Dr. iur. Berthold Hilderink
1. Anforderungen nach der DSGVO
Rz. 162
Der Verantwortliche und der Auftragsverarbeiter benennen gem. Art. 37 Abs. 1 DSGVO auf jeden Fall einen Datenschutzbeauftragten, wenn
▪ |
die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, |
▪ |
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder |
▪ |
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 DSGVO oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 DSGVO besteht. |
Gem. Art. 37 Abs. 2 DSGVO darf eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.
2. Anforderungen nach dem BDSG
a) Datenschutzbeauftragte öffentlicher Stellen
Rz. 163
Gem. § 5 Abs. 1 S. 1 BDSG benennen öffentliche Stellen einen Datenschutzbeauftragten. Dies gilt gem. § 5 Abs. 2 S. 2 BDSG auch für öffentliche Stellen nach § 2 Abs. 5 BDSG, die am Wettbewerb teilnehmen.
Für mehrere öffentliche Stellen kann gem. § 5 Abs. 2 BDSG unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.
Der Datenschutzbeauftragte wird gem. § 5 Abs. 3 BDSG auf der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in § 7 BDSG genannten Aufgaben.
Der Datenschutzbeauftragte kann gem. § 5 Abs. 4 BDSG Beschäftigter der öffentlichen Stelle sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
Gem. § 6 Abs. 4 S. 1 BDSG ist die Abberufung des Datenschutzbeauftragten nur in entsprechender Anwendung des § 626 BGB zulässig. Die Kündigung des Arbeitsverhältnisses ist gem. § 6 Abs. 4 S. 2 BDSG unzulässig, es sei denn, dass Tatsachen vorliegen, welche die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigen. Nach dem Ende der Tätigkeit als Datenschutzbeauftragter ist die Kündigung des Arbeitsverhältnisses gem. § 6 Abs. 4 S. 3 BDSG innerhalb eines Jahres unzulässig, es sei denn, dass die öffentliche Stelle zur Kündigung aus wichtigem Grund ohne Einhaltung einer Kündigungsfrist berechtigt ist.
b) Datenschutzbeauftragte nichtöffentlicher Stellen
Rz. 164
Ergänzend zu Art. 37 Abs. 1b und c der Verordnung (EU) 2016/679 benennen gem. § 38 Abs. 1 S. 1 BDSG der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie gem. § 38 Abs. 1 S. 2 BDSG unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
Gem. § 38 Abs. 2 BDSG finden § 6 Abs. 4, 5 S. 2 und Abs. 6 BDSG Anwendung, § 6 Abs. 4 BDSG jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.