Wer muss einen betrieblichen Datenschutzbeauftragten (bDSB) bestellen?

Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten ergibt sich aus Art. 37 Abs. 1 DSGVO

Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

a)

die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,

b)

die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c)

die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Der bundesdeutsche Gesetzgeber hat von der Öffnungsklausel Gebrauch gemacht und in § 38 BDSG (neu) folgendes geregelt:

1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

 

Die Bestellung eines externen Datenschutzbeauftragten bringt folgende Vorteile mit sich:

  • Eignung und Qualifikation sind bereits vorhanden
  • Interne Ressourcen werden nicht gebunden
  • Trägt Kosten der vorgeschriebenen Fortbildungen und seiner Arbeitsmittel selbst
  • Kein Arbeitsverhältnis
  • Kosten sind kalkulierbar
  • Kein besonderer Kündigungsschutz wie der Interne
  • Vertragsgebundene Zeiteinteilung
  • Erfahrung aus anderen Branchen / Unternehmen
  • Mehrfachqualifikation (Prozesse / IT / Recht etc.)
  • Keine Interessenskonflikte
  • Neutrale Stelle
  • Regressmöglichkeit (Vermögenshaftpflichtversicherung)