§ 38 Datenschutzbeauftragte nichtöffentlicher Stellen
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
(2) § 6 Absatz 4, 5 Satz 2 und Absatz 6 finden Anwendung, § 6 Absatz 4 jedoch nur, wenn die Benennung einer oder eines Datenschutzbeauftragten verpflichtend ist.
§ 38 BDSG 2018 wurde neu gefasst mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU – vom 30.06.2017, BGBl. I, vom 05.07.2017, S. 2097 und tritt am 25.05.2018 in Kraft.
Die Vorschrift gilt für Datenschutzbeauftragte bei nichtöffentlichen Stellen. Mit ihr macht der nationale Gesetzgeber Gebrauch von den Spielräumen, die durch die DSGVO in Artikel 37 Absatz 4 Satz 1 und Artikel 38 Absatz 5 DSGVO gelassen werden. Die Regelungen des § 38 gelten in Ergänzung zu den Artikeln 37 bis 39 DSGVO.
Absatz 1 dient dem Gebrauchmachen von der Öffnungsklausel gemäß Artikel 37 Absatz 4 Satz 1 Halbsatz 2 DSGVO, wobei Absatz 1 Satz 1 an § 4f Absatz 1 Satz 4 BDSG a. F. anknüpft. Nach dieser Vorschrift haben nichtöffentliche Stellen einen Datenschutzbeauftragten zu bestellen, sofern dort in der Regel mindestens zehn Personen ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind.
Absatz 1 Satz 2 knüpft an § 4f Absatz 1 Satz 6 BDSG a. F. an und bestimmt, dass Verantwortliche, welche eine Datenschutz-Folgeabschätzung vorzunehmen haben (vgl. Artikel 35 DSGVO) oder welche geschäftsmäßig personenbezogene Daten verarbeiten zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung unabhängig von der Mitarbeiteranzahl einen Datenschutzbeauftragten zu bestellen haben.
Absatz 2 erstreckt zahlreiche für Datenschutzbeauftragte öffentlicher Stellen geltende Regelungen auf Datenschutzbeauftragte nichtöffentlicher Stellen:
Die praktisch sehr relevante Regelung zu den Anforderungen der Abberufung und zum Kündigungsschutz des § 6 Absatz 4 gilt für nichtöffentliche Stellen, wenn die Bestellung eines Datenschutzbeauftragten verpflichtend ist (vgl. Artikel 37 DSGVO und Absatz 1). Entsprechend anzuwenden sind auch Vorschriften zur Verschwiegenheit gemäß § 6 Absatz 5 Satz 2 sowie zum Zeugnisverweigerungsrecht gemäß § 6 Absatz 6. Unabhängig von den vorstehenden Regelungen gelten die Vorschriften zur Verschwiegenheitspflicht und zum Zeugnisverweigerungsrecht nach Artikel 38 Absatz 5 DSGVO für Datenschutzbeauftragte bei nichtöffentlichen Stellen stets.