Bereichsbild

Datenschutz- Beauftragter

Bestellpflicht

 

Benennungspflicht

Wann ein/e Datenschutzbeauftragte/r zu benennen ist, regeln Art. 37 Abs. 1 DS-GVO, §§ 5, 38 Abs. 1 BDSG 2018.   

Überblick: Wann ist ein/e Datenschutzbeauftragte/r zu benennen?

  • Öffentliche Stelle: immer
  • Nichtöffentliche Stellen:

-  Schwellenwertabhängig: 
in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt

-  Unabhängig vom Erreichen des Schwellenwertes:  

  • Datenschutz-Folgenabschätzung (Art. 35 DS-GVO), zu den „Muss-Fällen“ vgl. etwa LfDI Baden-Württemberg 
  • Geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung
  • Kerntätigkeit, die umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich macht 
  • Kerntätigkeit, die in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DS-GVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DS-GVO) besteht

Die Form der Benennung ist nicht geregelt. Zur Gewährleistung von Rechtssicherheit und aus Dokumentationsgründen ist eine Benennung zumindest in Textform gleichwohl ratsam. Es empfiehlt sich, der Benennung eine Stellenbeschreibung beizufügen, die Aufgaben und Stellung des/der jeweiligen Datenschutzbeauftragten im Einzelnen und bezogen auf die individuellen Besonderheiten beim Verantwortlichen bzw. Auftragsverarbeiter beschreibt.

Der Verantwortliche bzw. Auftragsverarbeiter hat die Kontaktdaten des/der Datenschutzbeauftragten zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.