Wer braucht denn Datenschutzbeauftragte?
Art. 37 Abs. 1 DSGVO listet drei Gründe auf, die zur Benennung eines DSB führen:
- Behörden und öffentliche Stellen, nicht jedoch Einrichtungen der Justiz (Gerichte, Staatsanwaltschaften etc.).
- Verantwortliche und Auftragsverarbeiter, die eine umfangreiche regelmäßige und systematische Überwachung ausüben.
- Verantwortliche und Auftragsverarbeiter, deren Kerntätigkeit in der umfangreichen Verarbeitung von personenbezogenen Daten nach Art. 9 DSGVO (besondere Kategorien wie z. B. Gesundheitsdaten) und nach Art. 10 DSGVO (Verurteilungen, Straftaten) liegt.
Das Bundesdatenschutzgesetz ergänzt weitere Gründe:
- § 5 BDSG - Auch öffentliche Stellen, die am Wettbewerb teilnehmen (dazu gehören z. B. Krankenhäuser, Müllabfuhr).
- § 38 BDSG verlangt Datenschutzbeauftragte
- für Organisationen, in denen mindestens 20 Beschäftigte personenbezogene Daten regelmäßig und automatisiert verarbeiten (regelmäßig ist z.B. die monatliche Buchhaltung, automatisiert ist z. B. die Verwendung von Smartphones).
- unabhängig von der Anzahl der Personen, wenn die Verarbeitungen eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO erforderlich machen.
- unabhängig von der Anzahl der Personen, wenn sie im Adresshandel (Zweck der Übermittlung) tätig sind.
- unabhängig von der Anzahl der Personen, wenn sie in der Markt- und Meinungsforschung tätig sind.
Was müssen Datenschutzbeauftragte können?
Gemäß Art. 37 Abs. 5 DSGVO wird der DSB aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens benannt. Datenschutzbeauftragte müssen in der Lage sein, die Aufgaben nach Art. 39 DSGVO zu erfüllen.
Der Gesetzgeber verlangt von einem DSB einiges, aber nicht, dass er studierter Jurist sein muss. Ich schreibe das, weil genau das aus so manchem Posting herausklingt. Ich selbst arbeite als Diplom-Kaufmann für mehrere Rechtsanwälte. Allerdings muss auch ein Nichtjurist das Datenschutzwissen der DSGVO, des BDSG und der weiteren Gesetze mitbringen, die im jeweiligen Arbeitsbereich vonnöten sind. Da ich das alles natürlich auch nicht beherrsche, arbeite ich sowohl mit Juristen als auch mit IT-Experten, die keine Datenschutzbeauftragte sind, zusammen.