Wann muss ein DSB bestellt werden?
Wann muss ein DSB bestellt werden? Im Informationsblog Bestellung eines Datenschutzbeauftragten erhalten Sie aktuelle Informationen zu:
- Artikel 37 DSGVO – Bestellung eines Datenschutzbeauftragten
- Erwägungsgrund 97 zur Bestellung eines Datenschutzbeauftragten
- Verarbeitung von Beschäftigtendaten: Handelt sich hier auch um eine Verarbeitung besonderer Kategorien von Daten i. S. v. Art. 9 DSGVO?
- § 26 Abs. 8 BDSG – Begriff Beschäftigte: Die Anzahl der Köpfe ist für die Bestellung eines Datenschutzbeauftragten entscheidend.
- Bestellung eines Datenschutzbeauftragten ist zwingend, sofern die Verarbeitungen einer Datenschutz-Folgeabschätzung nach Art 35 DSGVO unterliegen.
Wann muss ein DSB bestellt werden?
Die Bestellung eines Datenschutzbeauftragten regelt Artikel 37 DSGVO. Zwingend zu benennen ist ein Datenschutzbeauftragter durch nicht-öffentliche Stellen nach Art. 37 Abs. 1 DS-GVO dann, wenn die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht.
Artikel 37 DSGVO: Bestellung eines Datenschutzbeauftragten
Artikel 37 DSGVO regelt die Bestellung eines Datenschutzbeauftragten. Hierzu heißt es:
(1)Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
b)die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
Wann muss ein DSB bestellt werden? Regelungen für Unternehmensgruppen
(2)Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.
(3)Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.
(4)In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.
In Artikel 37, Absatz 5 bis 7 DSGVO werden zur Bestellung des Datenschutzbeauftragten folgende Regelungen getroffen:
(5)Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
(6)Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
(7)Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.
Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters – besondere Kategorie von Daten iSv Art. 9 DSGVO – Wann muss ein DSB bestellt werden?
Die Bestellung eines Datenschutzbeauftragten hat dann zwingend zu erfolgen, wenn die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung besonderer Kategorien von Daten i. S. v. Art. 9 DSGVO oder Daten über strafrechtliche Verurteilungen i. S. v. Art. 10 DSGVO besteht (Art. 37 Abs. 1 Nr. 3 DSGVO).
Unter Kerntätigkeit ist nach Erwägungsgrund 97 jeweils die Haupttätigkeit und nicht die Verarbeitung personenbezogener Daten als bloße Nebentätigkeit zu verstehen.
Erwägungsgrund 97 – Wann muss ein DSB bestellt werden?
In Fällen, in denen die Verarbeitung durch eine Behörde — mit Ausnahmen von Gerichten oder unabhängigen Justizbehörden, die im Rahmen ihrer justiziellen Tätigkeit handeln –, im privaten Sektor durch einen Verantwortlichen erfolgt, dessen Kerntätigkeit in Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung der betroffenen Personen in großem Umfang erfordern, oder wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht, sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden.
Im privaten Sektor bezieht sich die Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit.
Das erforderliche Niveau des Fachwissens sollte sich insbesondere nach den durchgeführten Datenverarbeitungsvorgängen und dem erforderlichen Schutz für die von dem Verantwortlichen oder dem Auftragsverarbeiter verarbeiteten personenbezogenen Daten richten.
Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.
Liegt bei der Verarbeitung von Beschäftigtendaten auch eine Verarbeitung besonderer Kategorien von Daten i. S. v. Art. 9 DSGVO?
Die Fachkommentare führen hierzu aus, dass insbesondere die Verarbeitung von Beschäftigtendaten durch den Arbeitgeber hiervon nicht erfasst ist. Der Anwendungsbereich der Benennungspflicht eines Datenschutzbeauftragten, basierend auf den Regelungen des Art. 37 Abs. 1 Nr. 2, Nr. 3 DSGVO dürfte deshalb gering bleiben.
