Wer muss einen Datenschutzbeauftragten benennen?

 

Die DS-GVO bzw. die JI-RL sieht die Benennung eines Datenschutzbeauftragten weiterhin vor. Die Regelungen hierzu sind in Abschnitt 4, Artikel 37, 38 und 39 DS-GVO bzw. in Abschnitt 3, Artikel 32, 33 und 34 JI-RL zu finden.

Benennung eines Datenschutzbeauftragten nach § 38 BDSG-neu:
Die Öffnungsklausel des Artikels 37 Absatz 4 DS-GVO sieht vor, dass der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten auf freiwilliger Basis benennen können, es sei denn, ein Mitgliedsstaat schreibt die Benennung ausdrücklich vor. Der Bundesgesetzgeber hat diesen Regelungsspielraum genutzt, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragten dem in Deutschland bestehenden „Status quo“ anzupassen (vgl. § 4f BDSG-alt sowie § 38 BDSG-neu).

Demnach ist eine Benennung eines Datenschutzbeauftragten auch in folgenden Fällen erforderlich:

  • es werden in der Regel mindestens zehn Personen ständig mit der automa-tisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Absatz 1 Satz 1 BDSG-neu) oder

  • es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen oder

  • es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.


In den beiden letztgenannten Fällen muss unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen ein Datenschutzbeauftragter benannt werden (§ 38 Absatz 1 Satz 2 BDSG-neu).

Soweit keine Pflicht zur Benennung eines Datenschutzbeauftragten vorliegt, unterstützt und begrüßt die LDI NRW freiwillige Bemühungen durch die Verantwortlichen und Auftragsverarbeiter. Im Falle einer freiwilligen Benennung eines Datenschutzbeauftragten unterliegen dessen Benennung, Stellung und Aufgabenbereich den gleichen Anforderungen wie bei einer obligatorischen Benennung (Artikel 37-39 DS-GVO, vgl. Artikel 32-34 JI-RL). Im nicht-öffentlichen Bereich gilt der besondere Abberufungs- und Kündigungsschutz für den betrieblichen Datenschutzbeauftragten jedoch nur, soweit dessen Benennung verpflichtend ist (vgl. § 38 Absatz 2 BDSG-neu).

Benennung eines Datenschutzbeauftragten nach der DS-GVO
Artikel 37 DS-GVO differenziert zwischen den Fällen, in denen auf jeden Fall ein Datenschutzbeauftragter zu benennen ist, und denen, in denen es den nationalen Gesetzgebern überlassen bleibt, weitere Regelungen zu treffen.

 

Nach Artikel 37 Absatz 1 DS-GVO ist durch den Verantwortlichen und den Auftragsverarbeiter auf jeden Fall ein Datenschutzbeauftragter zu benennen, wenn eine der folgenden Voraussetzungen gegeben ist:

 

  • Öffentliche Stelle
    Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt. Ausgenommen sind hiervon Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.
  • Kerntätigkeit: Überwachung von Personen
    Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
  • Kerntätigkeit: Verarbeitung von besonderen Datenkategorien oder Strafrechtsdaten
    Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DS-GVO (sensitive Daten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DS-GVO (Daten über strafrechtliche Verurteilungen).

 

Neu ist, dass ab Geltung der DS-GVO auch der Auftragsverarbeiter in den oben genannten Fällen dazu verpflichtet ist, einen Datenschutzbeauftragten zu benennen.

Für öffentliche Stellen gibt es nach der DS-GVO keinen Reglungsspielraum, da die DS-GVO insoweit abschließend ist (Artikel 37 Absatz 1 Buchstabe a) DS-GVO).

 

Benennung eines Datenschutzbeauftragten nach der JI-RL
Nach Artikel 32 Absatz 1 JI-RL sehen die Mitgliedstaaten vor, dass der Verantwortliche einen Datenschutzbeauftragten benennt.

 

Nationaler Regelungsspielraum:
Die Mitgliedstaaten können Gerichte und andere unabhängige Justizbehörden im Rahmen ihrer justiziellen Tätigkeit von dieser Pflicht befreien (vgl. Artikel 32 Absatz 1 Satz 2 JI-RL). Auf Bundesebene hat der Gesetzgeber lediglich klargestellt, dass die Aufgaben eines behördlichen Datenschutzbeauftragten eines Gerichtes sich nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit beziehen (§ 7 Absatz 1 Satz 2 BDSG-neu).
In NRW ist das Gesetzgebungsverfahren noch nicht abgeschlossen.


 

zurück zur Übersicht