Wer benötigt einen Datenschutzbeauftragten (DSB)?

 

Eine Pflicht zur Benennung eines DSB kann sich sowohl aus der DS-GVO als auch aus dem nationalen Recht ergeben. Eine Benennungspflicht kann für den Verantwortlichen, für den Auftragsverarbeiter oder für beide bestehen, je nachdem wer durch seine Tätigkeit selbst die Voraussetzungen für diese Pflicht erfüllt. Wer bisher einen DSB bestellen musste, muss in der Regel auch weiterhin einen DSB benennen.

 

Behörde oder öffentliche Stelle (mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln; Art. 37 DS-GVO)                        ☐ ja ☐ nein

 

Kerntätigkeit mit umfangreicher oder systematischer Überwachung von Personen oder Kerntätigkeit mit umfangreicher Verarbeitung besonders sensibler Daten (Artikel 9, 10 DS-GVO).                                                       ☐ ja ☐ nein

 

„Kerntätigkeit" ist die Haupttätigkeit eines Unternehmens, die es untrennbar prägt, und nicht die Verarbeitung personenbezogener Daten als Nebentätigkeit (ErwGr. 97 der DS-GVO). Zu den Kerntätigkeiten gehören danach auch alle Vorgänge, die einen festen Bestandteil der Haupttätigkeit des Verantwortlichen darstellen. Hierzu gehören nicht die das Kerngeschäft unterstützenden Tätigkeiten wie z. B. die Verarbeitung der Beschäftigtendaten der eigenen Mitarbeiter.

 

Für die Definition des Begriffs "umfangreich" können aus ErwGr 91 der DS-GVO folgende Faktoren herangezogen werden: Menge der verarbeiteten personenbezogenen Daten (Volumen), Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt), Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße) und  Dauer der Verarbeitung (zeitlicher Aspekt).

 

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt (ErwGr. 91 der DS-GVO).

 

Es werden in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 BDSG neu)                                                                                            ☐ ja ☐ nein

 

Es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung* nach Art. 35 DS-GVO unterliegen oder es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung** verarbeitet (§ 38 BDSG neu).                         ☐ ja ☐ nein

 

*Wenn Sie gemäß Art. 35 DSGVO eine Datenschutz-Folgenabschätzung durchführen müssen, weil Sie z. B in besonders großem Umfang durchgeführt wird oder die Freiheiten der Personen zu sehr einschränkt, sollten Sie hier "Ja" wählen. § 38 (1) S. 2 BDSG (neu).

**Dies gilt also für Adresshändler, Auskunfteien oder Umfrageportale. § 38 (1) S. 2 BDSG (neu)

Haben Sie mindestens 1 x mal mit JA geantwortet, so wird ein Datenschutzbeauftragter benötigt.