Wann muss ein Datenschutzbeauftragter (DSB) ernannt werden?

In Behörden, Verbänden, Vereinen und Unternehmen garantieren Datenschutzbeauftragte (DSB) die Grundrechte von Kunden, Nutzern, Verbrauchern und Bürgern. Außerdem sorgen sie in diesen Organisationen für Datensicherheit und entwickeln unter anderem Konzepte zum Schutz vor Datenverlust. Damit sorgen sie für Vertrauen in die Datenverarbeitung der Wirtschaft und Verwaltung.

Seit dem 25.05.2018 wird die EU-Datenschutz-Grundverordnung (DS-GVO) durchgesetzt und deren Umsetzung in deutsches Recht im Rahmen der Neufassung des Bundesdatenschutzgesetzes (BDSG). Die Grundlagen, aufgrund deren die Pflicht zur Benennung eines Datenschutzbeauftragten entsteht, haben sich im Vergleich zum bisher gültigen Bundesdatencshutzgesetz kaum verändert. Neu ist jedoch die Verpflichtung, den DSB der zuständigen Datenschutzbehörde zu melden. Betroffen sind Unternehmen, Behörden, aber auch Selbständige, Medien, Verbände und Vereine, falls sie personenbezogene Daten verarbeiten.

Die Ernennung von Datenschutzbeauftragten regelt die DS-GVO in Artikel 37. Danach müssen Verantwortliche gemäß Abs. 1 regelmäßig einen DSB ernennen, wenn:

 

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10.
Die DS-GVO räumt Unternehmensgruppen ein, einen gemeinsamen DSB zu ernennen, sofern er von jeder Niederlassung aus leicht erreichbar ist. Auch Behörden und öffentliche Stellen können danach für mehrere Ämter einen gemeinsamen DSB benennen.

Das Bundesdatenschutzgesetz (BDSG) präzisiert die Benennung eines Datenschutzbeauftragten für nichtöffentliche Stellen in § 38 Abs. 1:

Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c DS-GVO benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 

Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der DS-GVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Die Stellung des Datenschutzbeauftragten wird in Art. 38 DS-GVO beschrieben. So hat gemäß Abs. 1 der Verantwortliche und der Auftragsverarbeiter sicher zu stellen, dass der DSB ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Der DSB ist wie bisher auch weisungsfrei und berichtet unmittelbar an die höchste Managementebene. Er kann Beschäftigter des Unternehmens, Kanzlei, Arztpraxis etc. sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags als externer Datenschutzbeauftragter erfüllen (Art. 37 Abs. 6 DS-GVO).

 

Wichtig: Fachkunde und Zuverlässigkeit

Als Datenschutzbeauftragter darf nur benannt werden, wer über die notwendige berufliche Qualifikation und das Fachwissen verfügt – dieses muss bereits vor der Benennung vorliegen -, seine Fachkunde aufrecht erhält sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgaben geeignet ist. Der DSB hat daher vor allem über die erforderliche Expertise zu verfügen, um bei der Erfüllung seiner Aufgaben dem mit den Verarbeitungsvorgängen verbundenen Risiko gebührend Rechnung tragen zu können.

Bei uns erhalten Sie natürlich die entsprechenden Nachweise unaufgefordert vor der Benennung sowie auch jährlich.

Weiterführende Informationen

Auf den nachfolgenden Webseiten finden Sie weitere Informationen zum Thema Datenschutzbeauftragte

DSK Kurzpapier Nr. 12: Datenschutzbeauftragte bei Verantwortlichen und Auftragsverarbeitern

Hinweis zur Kommentarfunktion:

Die von Ihnen unten eingegebenen Daten und Ihre IP-Adresse werden ausschließlich auf  unserem Webserver gespeichert. Als Name kann auch ein Synonym gewählt werden. Die eMail-Adresse wird von uns nur benötigt um ggf. mit Ihnen Kontakt aufzunehmen oder um uns im Falle von Rechtsverletzungen durch den Kommentar zu schützen. Für diesen Zweck wird auch die IP-Adresse gespeichert. Weitere Informationen finden Sie in unserer Datenschutzerklärung.