Der Datenschutzbeauftragter

Foto ©: https://pixbay.com | zur freien Verfügung
Der Datenschutzbeauftragte                                                                                    (Art. 37 bis 39 DSGVO, § 38 BDSG-NEU)
  • War bisher deutsche Besonderheit
    • nun europaweit Pflicht zur Benennung in bestimmten Fällen
  • Beachte Pflichten zur Benennung
  • Bußgeldrahmen (10 Mio Euro / 2 % Jahresumsatz)

Benennung

  • Pflicht zur Benennung nach DSGVO, Art. 37 Abs. 1 DSGVO
    • bei Datenverarbeitung durch Behörden oder öffentlichen Stellen grundsätzlich immer!
      • Ausnahme: Justizielle Tätigkeiten
  • Verantwortliche und Auftragsverarbeiter, wenn Kerntätigkeit
    • in Durchführungvon Verarbeitungsvorgängen, die umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erfordern besteht
    • in umfangreicher Verarbeitung von Daten gem. Art. 9, 10 DSGVO
      • besondere Kategorien von Daten
      • Daten über starftrechtliche Verurteilungen
  • Definition „Kerntätigkeit“ nach der Artikel-29-Datenschutzgruppe
  • „Als Kerntätigkeit lassen sich die wichtigsten Arbeitsabläufe betrachten, die zur Erreichnung der Ziele des Verantwortlichen oder des Auftragverarbeiters erforderlich sind“.
  • Möglichkeit der weitergehenden Konkretisierung der Benennungspflicht des Datenschutzbeauftragten durch nationales Recht in Art. 37 Abs. 4 DSGVO
  • Pflicht zur Benennung nach § 38 Abs. 1 BDSG-NEU
    • wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
    • wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden
    • bei Erforderlichkeit einer Datenschutz-Folgenabschätzung*
    • *unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen
  • Prüfung mit Fragenkatalog
    • Frage1: Sind in Ihrem Unternehmen oder Verein mindestens zehn Personen damit beschäftigt, personenbezogene Daten automatisiert zu verarbeiten?
      • Liegt schon immer dann vor, wenn jemand am PC, Laptop oder sonstigen EDV-Gerät mit pDaten von Menschen zu tun hat
      • Dabei ist es unerheblich, ob die Personen für Ihre Tätigkeit bezahlt werden, als auch ehrenamtliche Vereinsmitglieder zählen mit
      • maßgeblich ist die Zahl der Köpfe, nicht die Zahl der Stellen
  • Falls ja: Sie müssen auf jeden Fall einen Datenschutzbeauftragten benennen!
    • diese Verpflichtung ergibt sich in diesem Fall aus § 38 Abs. 1 BDSG-NEU
  • Frage 2: Verarbeiten Sie in Ihrem Unternehmen oder Verein Daten besonderer Kategorien, also Daten nach Art. 9 oder 10 DSGVO?
    • Gesundheitsdaten?
    • Daten aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen?
    • Daten zum Sexualleben oder zu sexueller Orientierung?
    • Daten aus den die rassistische oder ethnische Herkunft hervorgeht?
    • Daten, aus denen die Gewerkschaftszugehörigkeit hervorgeht?
    • Daten, aus denen politische Meinungen hervorgehen?
    • Daten über strafrechtliche Verurteilungen oder Straftaten?
  • Frage 3: Ist die Verarbeitung der in Frage 2 genannten Daten (Daten besonderer Kategorie oder Straftaten/strafrechtliche Verurteilungen) eine Kerntätigkeit Ihres Unternehmens und Vereins?
  • Falls ja: Sie brauchen einen Datenschutzbeauftragten!
  • Falls nein: Sie brauchen keinen Datenschutzbeauftragten!
  • Frage 4: Ist die umfangreiche, regelmäßige und systematische Überwachung von Personen eine Kerntätigkeit Ihresn Unternehmens?
  • Falls ja: Sie brauchen einen Datenschutzbeauftragten!
  • Falls nein: Sie brauchen keinen Datenschutzbeauftragten!
  • Bedeutung der Frage der Bennengspflicht
    • Oft übersehen: Alle (anderen) datenschutzrechtlichen Pflichten der DSGVO und des BDSG-NEU treffen Sie unabhängig davon, ob Sie verpflichtet sind, einen Datenschutzbeauftragten zu benennen

Schreibe einen Kommentar