Benennung Datenschutzbeauftragter und Meldung an die Aufsichtsbehörde

Christopher Schmieg
Global Director Data Privacy & Digital Risks bei Bucherer AG | Rechtsanwalt

Kapitel

Aufgaben und Funktion des Datenschutzbeauftragten nach der DSGVO
Wann muss ein Datenschutzbeauftragter benannt werden?
Der Kündigungsschutz des Datenschutzbeauftragten
Der externe Datenschutzbeauftragte
Sinnhaftigkeit eines Datenschutzbeauftragten ohne DSGVO-Verpflichtung

Datenschutzbeauftragter: Pflicht oder Kür? — Bild: mauritius images / Juice Images / Ian Lishman

Ab welcher Größe (Betriebsgröße) ist ein Datenschutzbeauftragter gemäß BDSG zu bestellen und muss dieser der Aufsichtsbehörde gemeldet werden?

Im BDSG konvertiert sich die Frage „Ab wann wird ein Datenschutzbeauftragter benötigt?“ in „Ab wie viel Mitarbeiter ist er nötig?“ – zumindest teilweise. Als Grundregel ist hier festgelegt, dass ein Datenschutzbeauftragter für Unternehmen Pflicht ist, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Wie verhält sich die Anzahl der Datenschutzbeauftragte bei Unternehmensgruppen und verbundene Gesellschaften, sind mehrere Datenschutzbeauftragte erforderlich sind?

Wenn ein Unternehmen die Voraussetzungen der DSGVO oder des BDSG erfüllt, muss es einen Datenschutzbeauftragten bestellen. Ist bei Unternehmensgruppen für jedes Teilunternehmen ein eigener Datenschutzbeauftragter erforderlich oder genügt ein Konzerndatenschutzbeauftragter?

Die Antwort findet sich in Art. 37 Abs. 2 DSGVO. Ein gemeinsamer Datenschutzbeauftragter ist bei Unternehmensgruppen durchaus zulässig. Voraussetzung ist allerdings, dass dieser von jeder Niederlassung aus leicht erreichbar ist und keine Wissens- und Sprachbarrieren in den einzelnen Ländern bestehen. Der Datenschutzbeauftragte muss also in der Lage sein, die nationalen Gesetze gleichermaßen abzudecken und mit den Betroffenen zu kommunizieren.

Die DSGVO schreibt unabhängig von der Unternehmensgröße weitere Kriterien vor, die zur Bestellung eines Datenschutzbeauftragten führen können:

Benennung des Datenschutzbeauftragten

Ein Datenschutzbeauftragter muss gem. Art. 37 DSGVO, wie folgt, benannt werden:

Die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird. Ausgenommen sind hiervon Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.
Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 DSGVO (sensitive Daten) besteht.
Personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO verarbeitet werden

Unter besondere Kategorien von Daten gem. Art. 9 DSGVO fallen:

Rassische und ethnische Herkunft (z.B. Bewerbungsfotos)
Politische Meinung (z.B. Aktivitäten im Ehrenamt)
Religiöse oder weltanschauliche Überzeugungen (z.B. Daten über Konfession)
Gewerkschaftszugehörigkeit
Genetische sowie biometrische Daten zur eindeutigen Identifikation (z.B. Fotos, Iris-Scan, Fingerabdruck-Scan)
Gesundheitsdaten (z.B. Krankentage, Krankenscheine, BEM-Unterlagen, Ergebnis einer betriebsärztlichen Untersuchung)

Hinweis:

Was bedeutet umfangreich?

Die DSGVO selbst definiert nicht, was unter „umfangreich“ zu verstehen ist.

Zur Orientierung kann Erwägungsgrund 91 zur DSGVO herangezogen werden

Verarbeitung großer Mengen von personenbezogener Daten
Verarbeitung auf regionaler, nationaler oder supranationaler Ebene
Bei der Verarbeitung großen Umfang neue Technologie einsetzt
Anzahl der betroffenen Personen
Hinzutreten kann als Aspekt die Dauer der Verarbeitung

Sind einzelne oder mehrere dieser Punkte hoch, so spricht dies für eine „umfangreiche" Überwachung bzw. Verarbeitung.

