§ 38 des Bundesdatenschutzgesetz (BDSG) und Artikel 37 Datenschutz-Grundverordnung (DSGVO) regeln die Bestellung eines Datenschutzbeauftragten für Unternehmen.
• Nach § 38 (1) BDSG benötigt jedes Unternehmen einen Datenschutzbeauftragten, das selbst oder im Auftrag ständig mindestens 20 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
• Nach § 38 (1) BDSG benötigt jedes Unternehmen einen Datenschutzbeauftragten, das selbst oder im Auftrag Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Artikel 35 DSGVO unterliegen, unabhängig von der Anzahl der Mitarbeiter, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
• Ferner benötigen nach § 38 (1) BDSG alle Unternehmen einen Datenschutzbeauftragten, die personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, unabhängig von der Anzahl der Mitarbeiter, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.
• Nach Artikel 37 b) DSGVO benötigt jedes Unternehmen einen Datenschutzbeauftragten, das selbst oder im Auftrag regelmäßig, umfangreich und systematisch Personen überwacht.
• Nach Artikel 37 c) DSGVO benötigt jedes Unternehmen einen Datenschutzbeauftragten, das selbst oder im Auftrag besondere Kategorien von Daten umfangreich verarbeitet. Zu den besonderen Kategorien von Daten gehören:
• Genetische Daten
• Biometrische Daten
• Gesundheitsdaten (Auffassung der Datenschutzaufsichtsbehörden in Deutschland ist aber, dass die Benennung von Datenschutzbeauftragten bei Arztpraxen und sonstigen Angehörigen von Gesundheitsberufen in der Regel erst ab mindestens zehn mit der automatisierten Verarbeitung beschäftigten Personen erforderlich ist oder bei umfangreicher Verarbeitung besonderer Datenkategorien)
• Daten zum Sexualleben oder zur sexuellen Orientierung
• Rassische und ethnische Herkunft
• Politische Meinungen
• Religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• Ferner benötigt nach Artikel 37 c) DSGVO jedes Unternehmen einen Datenschutzbeauftragten, das selbst oder im Auftrag umfangreich personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 DSGVO verarbeitet.
• Eine Unternehmensgruppe darf nach Artikel 37 (2) DSGVO einen gemeinsamen Datenschutzbeauftragten ernennen, wenn der Datenschutzbeauftragte von jeder Niederlassung der Unternehmensgruppe aus leicht erreicht werden kann.
• Ein Unternehmen kann einen Datenschutzbeauftragten intern oder extern bestellen. Nach § 6 (4) BDSG ist eine Kündigung des internen Datenschutzbeauftragten nur bei wichtigem Grund zur fristlosen Kündigung möglich. Erst ein Jahr nach seiner Abberufung ist die Kündigung eines internen Datenschutzbeauftragten wieder möglich. Der Datenschutzbeauftragte wird nach Artikel 37 (5) DSGVO auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben. Einem internen Datenschutzbeauftragten müssen Sie also entsprechende Fortbildungsmöglichkeiten gewährleisten.
• Die zuständige Aufsichtsbehörde ist berechtigt, einen Verstoß gegen die Pflicht zur Bestellung eines Datenschutzbeauftragten mit einem Bußgeld zu ahnden.
Sprechen Sie uns gerne an, wenn Sie Fragen zu diesem Thema haben.