Datenschutzbeauftragter nach DSGVO

Zusammenfassung

 

Überblick

Der betriebliche Datenschutzbeauftragte spielt in der EU-einheitlichen Gesetzgebung der DSGVO eine entscheidende Rolle in der betrieblichen Selbstkontrolle nichtöffentlicher Unternehmen in Bezug auf die Einhaltung der datenschutzrechtlichen Vorgaben. Dieser Beitrag informiert über die Pflicht zur Bestellung eines Datenschutzbeauftragten im Wohnungsunternehmen, dessen Rechtsstellung und Aufgaben.

1 Bestellung eines Datenschutzbeauftragten

1.1 Bestellpflicht nach DSGVO und BDSG

1.1.1 Nach Art. 37 DSGVO

Gemäß der DSGVO besteht für nichtöffentliche Unternehmen in folgenden Fällen eine Pflicht zur Bestellung eines betrieblichen Datenschutzbeauftragten:

  • Die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung von betroffenen Personen im großen Umfang erforderlich machen oder
  • die Kerntätigkeit des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO.

Die Bestellpflicht entsteht unter je 2 Voraussetzungen:

  • Die eine Bestellpflicht auslösende Verarbeitung personenbezogener Daten muss zunächst zur Kerntätigkeit des Unternehmens oder auch des Auftragsverarbeiters gehören.

    Unter Kerntätigkeit ist diejenige Tätigkeit zu verstehen, die der Verwirklichung der Unternehmensziele, d. h. regelmäßig dem Unternehmensgegenstand dient.

  • Darüber hinaus muss die Datenverarbeitung bestimmte inhaltliche Voraussetzungen erfüllen. Dies ist zum einen die systematische Beobachtung im Sinne von Art. 37 Abs. 1 lit. b DSGVO und zum anderen die umfangreiche Verarbeitung von besonderen Arten personenbezogener Daten im Sinne von Art. 37 Abs. 1 lit. c DSGVO.

    Als "systematische Beobachtung" in diesem Sinne ist eine regelmäßige und strukturierte Auswertung personenbezogener Daten, insbesondere die Bildung von Profilen, zu verstehen. Diese Form der Datenverarbeitung sollte für Unternehmen der Wohnungswirtschaft eher untypisch sein. Die Regelung betrifft vielmehr Wirtschaftsauskunfteien oder auch Versicherungsgesellschaften.

Wohnungsunternehmen werden kaum unter die Bestellpflicht nach Art. 37 Abs. 1 lit. c DSGVO fallen. Zwar können Wohnungsunternehmen vereinzelt besondere Arten personenbezogener Daten verarbeiten. Dies geschieht jedoch in der Regel nicht in einem umfangreichen Ausmaß. Die Bestellpflicht nach Art. 37 Abs. 1 lit. c DSGVO greift vor allem bei Unternehmen aus dem Gesundheitssektor, wie z. B. Krankenhäuser.

Für Wohnungsunternehmen wird sich die Pflicht zur Bestellung eines Datenschutzbeauftragten regelmäßig nicht direkt aus der DSGVO ergeben. Es gilt jedoch, auch die Regelungen des Bundesdatenschutzgesetzes (BDSG) zu beachten.

1.1.2 Nach Bundesdatenschutzgesetz

Auch im Hinblick auf die Bestellpflicht existiert eine Öffnungsklausel in Art. 37 Abs. 4 Satz 1 DSGVO, die dem nationalen Gesetzgeber das Recht auf weitergehende Regelungen einräumt. Die Öffnungsklausel beschränkt den Gesetzgeber jedoch auf die Formulierung zusätzlicher Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist. Eine von der DSGVO abweichende Aufgaben- oder Rechtsstellung kann von nationalen Gesetzgebern nicht formuliert werden.

Das Bundesdatenschutzgesetz ergänzt in § 38 die Regelungen der DSGVO zur Bestellpflicht. Die Benennung eines Datenschutzbeauftragten ist demnach auch in folgenden Fällen erforderlich:

  • Es werden in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt oder
  • es werden Verarbeitungen vorgenommen, die einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO unterliegen oder
  • es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

Unter Erwähnung von Art. 37 Abs. 1 lit. b und c DSGVO bestimmt das BDSG, dass eine nichtöffentliche Stelle dann einen Datenschutzbeauftragten zu bestellen hat, wenn in der Regel mindestens 10 Personen ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind. Dies gilt unabhängig von Umfang und Inhalt der Tätigkeit. Es zählt allein die Anzahl der mit der Datenverarbeitung beschäftigten Personen.

Sofern Unternehmen Verarbeitungen vornehmen, die einer Datenschutzfolgenabschätzung nach Art. 35 DSGVO bedürfen oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder zur Markt- und Meinungsforschung verarbeiten, muss unabhängig von der Anzahl der Mitarbeiter ein Datenschutzbeauftragter bestellt werden. Dies ist bei Wohnungsunternehmen nicht der Fall.

Die Pflicht zur Bestellung eines Datenschutzbeauftragten wird sich für Wohnungsunternehmen in erster Linie aus der Anzahl der mit der Datenverarbeitung beschäftigten Personen ergeben. Die weiteren Voraussetzungen werden in der Regel nicht einschlägig sein.

Auch wenn aufgrund der Unternehmensgröße keine ...

Das ist nur ein Ausschnitt aus dem Produkt VerwalterPraxis. Sie wollen mehr? Dann testen Sie hier live & unverbindlich VerwalterPraxis 30 Minuten lang und lesen Sie den gesamten Artikel.


Meistgelesene beiträge