Wer muss Datenschutzbeauftragte benennen?

 

Die DS-GVO bzw. die JI-RL sieht die Benennung von Datenschutzbeauftragten weiterhin vor. Die Regelungen hierzu sind in Abschnitt 4, Artikel 37, 38 und 39 DS-GVO bzw. in Abschnitt 3, Artikel 32, 33 und 34 JI-RL zu finden.

Benennung von Datenschutzbeauftragten nach § 38 BDSG-neu:
Die Öffnungsklausel des Artikels 37 Absatz 4 DS-GVO sieht vor, dass der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, Datenschutzbeauftragte auf freiwilliger Basis benennen können, es sei denn, ein Mitgliedsstaat schreibt die Benennung ausdrücklich vor. Der Bundesgesetzgeber hat diesen Regelungsspielraum genutzt, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragten dem in Deutschland bestehenden „Status quo“ anzupassen (vgl. § 4f BDSG-alt sowie § 38 BDSG-neu).

Demnach ist eine Benennung von Datenschutzbeauftragten auch in folgenden Fällen erforderlich:

  • es werden in der Regel mindestens zehn Personen ständig mit der automa-tisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Absatz 1 Satz 1 BDSG-neu) oder

  • es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen oder

  • es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.


In den beiden letztgenannten Fällen müssen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen Datenschutzbeauftragte benannt werden (§ 38 Absatz 1 Satz 2 BDSG-neu).

Soweit keine Pflicht zur Benennung von Datenschutzbeauftragten vorliegt, unterstützt und begrüßt die LDI NRW freiwillige Bemühungen durch die Verantwortlichen und Auftragsverarbeiter. Im Falle einer freiwilligen Benennung von Datenschutzbeauftragten unterliegen deren  Benennung, Stellung und Aufgabenbereich den gleichen Anforderungen wie bei einer obligatorischen Benennung (Artikel 37-39 DS-GVO, vgl. Artikel 32-34 JI-RL). Im nicht-öffentlichen Bereich gilt der besondere Abberufungs- und Kündigungsschutz für betriebliche Datenschutzbeauftragte jedoch nur, soweit dessen Benennung verpflichtend ist (vgl. § 38 Absatz 2 BDSG-neu).

Erläuterungen:
Die Verarbeitung erfolgt nur dann automatisiert, wenn sie unter Einsatz von Datenverarbeitungsanlagen (Computer/Tablets etc.) erfolgt. Personen, die nicht mit einer automatisierten Datenverarbeitung befasst sind, werden bei der Ermittlung der Personenzahl nicht mitgezählt. Ebenfalls ist eine Verarbeitung anderer Daten als solche zu natürlichen Personen nicht zu berücksichtigen.

Der Begriff „ständig“ ist nicht so auszulegen, dass die Datenverarbeitung andauernd erfolgen müsste. Es reicht aus, dass die Tätigkeit auf Dauer angelegt ist und die betreffende Person immer dann tätig wird, wenn es notwendig ist, selbst wenn die Tätigkeit nur in zeitlichen Abständen (z.B. monatlich) anfällt.

Die Art des Beschäftigungsverhältnisses spielt bei der Frage, welche Personen für die Datenverarbeitung zu berücksichtigen sind, keine Rolle. Sowohl die Leitung als auch angestellte Beschäftigte, Aushilfen, Azubis oder Leiharbeitskräfte sind gleichermaßen zu berücksichtigen. Unerheblich ist auch, ob die jeweiligen Personen in Voll- oder Teilzeit arbeiten. Entscheidend ist, dass die Verarbeitung von personenbezogenen Daten Bestandteil der Tätigkeit ist, also in der Aufgabenbeschreibung eingeschlossen ist. Das ist beispielsweise bei Reinigungskräften, Fahrern oder Gärtnern in der Regel nicht der Fall, so dass diese bei der Berechnung nicht mit zu berücksichtigen sind.


Berücksichtigung der mit der automatisierten Datenverarbeitung beschäftigten Personen bei Verantwortlichen und Auftragsverarbeitern

Müssen Datenschutzbeauftragte benannt werden, wenn weder der Verantwortliche noch ein oder mehrere für ihn tätige Auftragsverarbeiter jeweils für sich allein weniger als zehn Personen mit der Datenverarbeitung beschäftigen, die Gesamtzahl aller mit der Verarbeitung beschäftigten Personen zusammen jedoch bei zehn oder mehr Personen liegt?

Ergänzend zu Art. 37 Abs. 1 Buchst. b und c der DS-GVO sieht § 38 Abs. 1 S. 1 BDSG-neu vor, dass Verantwortliche und Auftragsverarbeiter eine(n) Datenschutzbeauftragte(n) (DSB) benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Die DS-GVO unterscheidet insoweit grundsätzlich zwischen den verschiedenen Rollen des „Verantwortlichen“ und des „Auftragsverarbeiters“. Die Pflicht zur Benennung eines DSB trifft nach Art. 37 DS-GVO und § 38 BDSG auch den Auftragsverarbeiter selbst.

Die Personenzahl ist daher jeweils für Verantwortliche und Auftragsverarbeiter getrennt zu prüfen. Für jede der Stellen, die mehr als zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt, ist dort zwingend ein Datenschutzbeauftragter zu benennen.

Benennung eines Datenschutzbeauftragten nach der DS-GVO
Artikel 37 DS-GVO differenziert zwischen den Fällen, in denen auf jeden Fall Datenschutzbeauftragte zu benennen sind, und denen, in denen es den nationalen Gesetzgebern überlassen bleibt, weitere Regelungen zu treffen.

 

Nach Artikel 37 Absatz 1 DS-GVO sind durch Verantwortliche und Auftragsverarbeiter auf jeden Fall Datenschutzbeauftragte zu benennen, wenn eine der folgenden Voraussetzungen gegeben ist:

 

  • Öffentliche Stelle
    Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt. Ausgenommen sind hiervon Gerichte, die im Rahmen ihrer justiziellen Tätigkeit handeln.
  • Kerntätigkeit: Überwachung von Personen
    Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
  • Kerntätigkeit: Verarbeitung von besonderen Datenkategorien oder Strafrechtsdaten
    Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DS-GVO (sensitive Daten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DS-GVO (Daten über strafrechtliche Verurteilungen).

 

Neu ist, dass seit Geltung der DS-GVO auch Auftragsverarbeiter in den oben genannten Fällen dazu verpflichtet sind,  Datenschutzbeauftragte zu benennen.

Für öffentliche Stellen gibt es nach der DS-GVO keinen Reglungsspielraum, da die DS-GVO insoweit abschließend ist (Artikel 37 Absatz 1 Buchstabe a) DS-GVO).

 

Benennung von Datenschutzbeauftragten nach der JI-RL
Nach Artikel 32 Absatz 1 JI-RL sehen die Mitgliedstaaten vor, dass Verantwortliche Datenschutzbeauftragte benennen.

 

Nationaler Regelungsspielraum:
Die Mitgliedstaaten können Gerichte und andere unabhängige Justizbehörden im Rahmen ihrer justiziellen Tätigkeit von dieser Pflicht befreien (vgl. Artikel 32 Absatz 1 Satz 2 JI-RL). Auf Bundesebene hat der Gesetzgeber lediglich klargestellt, dass die Aufgaben  behördlicher Datenschutzbeauftragter eines Gerichtes sich nicht auf das Handeln des Gerichts im Rahmen seiner justiziellen Tätigkeit beziehen (§ 7 Absatz 1 Satz 2 BDSG-neu).
In NRW ist das Gesetzgebungsverfahren noch nicht abgeschlossen.


 

zurück zur Übersicht