Wann ist ein Datenschutzbeauftragter wirklich erforderlich?

Die Datenschutz-Grundverordnung und auch das in Deutschland anwendbare Bundesdatenschutzgesetz (BDSG-Neu) beschreibt eine Reihe von Rollen im Datenverarbeitungsprozess, darunter die Rolle des Datenschutzbeauftragten (DSB). Ein DSB ist eine interne oder externe Aufsicht über die Einhaltung der Datenschutzverordnung innerhalb einer Organisation. Dieser Beitrag beschäftigt sich mit der Frage, wann die Datenschutzbestimmungen überhaupt einen DSB vorschreiben.

Wahl oder Pflicht?

Eine Organisation kann jederzeit freiwillig einen DSB ernennen. Das Bundesdatenschutzgesetz (BDSG) sieht die Bestellung eines DSB für die meisten Organisationen aber verpflichtend vor. Denn Artikel 37, Abs. 4 DSGVO enthält eine Öffnungsklausel, die es den einzelnen Mitgliedstaaten ermöglicht, die Verpflichtung zur Ernennung eines Datenschutzbeauftragten genauer festzulegen. Deutschland hat mit § 38 BDSG-Neu von diesem Recht Gebrauch gemacht.

Die Verpflichtung gilt für bestimmte Organisationen oder wenn eine bestimmte Art der Verarbeitung personenbezogener Daten durchgeführt wird:

1. Laut § 38 BDSG-Neu besteht nach wie vor eine Pflicht zur Benennung eines DSB ab einem Betrieb mit mehr als 10 Mitarbeitern, die ständig mit der automatisierten Datenverarbeitung beschäftigt sind.

2. Das gilt laut § 5 BDSG-Neu auch für öffentliche Stellen.

3. Laut § 38 Abs. 2 Satz 2 müssen auch Organisationen, die sich hauptsächlich mit Verarbeitungsvorgängen befassen, die aufgrund ihrer Art, Größe und/oder ihres Zwecks eine regelmäßige und systematische Beobachtung der betroffenen Personen in großem Maßstab erfordern, einen DSB benennen.

Die Arbeitsgruppe der europäischen Datenschutzbeauftragten (WP29) gibt den Elementen "Beobachtung" und "regelmäßig" in ihren Leitlinien für Datenschutzbeauftragte (April 2017) eine genauere Definiton. Eine Beobachtung gilt als "regelmäßig", wenn sie auf eine oder mehrere der folgenden Arten beobachtet wird:

  • Kontinuierlich oder für einen bestimmten Zeitraum, in bestimmten Intervallen;
  • Wiederholung zu festen Zeiten;
  • Konstant oder periodisch.

"Systematische" Beobachtung findet auf der Basis eines Systems statt und ist vorab geregelt, organisiert oder systematisch. Bei der Entscheidung, ob es sich um eine "großangelegte Verarbeitung" handelt, müssen vier Faktoren berücksichtigt werden:

  • die Anzahl der beteiligten Personen (Zahlen oder Prozentsatz)
  • Die Datenmenge und/oder die Menge der verschiedenen verarbeiteten Daten.
  • Die Dauer oder Dauer der Datenverarbeitung.
  • Der geographische Umfang der Verarbeitung.

In Zukunft wird allerdings erwartet, dass ein Standard entwickelt werden wird, um genauer zu bestimmen, was eine großangelegte Verarbeitung ist.

4. Laut Art. 37, Paragraph 1, Absatz c) DSGVO gilt dies auch, wenn eine der Kernaufgaben einer Organisation die groß angelegte Verarbeitung von (speziellen) personenbezogenen Daten oder von Daten im Zusammenhang mit strafrechtlichen Verurteilungen und Straftaten ist.

Laut WP29 gehören zu den Kernaktivitäten einer Organisation Prozesse, die für die Erreichung der Ziele der Organisation wesentlich sind oder zu den Hauptaufgaben der Organisation gehören.

Freiwillige Ernennung eines DSB

Wenn eine Organisation nach der Datenschutzverordnung nicht verpflichtet ist, eines DSB zu ernennen, kann sie dies dennoch freiwillig tun. Das WP29 fördert die freiwillige Ernennung. Bitte beachten Sie aber, dass freiwillig nicht unverbindlich ist. Ein DSB, der nicht aufgrund einer Verpflichtung ernannt wurde, muss die gleichen Regeln und Rahmenbedingungen einhalten wie ein DSB, der aufgrund einer Verpflichtung ernannt wurde.

Einen DSB im Haus zu haben, kann einer Organisation diverse Vorteile bringen, wie z.B.:

  • Der DSB kann als unabhängige Aufsichtsbehörde für die Einhaltung der Datenschutzverordnung und als direkte Anlaufstelle für die Aufsichtsbehörde fungieren;
  • Der DSB kann eine Anlaufstelle für die Betroffenen bei der Ausübung ihrer Rechte gegenüber dem für die Verarbeitung Verantwortlichen sein;
  • Der DSB kann als Vermittler mit verschiedenen Stakeholdern auftreten;
  • Der DSB kann eine unterstützende Rolle bei der Durchführung von (Data) Privacy Impact Assessment (D)PIA spielen und über die Risiken der Datenverarbeitung beraten;
  • Bei der Durchführung eines Audits oder beim Nachweis eines hohen Maßes an Verantwortlichkeit kann ein DSB einer Organisation Aufgaben abnehmen.

Lesen Sie mehr über die Experten von Privacy Company.

Author image
Jill Baehring
Referentin für Datenschutz & Recht auf Privatsphäre bei Privacy Company