Ein Datenschutzbeauftragter …
… ist europaweit gesetzlich vorgeschrieben
Im Artikel 37 DSGVO heißt es:
„Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“
Nach der EU DSGVO ist jedes Unternehmen also dann verpflichtet, einen Datenschutzbeauftragten zu benennen, wenn zu seiner Kerntätigkeit eine „umfangreichen Verarbeitung von Daten“ gehört.
Eine „umfangreiche Verarbeitung“ könnte es sein,
- wenn Daten von vielen Betroffenen verarbeitet werden,
- wenn die Datenmenge
- oder die geografische Reichweite hoch ist.
Wie groß genau die Datenmenge sein muss, sagt die DSGVO nicht.
Im EU DS-GVO Art. 37, Absatz 1 b heißt es:
„b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen …“
Die Kerntätigkeit eines Folienherstellers beispielsweise ist das Herstellen von Folie. Selbst wenn er Zeiterfassungssystem hat, mit denen er personenbezogene Daten seiner Mitarbeiter speichert, gehört das nicht zu den Aufgaben, die ihn zur Bestellung eines Datenschutzbeauftragten verpflichten, weil die Zeiterfassungsdaten nicht zu seiner Kerntätigkeit gehören.
Datenverarbeitung als Kerntätigkeit
Wenn ein Unternehmen aber Folie an viele Kunden verkauft und vielleicht auch Kundenprofile und Zahlungsfähigkeiten seiner Kunden dokumentiert und speichert, Kaufverhalten analysiert – wenn das die Nebentätigkeit des Unternehmens ist, ist er nach dem EU DS-GVO nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen. Ist es aber seine Kerntätigkeit, braucht er einen.
Ein Briefdienstleister dagegen braucht den Datenschutzbeauftragten aber auf jeden Fall. Das Speichern von personenbezogenen Daten ist seine Kerntätigkeit und Briefe enthalten nichts Anderes als personenbezogene Daten.
Ab 20 Mitarbeiter Pflicht
Das alles gilt für uns allerdings nur dann, wenn ein Unternehmer mehr als 20 Mitarbeiter beschäftigt, die sich ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Die DSGVO hat in einer Öffnungsklausel nationale Regelungen zugelassen so sie ihr nicht widersprechen.
Für uns ist deshalb mit der DSGVO auch ein neues Bundesdatenschutzgesetz inkraft getreten. Und das schreibt uns immer noch vor, dass für jede Firma, jede Institution mit 20 Mitarbeitern oder mehr in der Datenverarbeitung ein Datenschutzbeauftragter verpflichtend ist.
Kontaktdaten des Datenschutzbeauftragten veröffentlichen
Name und Kontaktdaten des Datenschutzbeauftragten müssen veröffentlicht und der Aufsichtsbehörde mitgeteilt werden.
