Datenschutzbeauftragten (DSB) oder doch ein Datenschutzkoordinator?
Der Datenschutzbeauftragte kann intern oder extern bestellt werden. Aber brauche ich die Rolle überhaupt in meinem Unternehmen? Genügt vielleicht ein Koordinator?
Obligatorische Benennung
Nach Artikel 37 Absatz 1 der DS-GVO ist die Benennung eines DSB in drei bestimmten Fällen
vorgeschrieben:
- falls die Datenverarbeitung durch Behörden oder öffentliche Stellen erfolgt,
- falls die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in
Datenverarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung
von betroffenen Personen in großem Umfang erfordern, oder
- falls die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der
umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen
Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Was bedeutet das für mich?
- Behörden müssen auf jeden Fall einen DSB bestimmen.
Aber wie sieht es aus mit KFZ-Werkstätten, Rauchfangkehrern, … sogenannte „Beliehene“, deren Tätigkeit eigentlich eine Gesetzesumsetzung mit sich bringt?
Dazu gibt es im „Datenschutz-Deregulierungs-Gesetz“ einen befreienden Passus:
Beliehene sind daher von der Verpflichtung gemäß Art 37 Abs. 1 lit. a DSGVO zur Benennung eines
Datenschutzbeauftragten nicht umfasst; aus den anderen Vorgaben des Art. 37 DSGVO kann sich jedoch
eine Verpflichtung zur Benennung eines Datenschutzbeauftragten für Beliehene ergeben.
Das bedeutet, nur weil man eine KFZ-Werkstatt betreibt, braucht man noch keinen DSB. Wenn andere Punkte dazu kommen, kann es trotzdem notwendig sein.
- Der Begriff der Kerntätigkeit ist leider schwach formuliert in der DSGVO. Die Art29 – Gruppe (Datenschutz-Beratungs-Einheit der EU-Kommission) stellt hier klar, dass auch jede Datenverarbeitung, die untrennbar mit der Haupttätigkeit verbunden ist, mit diesem Begriff umfasst ist. Ein Unternehmen, das für die Sicherheit eines Gebäudes oder eines IT-Environments verantwortlich ist, hat als Kerntätigkeit eben genau diese systematische Überwachung als Kerntätigkeit. Das Gesetz weißt hier auch besonders darauf hin, dass Auftragsdatenverarbeiter, also Dienstleister, ebenfalls betroffen sein können. Selbst dann, wenn der Verantwortliche in diesem Fall die Qualifikation nicht erfüllt.
- Ein Krankenhaus wird primär Patienten behandeln. Dabei fallen aber unweigerlich und ständig – systematisch also – Daten von Personen an. Ein DSB ist zwingend für den Verantwortlichen erforderlich.
Ein einzelner praktischer Arzt wird weder territorial noch mengenmäßig von „umfangreicher“ Verarbeitung reden und ist von dieser Verpflichtung frei.
Ärztezentren, die für viele (einzelne) Ärzte Verarbeitungen erbringen, qualifizieren sich dahingegen auf jeden Fall und müssen einen DSB benennen.
Freiwillige Benennung
Natürlich haben alle Unternehmen die Möglichkeit aus eigenem Ermessen einen Datenschutzbeauftragten zu benennen.
Das bringt folgende Vorteile mit sich:
- Sprachrohr zur Datenschutzbehörde
- Berater der Geschäftsführung
- Deutsche Kunden erwarten üblicher Weise die Bekanntgabe eines Datenschutzbeauftragten
- Normierter Ablauf Ihrer Datenschutzthemen