Datenschutzbeauftragter

Sowohl Verantwortliche im Sinne des Art. 4 Nr. 7 DS-GVO als auch Auftragsverarbeiter nach Art. 4 Nr. 8 DS-GVO (beide im Folgenden unter dem Begriff „Organisation“ zusammengefasst) sind unter bestimmten Umständen dazu verpflichtet, einen Datenschutzbeauftragten („DSB“) zu benennen.

DSB nehmen in der Organisation Beratungs-, Überwachungs- und Kooperationsaufgaben wahr und fungieren als Mittler zwischen der Organisation und z.B. deren eigenen Mitarbeitern, Aufsichtsbehörden und betroffenen Personen.

Die Organisation hat dabei u.a. sicherzustellen, dass DSB ihre Aufgaben in unabhängiger Weise ausüben können und mit hinreichenden Ressourcen zur Aufgabenerfüllung ausgestattet sind.

Die Hauptverantwortung für die Einhaltung der DS-GVO wird jedoch auch bei bestehender Benennpflicht nicht auf DSB übertragen, sondern verbleibt stets bei der Organisation bzw. deren Leitung.

Bei bestehender Benennpflicht hat die Organisation außerdem nach Art. 37 Abs. 7 DS-GVO die Kontaktdaten des DSB zu veröffentlichen und der zuständigen Datenschutzaufsicht Meldung zu machen.
Für die Organisationen, die der Zuständigkeit des BayLDA unterliegen, steht bzgl. der Meldung (und im Nachgang auch selbständigen Aktualisierung) unter folgender Adresse eine Online-Lösung bereit: https://www.lda.bayern.de/de/dsb-meldung.html

Bei nichtöffentlichen Stellen, auf die sich unsere behördliche Zuständigkeit beschränkt, besteht die Pflicht zur Benennung eines DSB, sobald mindestens eine der folgenden Voraussetzungen erfüllt ist:

  1. Die Kerntätigkeit des Verantwortlichen (oder Auftragsverarbeiters) liegt in der Durchführung von Verarbeitungsvorgängen, die eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (vgl. Art. 37 Abs. 1 lit b DS-GVO)
  2. Die Kerntätigkeit des Verantwortlichen (oder Auftragsverarbeiters) liegt in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (vgl. Art. 9 DS-GVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (vgl. Art. 37 Abs. 1 lit. c DS-GVO)
  3. Der Verantwortliche (oder Auftragsverarbeiter) nimmt Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen (vgl. § 38 Abs. 1 Satz 2 BDSG)
  4. Der Verantwortliche (oder Auftragsverarbeiter) verarbeitet personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, zum Zweck der anonymisierten Übermittlung oder zu Zwecken der Markt- und Meinungsforschung (vgl. § 38 Abs. 1 Satz 2 BDSG)
  5. Der Verantwortliche (oder Auftragsverarbeiter beschäftigt in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten (wurde von früher 10 Personen auf 20 erhöht) (vgl. § 38 Abs. 1 Satz 1 BDSG)

Unterliegt eine Organisation keiner Benennpflicht, steht es ihr frei, auch freiwillig einen DSB zu benennen.

Weitere Antworten zu häufigen Fragen zum Thema DSB, inkl. Hilfen zur Auslegung der Regelungen zu den Benennpflichten, finden Sie in unseren FAQ.