Pflicht zur Benennung eines Datenschutzbeauftragten
Pflicht zur Benennung eines Datenschutzbeauftragten nach der DSGVO
Art. 37 Abs. 1 der Datenschutz-Grundverordnung (DSGVO) zählt abschließend die Fälle auf, in denen Verantwortlicher und Auftragsverarbeiter nach der DSGVO zur Benennung eines Datenschutzbeauftragten verpflichtet sind. Danach ist auf jeden Fall ein Datenschutzbeauftragter zu bestellen, wenn alternativ eine der folgenden Voraussetzungen vorliegt:
- die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt;
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in Verarbeitungsvorgängen, die eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen; oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonders sensibler personenbezogener Daten.
Der sehr unbestimmt gefasste Tatbestand des Art. 37 Abs. 1 DSGVO wirft viele Fragen auf und lässt erheblichen Raum für Auslegungen. Ein Großteil der Unternehmen aber beschäftigt sich schwerpunktmäßig weder mit der systematischen Überwachung noch der umfangreichen Verarbeitung besonders sensibler Daten. Nach der Datenschutz-Grundverordnung selbst sind die meisten Unternehmer deshalb nicht zur Benennung eines Datenschutzbeauftragten verpflichtet.
Pflicht zur Benennung eines Datenschutzbeauftragten nach dem Bundesdatenschutzgesetz (BDSG)
Allerdings enthält Art. 37 Abs. 4 DSGVO eine Öffnungsklausel, die es den Mitgliedstaaten ermöglicht, im nationalen Recht auch in anderen Fällen eine Pflicht zur Benennung eines Datenschutzbeauftragten vorzusehen. Von dieser Möglichkeit hat der deutsche Gesetzgeber mit § 38 des ab dem 25.05.2018 geltenden BDSG-neu Gebrauch gemacht. Nach dieser Vorschrift haben der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten auch dann zu bestellen, wenn sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Unabhängig von der Zahl der mit der Verarbeitung personenbezogener Daten beschäftigten Personen muss ein Datenschutzbeauftragter zudem benannt werden, wenn Verarbeitungen vorgenommen werden, die einer Datenschutzfolgeabschätzung nach Art. 35 DSGVO unterliegen oder wenn die Daten zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.
Für eine Beschäftigung mit automatisierter Verarbeitung personenbezogener Daten reicht in der heutigen IT-gestützen Arbeitswelt nahezu jede Tätigkeit aus. Aufgrund des erweiterten Radius der Benennungspflicht sollten zudem auch Unternehmen mit weniger als 10 Mitarbeitern prüfen, ob sie zur Benennung eines Datenschutzbeauftragten verpflichtet sind.
Daniel Seegers
Dr. Christoph Ulmschneider