Benennung eines Datenschutzbeauftragten

Die Einen überlegen eventuell noch, ob sie einen benennen sollen. Die Anderen haben ihn möglicherweise schon: den Datenschutzbeauftragten. Hierbei handelt es sich um ein Thema, mit dem sich eine Firma dringendst beschäftigten sollte, wenn sie sich DSGVO-konform aufstellen und präsentieren möchte. Einhergeht diese Thematik auch mit dem allgemeinen Einstieg in den Datenschutz (weitere Info in unseren Beitrag „Den Einstieg in den Datenschutz meistern„). In diesem Beitrag zeigen wir, inwiefern die Gesetze Hinweise zur Benennungspflicht geben und um welche es sich dabei handelt.

Die Pflicht zur Benennung

Wenn eine Person Daten auf geschäftlicher Basis verarbeitet, ist diese eventuell verpflichtet, einen Datenschutzbeauftragten zu benennen. Warum eventuell? Nun, es gibt verschiedene Faktoren, die diese Person oder ein Unternehmen zur Entscheidung hinzuziehen muss. Eine wichtige Stütze dafür findet ein Verantwortlicher in den folgenden Normenkatalogen.

Die Benennung gemäß der DSGVO

Artikel 37 der DSGVO macht als Hilfe zur Antwort folgende Angaben: Ein Datenschutzbeauftragter ist zu benennen,

1) sofern es sich bei dem Verantwortlichen oder Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt (ausgenommen davon sind Gerichte, die in ihrer justiziellen Tätigkeit handeln),

2) falls die Kerntätigkeit eines Verantwortlichen oder dessen Auftragsverarbeiters eine umfangreiche regelmäßige und systematische Überwachung betroffener Personen erforderlich macht oder

3) wenn zur Ausübung der Kerntätigkeit personenbezogene Daten besonderer Kategorien oder über strafrechtliche Verurteilungen und Straftaten verarbeitet werden.

Die Benennungspflicht gemäß dem BDSG

Die Hinweise zur Beantwortung der Frage nach der Erforderlichkeit der Benennung eines Datenschutzbeauftragten sind nicht allein in der DSGVO zu finden. § 38 des BDSG konkretisiert die Pflicht für deutsche Unternehmen. Demnach haben diese einen Datenschutzbeauftragten zu benennen, wenn

1) in der Regel mindestens 20 Personen mit der ständigen Verarbeitung personenbezogener Daten beschäftigt sind,

2) Datenverarbeitungen von Verantwortlichen oder Auftragsverarbeitern vorgenommen werden, die eine Datenschutz-Folgenabschätzung verlangen oder

3) personenbezogene Daten geschäftsmäßig zur (anonymisierten) Übermittlung oder der Markt- und Meinungsforschung verarbeitet werden.

Fazit

Wenn Sie Ihr Unternehmen und dessen Verarbeitungstätigkeiten in einem der oben genannten Angaben wiederfinden und noch keinen Datenschutzbeauftragten benannt haben, rufen Sie uns an. Wir haben die Kompetenz, Ihnen als Datenschutzbeauftragter helfen zu können, möglichst datenschutzkonform zu agieren.