Wann muss ein Datenschutzbeauftragter benannt werden?

Benennung des Datenschutzbeauftragten

Ein Datenschutzbeauftragter muss gem. Art. 37 DSGVO, wie folgt, benannt werden:

1. Die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird. Ausgenommen sind hiervon Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.
2. Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
3. Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 DSGVO (sensitive Daten) besteht.
4. Personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO verarbeitet werden

Unter besondere Kategorien von Daten gem. Art. 9 DSGVO fallen:

• Rassische und ethnische Herkunft (z.B. Bewerbungsfotos)
• Politische Meinung (z.B. Aktivitäten im Ehrenamt)
• Religiöse oder weltanschauliche Überzeugungen (z.B. Daten über Konfession)
• Gewerkschaftszugehörigkeit
• Genetische sowie biometrische Daten zur eindeutigen Identifikation (z.B. Fotos, Iris-Scan, Fingerabdruck-Scan)
• Gesundheitsdaten (z.B. Krankentage, Krankenscheine, BEM-Unterlagen, Ergebnis einer betriebsärztlichen Untersuchung)

Anmerkung:

Was bedeutet umfangreich?

Die DSGVO selbst definiert nicht was unter dem Begriff „umfangreich“ verstanden wird.

Zur Orientierung kann Erwägungsgrund 91 zur DSGVO herangezogen werden

• Verarbeitung großer Mengen von personenbezogener Daten
• Verarbeitung auf regionaler, nationaler oder supranationaler Ebene
• Bei der Verarbeitung großen Umfang neue Technologie einsetzt
• Anzahl der betroffenen Personen
• Hinzutreten kann als Aspekt die Dauer der Verarbeitung

Sind einzelne oder mehrere dieser Punkte hoch, so spricht dies für eine "umfangreiche" Überwachung bzw. Verarbeitung.

Was ist bedeutet Kerntätigkeit?

Erwägungsgrund 97 der DSGVO führt aus, dass sich die Kerntätigkeit eines Verantwortlichen im nicht-öffentlichen Bereich auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht.

Anmerkung: Die Verarbeitung personenbezogener Daten gilt in der Regel dann nicht als umfangreich, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt (vgl. Erwägungsgrund 91 der DSGVO). In der Zusammenschau mit dem BDSG ist die Folge, dass keine Datenschutz-Folgenabschätzung benötigt wird bei einem Gesundheitsberuf, Arzt, Rechtsanwalt wenn weniger als 10 Personen beschäftigt werden. Denn diese verarbeiten personenbezogene Daten nicht als ihre Haupttätigkeit/Kerntätigkeit.

Zu beachten ist, dass § 38 Abs. 1 BDSG ergänzend zu der DSGVO die Benennung eines Datenschutzbeauftragten vorsieht soweit:

• Mindestens 10 Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt werden, § 38 Abs. 1 S. 1 BDSG

Unabhängig von der Zahl der zur Verarbeitung Beschäftigten Personen:

• Soweit eine Pflicht zur Datenschutz-Folgenabschätzung besteht, § 38 Abs. 1 S. 2 BDSG
• Personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung, § 38 Abs. 1 S. 2 BDSG
• Personenbezogene Daten für Zwecke Markt – oder Meinungsforschung verarbeiten werden, § 38 Abs. 1 S. 2 BDSG

Datenschutzbeauftragter: Wann Pflicht?

Grundsätzlich gibt es keine gesetzlich geregelte Frist, in der ein Datenschutzbeauftragter zu benennen ist. Daher sollte dieser sofort benannt werden, wenn alle Voraussetzungen erfüllt sind.

Bereits erfolgte Benennungen nach dem BDSG bleiben bestehen. Die Stellung und Aufgaben des Datenschutzbeauftragten sind nach dem Maßstab der DSGVO auszurichten.

Formvorschriften für die Benennung eines Datenschutzbeauftragten

Die Formvorschriften ergeben sich direkt aus dem Gesetz. Da die DSGVO (Art. 37 DSGVO) und das BDSG (§ 38 Abs. 1 BDSG) lediglich von einer Benennung des Datenschutzbeauftragten sprechen, ist keine Schriftform bzw. schriftliche Benennung notwendig -  anders als früher bei der Bestellung eines Datenschutzbeauftragten nach § 4 f BDSG a.F.; hier verlangte das Gesetz explizit die schriftliche Form. 

Praxistipp: Aus Beweisgründen und zur Rechtsklarheit ist eine schriftliche Benennung eines Datenschutzbeauftragten jedoch weiterhin empfehlenswert.

Muss eine Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde erfolgen?

Eine Neuerung der DSGVO ist die Pflicht des Verantwortlichen oder Auftragsverarbeiter die Kontaktdaten ihres Datenschutzbeauftragten der zuständigen Aufsichtsbehörde zu melden, Art. 37 Abs. 7 DSGVO. Einige Landesdatenschutzbehörden bieten für die Meldung des Datenschutzbeauftragen eine Onlinemeldung an.

Muss der Datenschutzbeauftragte Schulungen einleiten?

Personenbezogene Daten sind ein kostbares Gut. Deshalb werden sie auch durch die Gesetzgebung besonders geschützt. Das bedeutet: Alle Mitarbeiter, die in Ihrem Unternehmen mit personenbezogenen Daten, beispielsweise von Kunden, Lieferanten, Kollegen oder Bewerbern arbeiten, haben die DSGVO sowie nationale Vorschriften, Gesetze und entsprechende Richtlinien und Regelungen des Unternehmens einzuhalten! Mit einem e-Training können Sie alle Mitarbeiter zu diesem sensiblen Thema schulen und so die korrekte Behandlung von persönlichen Daten in Ihrem Unternehmen sicherstellen.

Mehr zum Thema

Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde 

Handlungsbedarf beim Datenschutzbeauftragten aufgrund der DSGVO