Was ist bedeutet Kerntätigkeit?

Erwägungsgrund 97 der DSGVO führt aus, dass sich die Kerntätigkeit eines Verantwortlichen im nicht-öffentlichen Bereich auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht.

Hinweis: Die Verarbeitung personenbezogener Daten gilt in der Regel dann nicht als umfangreich, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt (vgl. Erwägungsgrund 91 der DSGVO). In der Zusammenschau mit dem BDSG ist die Folge, dass keine Datenschutz-Folgenabschätzung benötigt wird bei einem Gesundheitsberuf, Arzt, Rechtsanwalt wenn weniger als 10 Personen beschäftigt werden. Denn diese verarbeiten personenbezogene Daten nicht als ihre Haupttätigkeit/Kerntätigkeit.

Zu beachten ist, dass § 38 Abs. 1 BDSG ergänzend zu der DSGVO die Benennung eines Datenschutzbeauftragten vorsieht, soweit:

Mindestens 20 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt werden, § 38 Abs. 1 S. 1 BDSG

Unabhängig von der Zahl der zur Verarbeitung beschäftigten Personen:

Soweit eine Pflicht zur Datenschutz-Folgenabschätzung besteht, § 38 Abs. 1 S. 2 BDSG
Personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung, § 38 Abs. 1 S. 2 BDSG
Personenbezogene Daten für Zwecke Markt – oder Meinungsforschung verarbeiten werden, § 38 Abs. 1 S. 2 BDSG

Datenschutzbeauftragter: Frist zur Benennung?

Grundsätzlich gibt es keine gesetzlich geregelte Frist, in der ein Datenschutzbeauftragter zu benennen ist. Dies führt aber dazu, dass dieser sofort benannt werden muss, wenn die Voraussetzungen erfüllt sind.

Bereits erfolgte Benennungen nach dem BDSG bleiben bestehen. Die Stellung und Aufgaben des Datenschutzbeauftragten sind nach dem Maßstab der DSGVO auszurichten.

Formvorschriften für die Benennung eines Datenschutzbeauftragten

Die Formvorschriften ergeben sich unmittelbar aus dem Gesetz. Da die DSGVO (Art. 37 DSGVO) und das BDSG (§ 38 Abs. 1 BDSG) lediglich von einer Bestellung des Datenschutzbeauftragten sprechen, ist keine Schriftform bzw. schriftliche Bestellung erforderlich - anders als früher bei der Bestellung eines Datenschutzbeauftragten nach § 4 f BDSG a.F.; hier verlangte das Gesetz ausdrücklich die Schriftform.

Praxistipp: Aus Beweisgründen und zur Rechtsklarheit ist eine schriftliche Bestellung des Datenschutzbeauftragten jedoch weiterhin zu empfehlen.

Muss eine Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde erfolgen?

Eine Neuerung der DSGVO ist die Pflicht des Verantwortlichen oder Auftragsverarbeiter die Kontaktdaten ihres Datenschutzbeauftragten der zuständigen Aufsichtsbehörde zu melden, Art. 37 Abs. 7 DSGVO. Einige Landesdatenschutzbehörden bieten für die Meldung des Datenschutzbeauftragen eine Onlinemeldung an.

Muss der Datenschutzbeauftragte Schulungen einleiten?

Personenbezogene Daten sind ein kostbares Gut. Deshalb werden sie auch durch die Gesetzgebung besonders geschützt. Das bedeutet: Alle Mitarbeiter, die in Ihrem Unternehmen mit personenbezogenen Daten, beispielsweise von Kunden, Lieferanten, Kollegen oder Bewerbern arbeiten, haben die DSGVO sowie nationale Vorschriften, Gesetze und entsprechende Richtlinien und Regelungen des Unternehmens einzuhalten! Mit einem e-Training können Sie alle Mitarbeiter zu diesem sensiblen Thema schulen und so die korrekte Behandlung von persönlichen Daten in Ihrem Unternehmen sicherstellen.

1
2(current)
3
4
5

Meistgelesene beiträge

Neueste beiträge

EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024
Erster Bericht für den Carbon Border Adjustment Mechanism fällig

16.01.2024

Wann muss ein Datenschutzbeauftragter benannt werden?