können – ist die externe Lösung die praktikablere und oft kosteneffizientere Variante.

Welche Aufgaben hat der Datenschutzbeauftragte nach Art. 39 DSGVO?

Der Aufgabenkatalog des Datenschutzbeauftragten ergibt sich aus Art. 39 DSGVO und umfasst mindestens:

  • Unterrichtung und Beratung des Verantwortlichen sowie der Beschäftigten über datenschutzrechtliche Pflichten
  • Überwachung der Einhaltung der DSGVO, anderer EU-Datenschutzvorschriften und der internen Datenschutzvorgaben
  • Sensibilisierung und Schulung der mit der Verarbeitung befassten Mitarbeiter
  • Beratung bei der Datenschutz-Folgenabschätzung (DSFA)
  • Zusammenarbeit mit und Anlaufstelle für die Aufsichtsbehörde

Wann dürfen sensible Daten überhaupt verarbeitet werden?

Art. 9 DSGVO statuiert ein grundsätzliches Verarbeitungsverbot. Die Verarbeitung ist nur ausnahmsweise zulässig, wenn einer der abschließend normierten Erlaubnistatbestände in Art. 9 Abs. 2 DSGVO greift. Alle Ausnahmetatbestände sind restriktiv auszulegen. Die praktisch bedeutsamsten sind:

  • Ausdrückliche Einwilligung der betroffenen Person – eine konkludente oder stillschweigende Einwilligung genügt nicht.
  • Verarbeitung zur Erfüllung arbeits- oder sozialrechtlicher Pflichten – erfordert eine entsprechende Rechtsgrundlage im Unions- oder nationalen Recht.
  • Schutz lebenswichtiger Interessen der Betroffenen oder einer anderen Person – greift nur, wenn die betroffene Person nicht in der Lage ist, ihre Einwilligung zu erteilen.
  • Verarbeitung zu Zwecken der Gesundheitsvorsorge, Arbeitsmedizin oder der Verwaltung von Systemen der Sozialversicherung – gebunden an Geheimhaltungspflichten.

Welche Folgen drohen bei Verstößen gegen die Benennungspflicht?

Ein Verstoß gegen die Pflicht zur Benennung eines Datenschutzbeauftragten nach Art. 37 DSGVO ist bußgeldbewehrt. Nach Art. 83 DSGVO können Aufsichtsbehörden Geldbußen verhängen.

Neben dem unmittelbaren Bußgeldrisiko entstehen durch das Fehlen eines Datenschutzbeauftragten strukturelle Compliance-Defizite: Ohne DSB werden Meldepflichten bei Datenpannen, die Pflicht zur Datenschutz-Folgenabschätzung und die Überwachung der technisch-organisatorischen Maßnahmen nicht koordiniert – was weitere Verstöße und Bußgelder nach sich ziehen kann.

Was tun, wenn unklar ist, ob die Benennungspflicht besteht?

In vielen Fällen ist die Frage, ob ein Datenschutzbeauftragter benannt werden muss, keine triviale Subsumtion, sondern erfordert eine individuelle Risikoanalyse. Folgende Schritte sind empfehlenswert:

  • Inventarisierung aller Verarbeitungstätigkeiten im Unternehmen und Identifikation derjenigen, die sensible Daten nach Art. 9 oder Art. 10 DSGVO betreffen.
  • Prüfung, ob diese Verarbeitungen die Kerntätigkeit des Unternehmens prägen oder lediglich Nebenaktivitäten darstellen.
  • Bewertung des „Umfangs“ (Anzahl der Betroffenen, Dauer, geographische Ausdehnung, Datenmenge).
  • Berücksichtigung nationaler Anforderungen: § 38 Abs. 1 BDSG sieht für nichtöffentliche Stellen eine Benennungspflicht bereits ab 20 ständig mit der automatisierten Datenverarbeitung beschäftigten Personen vor.
  • Dokumentation der Prüfung im Verzeichnis der Verarbeitungstätigkeiten.
Häufig gestellte Fragen
In der Praxis wird dies für die meisten Arztpraxen zu bejahen sein. Die Verarbeitung von Patientendaten stellt Gesundheitsdaten im Sinne von Art. 9 DSGVO dar – und damit besondere Datenkategorien, deren umfangreiche Verarbeitung nach Art. 37 DSGVO unmittelbar die Benennungspflicht auslöst. Da die Verarbeitung von Patientendaten zur Kerntätigkeit jeder Arztpraxis gehört, dürfte dieses Merkmal regelmäßig erfüllt sein. Ergänzend greift § 38 BDSG, sobald mindestens 20 Personen ständig mit automatisierter Datenverarbeitung beschäftigt sind – für größere Praxen und MVZs also ein zusätzlicher Anknüpfungspunkt. Kleinere Einzel- oder Gemeinschaftspraxen sollten die Frage gleichwohl individuell prüfen lassen, da der Umfang der Verarbeitung im Einzelfall variieren kann.
Art. 9 DSGVO schützt besondere Kategorien personenbezogener Daten (Gesundheit, Religion, Biometrie usw.). Art. 10 DSGVO regelt eigenständig die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten. Beide Normen werden in Art. 37 Abs. 1 lit. c DSGVO als gleichermaßen benennungspflichtauslösend bezeichnet.
Ja. Nach Art. 37 DSGVO sind die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und der zuständigen Aufsichtsbehörde mitzuteilen. In Deutschland erfolgt dies über die Meldeportale der Landesbeauftragten für Datenschutz.
Unternehmensgruppen dürfen nach Art. 37 DSGVO einen gemeinsamen Datenschutzbeauftragten bestellen, wenn er von jeder Niederlassung aus leicht erreichbar ist – räumlich, zeitlich und sprachlich.
Ja. Die freiwillige Benennung ist Ausdruck des Accountability-Prinzips und kann bei der Aufsichtsbehörde als Compliance-Signal wirken. Praktisch schützt sie vor strukturellen Durchsetzungsdefiziten.
Nein. Art. 9 DSGVO setzt eine ausdrückliche Einwilligung voraus.
Standort Hamburg
Hauptsitz
Martinistraße 11
20251 Hamburg
Tel.: +49 (0) 40 808 125 550
Fax: +49 (0) 40 808 125 559​
Standort Kassel
Zweigstelle
Motzstraße 1
34117 Kassel
Tel.: +49 (0) 561 510 053 80
Fax: +49 (0) 561 510 053 99
Standort Frankfurt
Zweigstelle
Oeder Weg 11
60318 Frankfurt am Main
Tel.: +49 (0) 69 710 471 070
Fax: +49 (0) 69 710 471 079
SITTIG LAW
Rechtsanwalt.
Fachanwalt für Strafrecht.
Fachanwalt für IT-Recht.

[email protected]
Standort Hamburg
Hauptsitz
Martinistr. 11
20251 Hamburg
Tel.: +49 (0) 40 808 125 550
Fax: +49 (0) 40 808 125 559​

Kontaktformular