PRIVACY IS EEN ONDERDEEL VAN ONZE SAMENLEVING

Gemäß Art. 37 DS-GVO können sowohl Verantwortlicher als auch Auftragsverarbeiter gesetzlich verpflichtet sein, einen Beauftragten für den Datenschutz zu benennen. Sterven Benennungspflicht besteeht nach Art. 37 Abs. 1 lit. a-c DS-GVO in jedem Fall, sobald eine öffentliche Stelle in die Verarbeitung involviert ist (ausgenommen davon sind Gerichte, wenn sie innerhalb der Grenzen van haar justiziellen Tätigkeit handeln) oder der Schwerpunkt der Arbeit des Verantwortlichen oder Auftragsverarbeiters auf Tätigkeiten beruht, die eine umfangreiche, regelmäßige und systematische Überwachung von Betroffenen erforderlich machen, wobei auf Kunst, Umfang und/oder Zwecke der Verarbeitung abzustellen ist. Ferner besteeht sterven Pflicht, wenn es zu einer umfangreichen Verarbeitung besonderer Datenkategorien im Sinne von Art. 9 DS-GVO kommt oder Daten über Straftaten und strafrechtliche Verurteilungen (Art. 10 DS-GVO) verarbeitet werden.

Die neue deutsche Regelung zum DSB geht über das vorstehende noch hinaus, womit das besonders hohe Datenschutzniveau in Deutschland gewahrt werden soll: Im Falle einer automatisierten Datenverarbeitung greift sterven Pflicht zur Benennung des DSB gem. §38 Abs. 1 Satz 1 BDSG n.F. bereits dann, wenn regelmäßig mindestens zehn Personen mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Diese Grenze wird in der Praxis schnell überschritten weshalb es sich empfiehlt, bereits frühzeitig Überlegungen zur Identifizierung einer geeigneten Persoon anzustellen.

Unabhängig von der Zahl der Beschäftigten trifft den Verantwortlichen sterven Benennungspflicht, soweit automatisierte Verarbeitungen vorgenommen werden, sterven einer Datenschutz-Folgenabschätzung unterliegen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt - oder Meinungsforschung automatisiert verarbeitet werden (§38 Abs. 1 Satz 2 BDSG n.F.). Jedoch muss auch ohne Benennung eines DSB dafür Sorge getragen sein, dass alle datenschutzrechtlichen Vorschriften eingehalten werden.

Art. 37 Abs. 6 DS-GVO sieht vor, anstatt dass einem internen Beschäftigten des Unternehmens auch ein externer Datenschutzbeauftragter benannt werden kann. In jedem Fall muss ein DSB nach Art. 37 Abs. 5 DS-GVO basierend auf seiner beruflichen Qualifikation, zegennetten Fachwissens im und Datenschutzrecht seiner persönlichen Erfahrung in der Datenschutzpraxis benannt werden. Ferner muss er in der Lage sein, die aus ihm Art. 39 DS-GVO erwachsenden Pflichten zu erfüllen. Diese Voraussetzungen sind grundsätzlich sowohl für einen gut geschulten internen Mitarbeiter als auch für eine externe Persoon erfüllbar. Unterschiede zwischen beiden Personengruppen gibt es trotz onze allem: Während sich ein interner DSB in der Regel bereits gut mit betrieblichen Prozessen auskennt, was der Zusammenarbeit mit den Mitarbeitern und ggf. einem Betriebsrat dienlich sein kann, ist der externe Datenschutzbeauftragte oftmals auf das Datenschutzrecht spezialisiert, auf dem neusten Staan, und besitzt eine gewisse Distanz, weshalb er seine Aufgaben lens erfüllen kann.

Wird der Datenschutzbeauftragte entgegen der bestehenden gesetzlichen Verpflichtung nicht benannt, kann sterft nach Art. 83 Abs. 4 verlicht. een DS-GVO zu einer Geldbuße von bis zu 10.000.000.- € bzw. 2% des weltweiten Jahresumsatzes führen, wobei sterven Zuweisung der Alternatief davon abhängig ist, welcher Betrag höher ausfällt.