DDV Suche
DS-GVO: Auslegungstipp "Der Datenschutzbeauftragte"
Die einschlägigen Regelungen in Artikel 37 bis 39 gelten für Verantwortliche wie für Auftragsverarbeiter. Nach der Verordnung sind Kriterium für die Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten keine starren Mitarbeitergrenzen, wie sie das Bundesdatenschutzgesetz kennt. Maßgebend ist stattdessen die Frage, worin die Kerntätigkeit eines Unternehmens liegt. Ein Datenschutzbeauftragter ist zu bestellen, wenn die Kerntätigkeit eine umfangreiche, regelmäßige und systematische Überwachung betroffener Personen erfordert oder eine umfangreiche Verarbeitung sensibler Daten erfolgt. Im Bereich des Dialogmarketings ist dies regelmäßig nicht der Fall.
Modifiziert wird die Regelung der Verordnung jedoch dadurch, dass den Mitgliedstaaten in einer Öffnungsklausel des Art. 37 die Möglichkeit eingeräumt wird, die Verpflichtung zur Bestellung auf weitere Fälle zu erweitern. Im deutschen Umsetzungsgesetz wurde von diesem Regelungsspielraum Gebrauch gemacht. Das am 25. Mai 2018 – zeitgleich mit der Verordnung - in Kraft tretende BDSG-Anpassungsgesetz führt in § 38 Abs. 1 die bisherige BDSG-Regelung fort: Unternehmen und ihre Auftragsverarbeiter müssen weiterhin dann einen Datenschutzbeauftragten bestellen, wenn sie „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigen“. Unabhängig von der Anzahl der Mitarbeiter ist ein Datenschutzbeauftragter insbesondere auch dann zu bestellen, wenn ein Unternehmen geschäftsmäßig personenbezogene oder anonymisierte Daten an Dritte übermittelt oder Markt- und Meinungsforschung durchführt.
In seiner Stellung kann der Datenschutzbeauftragte Beschäftigter des Unternehmens oder Externer sein. Er ist weisungsfrei und vom Verantwortlichen mit den zur Erfüllung seiner Aufgaben notwendigen Ressourcen auszustatten, Art. 38.
Das Aufgabenfeld des Datenschutzbeauftragten umfasst - neben der Beratung des Betroffenen zu allen mit der Verarbeitung seiner Daten im Zusammenhang stehenden Fragen - insbesondere folgende Aufgaben, Art. 39:
- Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, die Verarbeitungen durchführen,
- Überwachung der Einhaltung der Datenschutzvorschriften und der Strategien des Verantwortlichen, einschließlich Schulungen,
- Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung, und Überwachung ihrer Durchführung gemäß Art. 35,
- Zusammenarbeit mit der Aufsichtsbehörde,
- Funktion als Anlaufstelle für die Aufsichtsbehörde.
Insgesamt sind die Regelungen deutlich an die des geltenden Bundesdatenschutzgesetzes angelehnt.
Zur Vertiefung: DDV-Best Practice Guide Europäische Datenschutz-Grundverordnung, 3. überarbeitete Auflage Juli 2019
Ihre Ansprechpartner
Gerne stehen die Mitarbeiter der DDV-Geschäftsstelle für Ihre Fragen zur Verfügung. Hier finden Sie die direkten Kontakte für häufige Fragen. Eine Liste aller Mitarbeiter finden Sie auf der Seite Geschäftsstellen.
Martina Rambach
E-Mail: m.rambach@ddv.deTel: 069 401 276-522
Fax: 069 401 276-599
Franz Peter Altemeier
E-Mail: fp.altemeier@ddv.deTel: 030 509 3209-44
Fax: 030 509 3209-55