Pflicht zur Benennung eines Datenschutzbeauftragten - Externe Datenschutz-Beauftragte aus Leipzig

1. Benennungspflicht nach DSGVO

Die DSGVO regelt eine EU-weit geltende Pflicht zur Benennung eines Datenschutzbeauftragten. Nach Art. 37 DSGVO ist ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit des Verantwortlichen

in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlichen machen oder

in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 DSGVO oder

in der umfangreichen Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 besteht.

Nach dem Erwägungsgrund 97 der DSGVO bezieht sich eine Verarbeitung auf die Kerntätigkeit eines Verantwortlichen, wenn diese seine Haupttätigkeiten und nicht eine Nebentätigkeit betreffen.

2. Benennungspflicht nach BDSG

Allerdings hat der deutsche Gesetzgeber die nach der DSGVO geltende Pflicht zur Benennung eines Datenschutzbeauftragten durch das neue ebenfalls ab dem 25.05.2018 geltende Bundesdatenschutzgesetz verschärft.

Gemäß § 38 Abs. 1 BDSG haben Verantwortliche und Auftragsverarbeiter unabhängig vom Vorliegen der Voraussetzungen des Art. 37 Abs. 1 DSGVO einen Datenschutzbeauftragten zu benennen, wenn eine der drei folgenden Voraussetzungen erfüllt ist:

20 Personen mit Datenverarbeitung beschäftigt

Nach der zwischen dem 25.05.2018 bis 25.11.2019 geltenden Fassung des § 38 Abs. 1 Satz 1 BDSG war ein Datenschutzbeauftragter auch dann zu benennen, soweit der Verantwortliche in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Durch das zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU vom 20.11.2019 wurde der ab dem 26.11.2019 geltende Schwellenwert auf mindestens 20 Personen erhöht.

Verarbeitung, die Datenschutzfolgenabschätzung erfordert

Eine Pflicht zur Benennung ist jedoch auch dann gegeben, wenn der Verantwortliche nur eine einzige Verarbeitung ausführt, die eine Datenschutz-Folgenabschätzung gem. Art. 35 Abs. 1, Abs. 3 DSGVO erfordert.

Eine Datenschutzfolgenabschätzung hat zumindest dann zu erfolgen, wenn der Verarbeitungsvorgang in der Positivliste der Aufsichtsbehörde nach Art. 35 Abs. 4 DSGVO aufgeführt wird.

Geschäftsmäßige Verarbeitung

Schließlich ist eine Pflicht zur Benennung eines Datenschutzbeauftragten gegeben, wenn Verantwortliche oder Auftragsverarbeiter personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

Eine geschäftsmäßige Verarbeitung ist gegeben, wenn die Verarbeitung selbst einen eigenständigen Zweck der geschäftlichen Tätigkeit ausmacht, wie dies zum Beispiel bei Auskunfteien der Fall ist.