Jedes größere Unternehmen und jede Behörde muss laut Artikel 37 der DSGVO einen Datenschutzbeauftragten bestellen. Diese Pflicht besteht, soweit in einem Unternehmen oder einer Behörde i. d. R. mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Diese Regelung gilt nicht, wenn Verantwortliche oder Auftragsverarbeiter Verarbeitungen durchführen, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen. In diesem Fall ist eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter zu bestellen, und zwar unabhängig von der Anzahl der Personen, die mit der Verarbeitung befasst sind.
Eine solche Datenschutz-Folgenabschätzung ist notwendig, wenn
- personenbezogene Daten "besonderer Kategorien" wie genetische Daten oder Gesundheitsdaten (Art. 9 DSGVO) oder
- personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO) verarbeitet werden.
Ein Datenschutzbeauftragter muss ebenfalls unabhängig von der Anzahl der mit der Verarbeitung beschäftigter Personen benannt werden, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.
Neben den gesetzlich zwingenden Aufgaben ist es zulässig, den Tätigkeitskreis Datenschutzbeauftragter auf freiwilliger Basis zu erweitern. Er kann dann z. B. Funktionen übernehmen, die das Gesetz eigentlich dem Verantwortlichen, d. h. der Geschäfts- oder Behördenleitung, zuweist. Das kann sinnvoll sein, um den Verantwortlichen zu entlasten und um die Kompetenzen in einer Hand zu bündeln.
Das ist nur ein Ausschnitt aus dem Produkt Haufe Personal Office Platin. Sie wollen mehr?
Jetzt kostenlos 4 Wochen testen
Anmelden und Beitrag in meinem Produkt lesen