Der Datenschutzbeauftragter

Foto ©: https://pixbay.com | zur freien Verfügung
Der Datenschutzbeauftragte                                                                                    (Art. 37 bis 39 DSGVO, § 38 BDSG-NEU)
  • War bisher deutsche Besonderheit
    • nun europaweit Pflicht zur Benennung in bestimmten Fällen
  • Beachte Pflichten zur Benennung
  • Bußgeldrahmen (10 Mio Euro / 2 % Jahresumsatz)

Benennung

  • Pflicht zur Benennung nach DSGVO, Art. 37 Abs. 1 DSGVO
    • bei Datenverarbeitung durch Behörden oder öffentlichen Stellen grundsätzlich immer!
      • Ausnahme: Justizielle Tätigkeiten
  • Verantwortliche und Auftragsverarbeiter, wenn Kerntätigkeit
    • in Durchführungvon Verarbeitungsvorgängen, die umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erfordern besteht
    • in umfangreicher Verarbeitung von Daten gem. Art. 9, 10 DSGVO
      • besondere Kategorien von Daten
      • Daten über starftrechtliche Verurteilungen
  • Definition „Kerntätigkeit“ nach der Artikel-29-Datenschutzgruppe
  • „Als Kerntätigkeit lassen sich die wichtigsten Arbeitsabläufe betrachten, die zur Erreichnung der Ziele des Verantwortlichen oder des Auftragverarbeiters erforderlich sind“.
  • Möglichkeit der weitergehenden Konkretisierung der Benennungspflicht des Datenschutzbeauftragten durch nationales Recht in Art. 37 Abs. 4 DSGVO
  • Pflicht zur Benennung nach § 38 Abs. 1 BDSG-NEU
    • wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
    • wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden
    • bei Erforderlichkeit einer Datenschutz-Folgenabschätzung*
    • *unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen
  • Prüfung mit Fragenkatalog
    • Frage1: Sind in Ihrem Unternehmen oder Verein mindestens zehn Personen damit beschäftigt, personenbezogene Daten automatisiert zu verarbeiten?
      • Liegt schon immer dann vor, wenn jemand am PC, Laptop oder sonstigen EDV-Gerät mit pDaten von Menschen zu tun hat
      • Dabei ist es unerheblich, ob die Personen für Ihre Tätigkeit bezahlt werden, als auch ehrenamtliche Vereinsmitglieder zählen mit
      • maßgeblich ist die Zahl der Köpfe, nicht die Zahl der Stellen
  • Falls ja: Sie müssen auf jeden Fall einen Datenschutzbeauftragten benennen!
    • diese Verpflichtung ergibt sich in diesem Fall aus § 38 Abs. 1 BDSG-NEU
  • Frage 2: Verarbeiten Sie in Ihrem Unternehmen oder Verein Daten besonderer Kategorien, also Daten nach Art. 9 oder 10 DSGVO?
    • Gesundheitsdaten?
    • Daten aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen?
    • Daten zum Sexualleben oder zu sexueller Orientierung?
    • Daten aus den die rassistische oder ethnische Herkunft hervorgeht?
    • Daten, aus denen die Gewerkschaftszugehörigkeit hervorgeht?
    • Daten, aus denen politische Meinungen hervorgehen?
    • Daten über strafrechtliche Verurteilungen oder Straftaten?
  • Frage 3: Ist die Verarbeitung der in Frage 2 genannten Daten (Daten besonderer Kategorie oder Straftaten/strafrechtliche Verurteilungen) eine Kerntätigkeit Ihres Unternehmens und Vereins?
  • Falls ja: Sie brauchen einen Datenschutzbeauftragten!
  • Falls nein: Sie brauchen keinen Datenschutzbeauftragten!
  • Frage 4: Ist die umfangreiche, regelmäßige und systematische Überwachung von Personen eine Kerntätigkeit Ihresn Unternehmens?
  • Falls ja: Sie brauchen einen Datenschutzbeauftragten!
  • Falls nein: Sie brauchen keinen Datenschutzbeauftragten!
  • Bedeutung der Frage der Bennengspflicht
    • Oft übersehen: Alle (anderen) datenschutzrechtlichen Pflichten der DSGVO und des BDSG-NEU treffen Sie unabhängig davon, ob Sie verpflichtet sind, einen Datenschutzbeauftragten zu benennen

Die Texte ersetzen keine Rechtsberatung. Es sind lediglich Zusammenstellungen von Informationen, die jederzeit in der DSGVO oder im BDSG-NEU geändert werden können.