Rz. 136
Nach Art. 37 Abs. 1 lit. b) DSGVO sollen auch nicht öffentliche Verantwortliche und Auftragsverarbeiter zur Bestellung eines Datenschutzbeauftragten verpflichtet sein, soweit ihre Kerntätigkeit in der Durchführung umfangreicher, regelmäßiger und systematischer Überwachungen von betroffenen Personen besteht.
Rz. 137
Der Begriff der Kerntätigkeit eines Verantwortlichen bezieht sich auf die "Haupttätigkeiten" und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Als "Kerntätigkeit" lassen sich die wichtigsten Arbeitsabläufe eines Verantwortlichen oder Auftragsverarbeiters bezeichnen, die zur Erreichung der (wirtschaftlichen) Ziele erforderlich sind. Die Art. 29-Datenschutzgruppe sieht z.B. die Kerntätigkeit eines Krankenhauses darin, medizinische Versorgung zu leisten. Da ein Krankenhaus diese Kerntätigkeit nicht ohne die Verarbeitung gesundheitsbezogener Daten vollziehen könne, muss auch die mit der Haupttätigkeit des Krankenhauses verbundene Verarbeitung solcher Daten als Kerntätigkeit eines jeden Krankenhauses anzusehen sein, weshalb die Benennung eines Datenschutzbeauftragten nach Art. 37 Abs. 1 lit. b) DSGVO verpflichtend ist. Ebenso soll auch ein privates Sicherheitsunternehmen, das private Einkaufszentren und öffentliche Plätze überwacht, verpflichtet sein, einen Datenschutzbeauftragten zu benennen.
Rz. 138
Eine Verarbeitungstätigkeit gilt nach Erwägungsgrund 24 der DSGVO der Beobachtung des Verhaltens von betroffenen Personen jedenfalls dann, wenn Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen. Gleichwohl beschränkt sich der Begriff der Überwachung nicht auf die Online-Umgebung. Deshalb ist die Online-Verfolgung nur als ein Beispiel für die Überwachung des Verhaltens von betroffenen Personen anzusehen. Die Art. 29-Datenschutzgruppe will Regelmäßigkeit als gegeben ansehen, wenn sich die Verarbeitung als fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend oder immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend oder ständig oder regelmäßig stattfindend darstellt. Eine systematische Verarbeitung soll vorliegen, wenn sie sich als "systematisch vorkommend", "vereinbart, organisiert oder methodisch" darstellt oder im "Rahmen eines allgemeinen Datenerfassungsplans oder der einer entsprechenden Strategie" erfolgt.
Rz. 139
Ein weiterer Anwendungsfall des Art. 37 Abs. 1 lit b) DSGVO liegt bei Inkassounternehmern vor, deren Haupttätigkeit in der gewerblichen Rechtsverfolgung von Schuldnern im Gläubigerauftrag liegt. Ein effektives Forderungsmanagement kann jedoch nicht ohne die Verarbeitung personenbezogener Daten erfolgen. Da dies die Überwachung von Schuldnern und ihres Zahlungsverhaltens umfasst, dürfte hier – ebenso wie bei Auskunfteien – unproblematisch eine Verpflichtung zur Bestellung eines betrieblichen Datenschutzbeauftragten bestehen. Im Anhang zur WP 243 werden zudem Betreiber von Telekommunikationsnetzen, Anbieter von Telekommunikationsdienstleistungen, Anbieter "verfolgender E-Mail-Werbung", Anbieter von Lokalisationsdiensten, Treueprorammen, verhaltensbasierter Werbung, Fitness- und Wellness-Apps und sog. Wearables als Adressaten des Art. 37 Abs. 1 lit. b) DSGVO aufgeführt.
Rz. 140
Beschränkt sich die Verarbeitungsaktivität des Verantwortlichen hingegen auf notwendige Unterstützungsfunktionen, wie etwa die Entlohnung von Mitarbeitern oder die Leistung von Standard-IT-Support, soll eine Verpflichtung nach Art. 37 Abs. 1 lit. b) DSGVO nicht begründet sein.