Logo

GMDS Arbeitsgruppe
„Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG)

Datenschutzhinweise   Cookie-Hinweise   Impressum   Kontakt   Sitemap

Checkliste Benennungspflicht einer Person zum Datenschutzbeauftragten

Die primäre Pflicht richtet sich nach der DS-GVO. Nach der Art. 37 DS-GVO ist ein Datenschutzbeauftragter (DSB) verpflichtend zu benennen, wenn einer oder mehrerer der nachfolgend genannten Fälle zutrifft:
  1. Verarbeitung personenbezogener Daten erfolgt durch eine Behörde bzw. einer öffentlichen Stelle; bei Gerichten existiert eine Ausnahme soweit dies eine justizielle Tätigkeit betrifft (Art. 37 Abs. 1 lit. a DS-GVO)
  2. Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit. b DS-GVO)
  3. Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung der inArt. 9 Abs. 1 DS-GVO genannten besonderer Kategorien von Daten (Art. 37 Abs. 1 lit. c DS-GVO)
  4. Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters besteht in der umfangreichen Verarbeitung on personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DS-GVO (Art. 37 Abs. 1 lit. c DS-GVO)
Hinweise zur Interpretation:

Art. 37 Abs. 4 Satz 1 Hs. 2 DS-GVO erlaubt den Mitgliedsländern ergänzende Regelungen bzgl. einer Pflicht zur Benennung zu erlassen. Der deutsche Gesetzzgeber nutzte diese Möglichkeit und erließ in § 38 BDSG ergänzende Regelungen, nach denen eine Pflicht zur Benennung besteht. Demnach ist ergänzend zu den Vorgaben aus Art. 37 DS-GVO die Benennung eines DSB erforderlich, wenn einer der folgenden Fälle zutrifft:
  1. es werden in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt
  2. es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen
  3. es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet