Checkliste Benennungspflicht einer Person zum Datenschutzbeauftragten
Die primäre Pflicht richtet sich nach der DS-GVO. Nach der Art. 37 DS-GVO ist ein Datenschutzbeauftragter (DSB) verpflichtend zu benennen, wenn einer oder mehrerer der nachfolgend genannten Fälle zutrifft:
Verarbeitung personenbezogener Daten erfolgt durch eine Behörde bzw. einer öffentlichen Stelle; bei Gerichten existiert eine Ausnahme soweit dies eine justizielle Tätigkeit betrifft (Art. 37 Abs. 1 lit. a DS-GVO)
Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b DS-GVO)
Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung der inArt. 9 Abs. 1 DS-GVO genannten besonderer Kategorien von Daten (Art. 37 Abs. 1 lit. c DS-GVO)
Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung on personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO (Art. 37 Abs. 1 lit. c DS-GVO)
Hinweise zur Interpretation:
„Kerntätigkeit“ (engl. „core acticvoities“) sind alle Tätigkeiten, die entscheidend sind für die Umsetzung der Geschäftsinteressen. Im medizinischen Umfeld stellt beispielsweise die Dokumentation der medizinsichen Behandlung entsprechend § 630f BGB eine grundsätzliche Pflicht für Bheandelnde dar, ohne wlche sie ihre Tätigkleit nichtr erbingen dürfen. Somit zählt die Dokumentation im medizinischen Umfeld zu den Kerntätigkeiten.
Die DS-GVO enthält keine Definitionvon „umfangreich“. ErwGr. 91 beinhaltet jedoch Faktoren, die zur Beurteilung, ob eine „umfangreiche“ Verarbeitung vorliegt oder nicht, herangezogen werden müssen:
Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt)
Menge personenbezogener Daten (Volumen)
Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße)
Dauer der Verarbeitung (zeitlicher Aspekt)
Art. 37 Abs. 4 Satz 1 Hs. 2 DS-GVO erlaubt den Mitgliedsländern ergänzende Regelungen bzgl. einer Pflicht zur Benennung zu erlassen. Der deutsche Gesetzzgeber nutzte diese Möglichkeit und erließ in § 38 BDSG ergänzende Regelungen, nach denen eine Pflicht zur Benennung besteht. Demnach ist ergänzend zu den Vorgaben aus Art. 37 DS-GVO die Benennung eines DSB erforderlich, wenn einer der folgenden Fälle zutrifft:
es werden in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt
es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen
es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet