News und Infos zur Praxis Datenschutz und IT-Sicherheit
Wann ist ein Datenschutzbeauftragter verpflichtend zu benennen?
Nach den Vorgaben von Art. 31 Abs. 1 DSGVO und § 38 BDSG ergeben sich sechs spezifische Szenarien, in denen zwingend ein behördlicher oder betrieblicher Datenschutzbeauftragter bestellt werden muss:
- Der Verantwortliche ist eine öffentliche Stelle oder Behörde (Art. 37 Abs. 1 Buchstabe a DSGVO).
- Die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters umfasst Verarbeitungen, die hauptsächlich eine umfangreiche und systematische Überwachung betroffener Personen beinhalten (Art. 37 Abs. 1 Buchstabe b DSGVO).
- Der Verantwortliche oder Auftragsverarbeiter führt als Kerntätigkeit Verarbeitungen durch, die im Wesentlichen auf die umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten oder strafrechtlicher Verurteilungen der betroffenen Personen abzielen (Art. 37 Abs. 1 Buchstabe c DSGVO).
- Bei dem Verantwortlichen oder Auftragsverarbeiter sind regelmäßig mindestens zwanzig Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Abs. 1 Satz 1 BDSG).
- Die Verarbeitungen des Verantwortlichen oder Auftragsverarbeiters erfordern eine Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO (§ 38 Abs. 1 Satz 2, 1. Halbsatz BDSG).
- Es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, anonymisierten Übermittlung oder Marktforschung verarbeitet (§ 38 Abs. 1 Satz 2, 2. Halbsatz BDSG).
Diese Quellen bieten detaillierte Informationen zu den Verpflichtungen hinsichtlich der Benennung eines Datenschutzbeauftragten.
- Artikel 37 Absatz 1 der Datenschutz-Grundverordnung (DSGVO): Dieser Artikel legt fest, unter welchen Bedingungen Verantwortliche und Auftragsverarbeiter einen Datenschutzbeauftragten benennen müssen.
- § 38 Absatz 1 des Bundesdatenschutzgesetzes (BDSG): Diese Bestimmung ergänzt die DSGVO und definiert spezifische nationale Anforderungen für die Benennung eines Datenschutzbeauftragten in Deutschland.