Unternehmen und Behörden können unter bestimmten Voraussetzungen verpflichtet sein, einen betrieblichen oder behördlichen Datenschutzbeauftragten zu bestellen bzw. zu benennen. Regelungen hierzu finden sich in der Datenschutz-Grundverordnung (DSGVO) sowie im Bundesdatenschutzgesetz (BDSG). Ab dem 25. Mai 2018 wird die DSGVO in der gesamten Europäischen Union unmittelbar Geltung erlangen und die Datenschutzrichtlinie 95/46/EG von 1995 ersetzen. Mit der Geltung der DSGVO ab dem 25. Mai 2018 wird auch das neue BDSG (BDSG-neu) auf nationaler Ebene in Kraft treten und das alte BDSG (BDSG-alt) ersetzen.
Die Pflicht zur Benennung eines behördlichen oder betrieblichen Datenschutzbeauftragten ist in der DSGVO in Artikel 37 Absatz 1 geregelt. Artikel 37 Abs. 1 DSGVO schreibt in drei Fallgruppen die Benennung eines Datenschutzbeauftragten vor:
- Öffentliche Stellen und Behörden, die personenbezogene Daten verarbeiten, müssen generell einen internen Datenschutzbeauftragten benennen. Ausgenommen sind Gerichte, die im Rahmen ihrer rechtsprechenden Tätigkeit personenbezogene Daten verarbeiten, Art. 37 Abs. 1, a) DSGVO.
- Nicht-öffentliche Stellen müssen einen Datenschutzbeauftragten benennen, wenn deren Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, Art. 37 Abs. 1, b) DSGVO.
- Für nicht-öffentliche Stellen, deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gem. Art. 9 oder von personenbezogen Daten über strafrechtliche Verurteilungen und Straftaten gem. Art. 10 besteht, gibt es ebenfalls die Pflicht zur Benennung eines Datenschutzbeauftragten, Art. 37 Abs. 1, c) DSGVO. Bei diesen Daten handelt es sich um personenbezogene Daten, die besonders schutzwürdig sind.
Mit Kerntätigkeit in der zweiten und dritten Fallgruppe des Art. 37 Abs. 1 DSGVO ist die Hauptaktivität des Unternehmens gemeint. Bloße Nebentätigkeiten sollen nicht hierunter fallen.
Nach Art. 37 Abs. 2 DSGVO darf eine Unternehmensgruppe einen gemeinsamen Datenschutzbeauftragten benennen, sofern dieser von jeder Niederlassung aus leicht erreicht werden kann.
Die Stellung und die Aufgaben des Datenschutzbeauftragten sind in Art. 38 und Art. 39 DSGVO geregelt.
Art. 37 Abs. 4 DSGVO enthält zwei Öffnungsklauseln: Zum einen steht es den Verantwortlichen und Datenverarbeitern frei, einen Datenschutzbeauftragten zu benennen, also ohne dass sie dazu nach Art. 37 Abs. 1 DSGVO verpflichtet sind. Zum anderen können die Mitgliedstaaten auf nationaler Ebene für weitere Fälle die Benennung eines Datenschutzbeauftragten vorschreiben. Von dieser Möglichkeit hat der deutsche Gesetzgeber in § 38 BDSG-neu Gebrauch gemacht.
§ 38 BDSG-neu (Datenschutzbeauftragte nichtöffentlicher Stellen) regelt, dass neben der Pflicht zur Benennung eines Datenschutzbeauftragten gem. Art. 37 Abs. 1 DSGVO auf nationaler Ebene die Pflicht zur Benennung eines Datenschutzbeauftragten besteht, wenn der Verantwortliche in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt. Diese Regelung findet sich bereits in § 4 BDSG-alt. Unabhängig von der Anzahl der mit der automatisierten Datenverarbeitung Beschäftigten besteht die Pflicht zur Benennung eines Datenschutzbeauftragten gem. § 38 Abs. 1 Satz 2 BDSG-neu, wenn der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen von Daten vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO unterliegen oder wenn personenbezogen Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden. § 38 Abs. 2 BDSG-neu verweist auf § 6 Abs. 4, 5 Satz 2 und Absatz 6, somit unter anderem auf die Vorgaben zur Abberufung und Kündigung des Datenschutzbeauftragten. Der Verweis auf § 6 Abs. 4 BDSG- neu (Abberufung und Kündigung) gilt jedoch nur, wenn eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht und nicht wenn die Benennung des Datenschutzbeauftragten freiwillig erfolgt ist.
Sowohl die DSGVO als auch das BDSG-neu verwenden den Begriff „Benennung“. Das BDSG-alt hingegen verwendete den Begriff der „Bestellung“ des Datenschutzbeauftragten, welcher zumindest von der Begrifflichkeit her formaler verstanden werden kann. In welcher Form die Benennung des Datenschutzbeauftragten erfolgen soll, ist nicht geregelt. Aufgrund der Bedeutung und der erheblichen Folgen sollte die Benennung des Datenschutzbeauftragten stets schriftlich erfolgen.
Art. 37 DSGVO: Benennung eines Datenschutzbeauftragten
(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.(2) Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.
(3) Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.(4) In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.
(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
(6) Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
(7) Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.
§ 38 BDSG- neu: Datenschutzbeauftragte nichtöffentlicher Stellen
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.
Gesetz vom 30.06.2017, Art. 1 Bundesdatenschutzgesetz (BDSG), BGBl. I, S. 2097; Inkrafttreten: 25.05.2018