Auch im Hinblick auf die Bestellpflicht existiert eine Öffnungsklausel in Art. 37 Abs. 4 Satz 1 DSGVO, die dem nationalen Gesetzgeber das Recht auf weitergehende Regelungen einräumt. Die Öffnungsklausel beschränkt den Gesetzgeber jedoch auf die Formulierung zusätzlicher Voraussetzungen, unter denen ein Datenschutzbeauftragter zu bestellen ist. Eine von der DSGVO abweichende Aufgaben- oder Rechtsstellung kann von nationalen Gesetzgebern nicht formuliert werden.
Das Bundesdatenschutzgesetz ergänzt in § 38 die Regelungen der DSGVO zur Bestellpflicht. Die Benennung eines Datenschutzbeauftragten ist demnach auch in folgenden Fällen erforderlich:
Es werden in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
Es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen, oder es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.
Unter Erwähnung von Art. 37 Abs. 1 lit. b und c DSGVO bestimmt das BDSG, dass eine nichtöffentliche Stelle dann einen Datenschutzbeauftragten zu bestellen hat, wenn in der Regel mindestens 20 Personen ständig mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind. Dies gilt unabhängig von Umfang und Inhalt der Tätigkeit. Es zählt allein die Anzahl der mit der Datenverarbeitung beschäftigten Personen.
Sofern Unternehmen Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO bedürfen, oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung oder zur Markt- und Meinungsforschung verarbeiten, muss unabhängig von der Anzahl der Mitarbeiter ein Datenschutzbeauftragter bestellt werden. Dies ist bei Wohnungsunternehmen nicht der Fall.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten wird sich für Wohnungsunternehmen in erster Linie aus der Anzahl der mit der Datenverarbeitung beschäftigten Personen ergeben. Die weiteren Voraussetzungen werden in der Regel nicht einschlägig sein.
Anzahl der mit der Datenverarbeitung beschäftigten Personen regelmäßig prüfen
Durch die Digitalisierung kann sich die Zahl der Personen, die mit der automatischen Verarbeitung personenbezogener Daten beschäftigt sind, erhöhen, z. B. weil Hausmeister Wohnungsübergaben nun mittels eines Tabletcomputers dokumentieren, statt wie bisher auf Papier. Die Unternehmensleitung sollte also im Auge behalten, ob durch die geänderte technische Ausstattung der Mitarbeiter nun eine Bestellungspflicht besteht.
Auch wenn aufgrund der Unternehmensgröße keine Pflicht zur Bestellung besteht, sollte die verantwortliche Stelle beachten, dass sie zur Einhaltung aller Datenschutzregeln verpflichtet ist. Datenschutzbeauftragte können hier in beratender Funktion tätig werden. In Fällen, in denen DSGVO und BDSG die Bestellung eines Datenschutzbeauftragten nicht ausdrücklich vorschreiben, können Unternehmen einen solchen auch auf freiwilliger Basis ernennen (Art. 37 Abs. 4 DSGVO).