Alle Unternehmen, unabhängig von ihrer Größe, müssen die Datenschutzvorgaben beachten. Unternehmen, die in der Regel mindestens zwanzig Personen beschäftigen, die regelmäßig personenbezogene Daten automatisiert verarbeiten, sind zudem verpflichtet, einen Datenschutzbeauftragten zu bestellen. Eine weitere Pflicht zur Bestellung besteht, wenn besondere Kategorien personenbezogener Daten in größerem Umfang verarbeitet werden oder eine Datenschutz-Folgenabschätzung erforderlich ist.

Die meisten privaten Unternehmen (außer z. B. den Bereichen Telekommunikation und Post) unterliegen der Aufsicht der Datenschutzaufsichtsbehörden für den nicht-öffentlichen Bereich. Diese sind in der Regel bei den Landesdatenschutzbehörden angesiedelt oder, je nach Bundesland, auch bei anderen Landesbehörden wie dem Innenministerium. Die Aufsichtsbehörden sind gesetzlich dazu verpflichtet, Meldungen über Datenschutzverstöße zu prüfen, Verstöße zu bewerten und gegebenenfalls Bußgelder zu verhängen.

Seit dem Jahr 2009 wurden die Anforderungen an den Datenschutz deutlich verschärft, insbesondere mit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018. Seither verfügen die Aufsichtsbehörden über erweiterte Befugnisse, um Kontrollen und Prüfungen durchzuführen.

Egal, ob Kleinunternehmer oder Großkonzern –
eine Prüfung kann jederzeit unangekündigt erfolgen.

Bereits seit Jahren führen die Datenschutzbehörden in allen Bundesländern stichprobenartige Prüfungen durch. Dabei wird unter anderem geprüft:

• Wer als Datenschutzbeauftragter bestellt ist und seit wann
• Ob die Tätigkeit haupt- oder nebenberuflich ausgeübt wird
• Ob weiteres Personal für die Umsetzung der Datenschutzvorgaben vorhanden ist
• Wie die notwendige Fachkunde erworben und kontinuierlich ausgebaut wird

Haftung, Strafen und Imageschäden bei Datenschutzverstößen