Wann brauche ich einen Datenschutzbeauftragten?

Die Benennung des Datenschutzbeauftragten in Artikel 37 der DSGVO festgelegt. Doch erlaubt die nationale Öffnungsklausel den einzelnen Mitgliedsstaaten die Schaffung von tiefergreifenden Ausnahmeregelungen. In Deutschland sind diese im Bundesdatenschutzgesetz verankert.

Nach § 38 des neuen Bundesdatenschutzgesetzes (BDSG), welches die Regelungen der DSGVO aufnimmt, haben Sie als nicht öffentliches Unternehmen grundsätzlich die Pflicht, einen Datenschutzbeauftragten zu benennen, wenn sich regelmäßig mindestens zehn Personen in Ihrem Unternehmen mit der automatisierten Verarbeitung von personenbezogenen Daten befassen.

Doch besteht für Sie nach § 38 BDSG, unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigen Personen, die Pflicht zur Benennung, wenn sie einerseits

• Daten auf eine Weise verarbeiten, welche Artikel 35 der DSGVO entspricht, es also aufgrund „des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ (Art. 35 DSGVO) besteht,
• personenbezogene Daten geschäftsmäßig zur (anonymisierten) Übermittlung oder zur Markt- und Meinungsforschung erheben und verarbeiten.
• Videoüberwachung
• Zeiterfassungssysteme
• Zutrittssysteme
• GPS-lokalisierende Systeme (beispielsweise Fahrzeuglokalisierung)
• RFID-basierte Technologien

Außerdem brauchen Sie einen Datenschutzbeauftragten, wenn Sie Verfahren einsetzen, welche Sie einer Vorabkontrolle durch einen Datenschutzbeauftragten unterziehen müssen. Beispiele hierfür sind:

Hinsichtlich der Qualifikation eines Datenschutzbeauftragten ist festzuhalten, dass die jeweilige Person über die Fachkunde verfügen muss, die zur Erfüllung der in Artikel 39 DSGVO festgelegten Aufgaben befähigt. Zudem ist ein Datenschutzbeauftragter direkt der Geschäftsleitung unterstellt und in Ausführung seiner Aufgaben weisungsfrei.