Der Datenschutzbeauftragte nach der EU-Datenschutz-Grundverordnung

Nachdem lange Zeit über die Regelungen der EU- Datenschutz-Grundverordnung (DS-GVO) verhandelt worden ist, liegt nun die politische Einigung auch in einer deutschen Übersetzung vor. Zu der Frage, wer zukünftig einen Datenschutzbeauftragten bestellen muss, gibt es nach wie vor Unklarheiten. In einigen Beiträgen ist immer noch zu lesen, dass eine Ernennung eines Datenschutzbeauftragten für Unternehmen davon abhängig ist, wie viele Mitarbeiter in dem Unternehmen tätig sind. Hier ist immer wieder die Zahl von 250 Mitarbeitern zu lesen. Auch die Grenze von 5.000 Personendatensätzen in einem Jahr taucht in Beiträgen immer wieder auf. All diese Grenzen finden sich aber nicht in der politischen Einigung zur DS-GVO.

Art. 35 der DS-GVO regelt die Benennung eines Datenschutzbeauftragten.

Wenn die Verarbeitung von einer Behörde oder einer öffentlichen Stelle durchgeführt wird, ist auf jeden Fall ein Datenschutzbeauftragter zu bestellen. Eine Grenze, wie viel Mitarbeiter eine Behörde haben muss, findet sich dort nicht.

Weitere Voraussetzung für die Benennung eines Datenschutzbeauftragten ist in Art. 35 Abs. 1 b, dass die Kerntätigkeit eines Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen. Kerntätigkeit wird als Haupttätigkeit in den Erwägungsgründen genannt. Mit anderen Worten: Die Verarbeitung personenbezogener Daten darf nicht Nebentätigkeit sein. Hier werden im Zweifel viele Unternehmen im ersten Schritt herausfallen, da beispielsweise für Produktionsbetriebe die Durchführung von Verarbeitungsvorgängen, die eine Beobachtung von betroffenen Personen beinhalten, nicht Kerntätigkeit ist. Möglichweise greift dann aber die Regelung in Art. 35 Abs. 1 c. Es ist dann zu prüfen, ob die Kerntätigkeit des für die Verarbeitung Verantwortlichen in einer umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 besteht. Auch hier muss es sich wieder um eine Haupttätigkeit und keine Nebentätigkeit handeln.

Unternehmen werden also für sich beurteilen müssen, ob im konkreten Fall ein Datenschutzbeauftragter benannt werden muss. Allerdings ergeben sich umfangreiche rechtliche Pflichten, die stellenweise über die Regelungen des Bundesdatenschutzgesetzes und der Landesdatenschutzgesetze hinausgehen. Insoweit kann es für Unternehmen und Behörden sehr sinnvoll sein, einen Datenschutzbeauftragten zu installieren, der sich um die gesetzlichen Anforderungen an die Datenschutzorganisation kümmert.

Zu klären ist die Frage, wie mit bisher nach den gesetzlichen Regelungen des BDSG benannten Datenschutzbeauftragten in Behörden und Unternehmen umzugehen ist. Der bisherige Kündigungsschutz, der im BDSG festgeschrieben ist, findet sich in der DS-GVO nicht. Hier sollte frühzeitig ein Gespräch mit dem behördlichen oder betrieblichen Datenschutzbeauftragten geführt werden, um mit ihm die weitere Zusammenarbeit zu erörtern. Mit Inkrafttreten der Verordnung entfallen die Regelungen im Bundesdatenschutzgesetz und in den Landesdatenschutzgesetzen. Derzeit ist nicht erkennbar, dass es eine wie auch immer geartete Nachwirkung der bisherigen gesetzlichen Regelungen gibt.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 5,00 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*