Gem. § 38 Abs. 1 S. 1 BDSG n. F. ist ein Datenschutzbeauftragter demnach durch nicht-öffentliche Stellen zu benennen, wenn in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
Mit dem Entwurf Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU – 2. DSAnpUG-EU soll die Anhebung der maßgeblichen Personenzahl, ab der ein betrieblicher Datenschutzbeauftragter zu benennen ist, von zehn auf 20 erfolgen.
§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen – Wann muss ein DSB bestellt werden?
Für die Bestellung eines Datenschutzbeauftragten nichtöffentlicher Stellen sind die Regelungen des §38 DSGVO zu beachten. Es gelten folgende Regelungen:
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.
Kopfzahl der Ermittlung der Beschäftigtenzahl ist entscheidend
Bei der Bestellung eines Datenschutzbeauftragten ist weiterhin auch die „Kopfzahl“ entscheidend. Auch geringfügig Beschäftigte, Auszubildende, Praktikanten, Teilzeitkräfte und freie Mitarbeiter werden jeweils als eine Person gezählt. Eine Definition, wer als Beschäftigter iSd des Datenschutzes gilt, gibt § 26 Abs. 8 BDSG vor.
Wer zählt zu den Beschäftigten nach § 26 Abs. 8 BDSG?
§26 Abs. 8 BDSG definiert den Begriff Beschäftigte wie folgt:
(8) Beschäftigte im Sinne dieses Gesetzes sind:
- Arbeitnehmerinnen und Arbeitnehmer, einschließlich der Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher,
- zu ihrer Berufsbildung Beschäftigte,
- Teilnehmerinnen und Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
- in anerkannten Werkstätten für behinderte Menschen Beschäftigte,
- Freiwillige, die einen Dienst nach dem Jugendfreiwilligendienstegesetz oder dem Bundesfreiwilligendienstgesetz leisten,
- Personen, die wegen ihrer wirtschaftlichen Unselbständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Heimarbeit Beschäftigten und die ihnen Gleichgestellten,
- Beamtinnen und Beamte des Bundes, Richterinnen und Richter des Bundes, Soldatinnen und Soldaten sowie Zivildienstleistende.
Bewerberinnen und Bewerber für ein Beschäftigungsverhältnis sowie Personen, deren Beschäftigungsverhältnis beendet ist, gelten als Beschäftigte.
Benennungspflicht gilt zwingend, sofern Verarbeitungen einer Datenschutz-Folgeabschätzung unterliegen
Unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen regelt § 38 Abs. 1 S. 2 BDSG n. F. eine unabhängige Benennungspflicht. Für die Bestellung eines Datenschutzbeauftragten gilt dabei folgendes:
Wenn der Verantwortliche Verarbeitungen vornimmt,
- die einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegen oder
- sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung,
- der anonymisierten Übermittlung oder
- für Zwecke der Markt- oder Meinungsforschung verarbeiten,
so ist ein Datenschutzbeauftragter zu benennen.
Besuchen Sie auch unseren Informationsblog „Neue Anforderungen an den Datenschutzbeauftragten“ – Wann muss ein DSB bestellt werden?
Mit den neuen DSGVO kommt es zu einer deutlichen Aufgabenschärfung beim Datenschutzbeauftragten. Ein bloßes „Hinwirken“ auf die Einhaltung des Datenschutzes ist nicht mehr ausreichend. Datenschutzbeauftragte müssen nun auch konkrete Überwachungs- und Kontrollhandlungen durchführen.
Außerdem müssen Datenschutzbeauftragte ihre Tätigkeiten verstärkt dokumentieren, damit iSd des Accountability-Prinzips ausreichend Rechenschaft abgelegt werden kann.
Mit Seminare Datenschutz erhalten Sie einen Überblick zu den wichtigsten Aufgaben und Pflichten des Datenschutzbeauftragten nach dem DSGVO und zur Bestellung eines Datenschutzbeauftragten.