Die Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) ergibt sich aus der DSGVO und dem BDSG, wobei Deutschland strengere Anforderungen hat als die meisten EU-Staaten.
DSB-Pflicht nach Art. 37 Abs. 1 DSGVO:
- Behörden und öffentliche Stellen (mit Ausnahme von Gerichten)
- Kerntätigkeit besteht in Verarbeitungen, die eine umfangreiche regelmäßige und systematische Überwachung von Personen erfordern
- Kerntätigkeit besteht in umfangreicher Verarbeitung besonderer Datenkategorien (Art. 9) oder strafrechtlicher Daten (Art. 10)
DSB-Pflicht nach Paragraph 38 Abs. 1 BDSG (deutsche Besonderheit):
- Ab 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind
- Unabhängig von der Mitarbeiterzahl: bei DSFA-pflichtigen Verarbeitungen (Art. 35 DSGVO)
- Unabhängig von der Mitarbeiterzahl: bei geschäftsmäßiger Verarbeitung zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Markt-/Meinungsforschung
Intern oder extern: Der DSB kann ein Beschäftigter oder ein externer Dienstleister sein (Art. 37 Abs. 6 DSGVO).
Schutz des DSB: Weisungsfreiheit bei Ausübung der Aufgaben, Abberufungs- und Kündigungsschutz (Paragraph 6 Abs. 4 BDSG - nur außerordentliche Kündigung möglich, nachwirkender Schutz von 1 Jahr), Benachteiligungsverbot, direkter Bericht an die höchste Leitungsebene (Art. 38 Abs. 3 DSGVO).
Aufgaben (Art. 39 DSGVO): Unterrichtung und Beratung, Überwachung der Compliance einschließlich Schulung, Beratung bei DSFA, Zusammenarbeit mit der Aufsichtsbehörde, Anlaufstelle. Die Verantwortung für die DSGVO-Einhaltung liegt beim Verantwortlichen, nicht beim DSB.
Kontaktdaten: Müßen veröffentlicht und der Aufsichtsbehörde mitgeteilt werden (Art. 37 Abs. 7 DSGVO).