Datenschutzbeauftragter

Die wesentliche Fragestellung für die verpflichtende Benennung eines Datenschutzbeauftragten ist, wie viele Personen in der Regel sowie ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Beim Thema "Benennung eines betrieblichen Datenschutzbeauftragten" erreicht uns immer wieder die gleiche, aber zentrale Frage: Wann ist in einem Unternehmen oder bei einer anderen Stelle jemand "in der Regel" sowie "ständig" mit der automatisierten Verarbeitung personenbezogener Daten "beschäftigt"?

Hierzu weisen wir zunächst auf Folgendes hin: Ergänzend zu den allgemeinen Vorschriften für die Benennung eines Datenschutzbeauftragten in Art. 37 Abs. 1 DS-GVO hält § 38 Abs. 1 Satz 1 BDSG die in Deutschland aus der Vergangenheit bekannte Regelung aufrecht, dass bei mindestens 20 Personen, die mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, ebenfalls ein Datenschutzbeauftragter zu benennen ist. Dabei kommt es nach dem Gesetzeswortlaut darauf an, dass diese 20 Personen zum einen in der Regel sowie zum anderen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

"In der Regel" stellt als Abgrenzungsmerkmal darauf ab, dass die 20 oder mehr Beschäftigten die übliche personelle Größenordnung des Unternehmens oder des Auftragsverarbeiters bilden; gelegentliche unregelmäßige Aushilfen bleiben dabei außer Betracht.

"Ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt" setzt voraus, dass dies ein Schwerpunkt der Tätigkeit einer Person ist.

Beispiele hierzu: Handwerker, die ein Tablet zur Eingabe der Arbeitszeit beim Kunden nutzen, haben überwiegend mit ihrer handwerklichen Tätigkeit zu tun. Ebenso ist bei Versandmitarbeitern eines Lieferdienstes, die ein Unterschriftspad zur elektronischen Unterschrift des Kunden über ein erhaltenes Paket nutzen, die Tätigkeit regelmäßig weit überwiegend das Zusammenstellen und Ausliefern von Waren. Diese Beispiele zeigen, dass gerade solche Gruppen von Mitarbeitern dann allenfalls untergeordnet mit der automatisierten Verarbeitung personenbezogener Daten von Kunden befasst sind, sodass diese bei der vorher genannten 20-Personen-Grenze nicht mitzuzählen sind. Gleiches gilt bspw. auch für Kassenkräfte in Einzelhandelsgeschäften, wenn diese im Schwerpunkt ihrer Tätigkeit Waren über Scanner ziehen, Waren einpacken, anonyme Barkäufe kassieren, eventuell daneben noch Waren einräumen, platzieren sowie Verpackungsmüll wegräumen, und nur untergeordnet personalisierte Kartenzahlungen entgegennehmen.

Beschäftigte der Personal- oder Finanzbuchhaltung zählen hingegen in aller Regel zu den 20 Personen dazu, da hier die vorher aufgelisteten Voraussetzungen erfüllt werden.

Wir haben hierzu auch eine Auslegungshilfe veröffentlicht, zu finden unter:

Überwachungsaufgaben des Datenschutzbeauftragten

Die Hauptverantwortung für die Einhaltung der DS-GVO trägt nicht der Datenschutzbeauftragte, sondern die Leitung eines Unternehmens, eines Vereins oder einer anderen Stelle. Der Datenschutzbeauftragte hat eine Beratungsfunktion und insoweit auch eine Überwachungsfunktion.

Oft wird die Frage an uns herangetragen, welche Rolle der Datenschutzbeauftragte im Sinne der DS-GVO tatsächlich einnehmen muss.

Nach Art. 39 Abs. 1 Buchstabe b DS-GVO obliegt dem Datenschutzbeauftragten konkret die Überwachung der Einhaltung der DS-GVO, anderer Datenschutzvorschriften sowie der Strategien des Verantwortlichen (oder des Auftragsverarbeiters) für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen.

Im veröffentlichten Informationspapier Working Paper 243 des Europäischen Datenschutzausschusses sind entsprechende Angaben unter Nummer 4.1 zu finden.

Meldepflicht:

Nach Art. 37 Abs. 7 DS-GVO hat ein Verantwortlicher oder ein Auftragsverarbeiter die Kontaktdaten des Datenschutzbeauftragten (DSB) nicht nur zu veröffentlichen, sondern auch der Aufsichtsbehörde mitzuteilen. Das BayLDA hat hierfür einen Online-Service entwickelt, der es Verantwortlichen ermöglicht, die hierzu erforderlichen DSB-Meldungen für den nicht-öffentlichen Bereich in Bayern bequem online durchzuführen. Das DSB-Meldeportal ist unter folgender Adresse erreichbar: https://lda.dsb-meldung.de

Wir haben hierzu auch eine Auslegungshilfe veröffentlicht, zu finden unter: