Seit Mai 2018 gibt es durch die Datenschutz-Grundverordnung (DS-GVO) eine europaweit geltende Pflicht zur Bestellung eines Datenschutzbeauftragten. Nach Art. 37 Abs. 1 lit. b DS-GVO muss ein Datenschutzbeauftragter von Verantwortlichen, wie Unternehmen, Behörden oder Vereinen, bestellt werden, wenn die Tätigkeit des Verantwortlichen eine besondere Kontrolle und Überwachung erfordert. Aber wann ist dies der Fall und welche Faktoren sind dabei maßgeblich?
Europaweite Bestellpflicht nach der DS-GVO
Mit der DS-GVO gibt es nach Art. 37 DS-GVO eine europaweit geltende Pflicht, die eine Benennung eines betrieblichen Datenschutzbeauftragten vorschreibt. Diese ist für alle Verantwortlichen verpflichtend, wenn die Tätigkeit des Verantwortlichen einer besonderen Kontrolle und Überwachung bedarf. Zudem ist eine Benennung, nach Art. 37 Abs. 1 lit. c DS-GVO, verpflichtend, wenn die Kerntätigkeit in der Verarbeitung von besonderen Kategorien personenbezogener Daten gemäß Art. 9 DS-GVO, wie z. B. Gesundheitsdaten, oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten nach Art. 10 DS-GVO besteht.
Gemäß Erwägungsgrund 97 versteht man unter der „Kerntätigkeit“ jede Tätigkeit des Verantwortlichen, die für die Erreichung der Ziele des Verantwortlichen notwendig ist. Eine „umfangreiche Verarbeitung“ gemäß Art. 37 Abs. 1 lit. b und c DS-GVO ist laut der Artikel-29-Datenschutzgruppe zudem an inhaltliche Voraussetzungen geknüpft. Ausschlaggebende Merkmale sind dabei unter anderem die Anzahl der Betroffenen, die Menge der betroffenen Daten, die Dauer der Datenverarbeitung oder die geographische Reichweite der Datenverarbeitung.
Nichtsdestotrotz kann jede Organisation einen Datenschutzbeauftragten ebenso freiwillig bestellen. Bei der Form der Benennung gibt es nach der DS-GVO keine klaren Vorgaben.
Bestellpflicht nach dem Bundesdatenschutzgesetz (BDSG)
Ergänzend zur Datenschutz-Grundverordnung regelt die neue Fassung des Bundesdatenschutzgesetzes zusätzlich, dass vor allem zwei Faktoren maßgeblich für die Benennung eines Datenschutzbeauftragten sind. Einerseits betrachtet man die Anzahl der Personen eines Verantwortlichen, welche personenbezogene Daten verarbeiten und andererseits in welcher Form die Verarbeitung stattfindet.
Nach §38 Abs. 1 BDSG müssen Organisationen einen Datenschutzbeauftragten bestellen, wenn sie mindestens zehn Personen mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen. Ein Datenschutzbeauftragter muss jedoch auch unabhängig von der Anzahl der Beschäftigten benannt werden, wenn die Verarbeitung der personenbezogenen Daten einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO unterliegt oder eine Verarbeitung zum Zwecke der Übermittlung, anonymisierten Übermittlung oder zu Zwecken der Markt- und Meinungsforschung stattfindet. Zudem enthält § 38 Abs. 2 BDSG einen Verweis auf die Abberufung bzw. Kündigung des Datenschutzbeauftragten.
Öffnungsklausel in der DS-GVO
Es wird den Mitgliedsstaaten der EU ermöglicht durch eine Öffnungsklausel nach Art. 37 Abs. 4 DS-GVO weitergehende Verpflichtungen bzw. nationale Sonderregelungen zur Bestellpflicht eines Datenschutzbeauftragten zu konkretisieren. Dabei bezieht sich die Öffnungsklausel nur auf die Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist.
Fazit
Durch die DS-GVO gilt die Bestellpflicht eines Datenschutzbeauftragen nun europaweit und auch wenn Ihr Unternehmen nicht unter die Bestellpflicht fällt, müssen Sie sich dennoch an die Regelungen der Datenschutz-Grundverordnung halten.
