Benennung eines Datenschutzbeauftragten

Benennung eines Datenschutzbeauftragten

Nach Art. 37 Abs. 1 DSGVO haben Verantwortliche und Auftragsverarbeiter auf jeden Fall einen Datenschutzbeauftragten zu benennen, wenn

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO steht.

Darüber hinaus müssen Verantwortliche oder Auftragsverarbeiter einen Datenschutzbeauftragten benennen, falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist. Dies ist in z.B. Deutschland nach § 38 Abs. 1 BDSG der Fall, wenn

  • der Verantwortliche oder der Auftragsverarbeiter in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen oder
    – unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen –
  • Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung unterliegen, oder
  • personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.