Unternehmen sind sich seit Inkrafttreten der Datenschutz-Grundverordnung unsicher, ob eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht.
Unabhängig davon, ob Unternehmen gesetzlich dazu verpflichtet sind, einen Datenschutzbeauftragten zu bestellen, müssen Unternehmen die Einhaltung der DS-GVO sicherstellen.
Die Pflicht zur Bestellung eines Datenschutzbeauftragten besteht nach Art. 37 Abs. 1 DS-GVO, wenn nachfolgende Punkte zutreffend sind:
Sollten mehr als mindestens 20 Mitarbeiter (BDSG neu) regelmäßig mit automatisierter Datenverarbeitung (Erhebung und Nutzung) beschäftigt sein, besteht die Pflicht zur Bestellung. Die automatisierte Datenverarbeitung ist zum Beispiel schon der Fall, wenn Mitarbeiter über E-Mail kommunizieren.
Sollten besonders personenbezogene Daten gemäß Artikel 9 und Artikel 10 DSGVO verarbeitet werden, die über Rasse, ethnische Herkunft, politische Meinung, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben einer Person informieren, besteht ebenfalls eine Verpflichtung unabhängig von der Anzahl der Mitarbeiter.
Die Kerntätigkeit des Unternehmens liegt in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen.
Es besteht grundsätzlich immer die Option, einen externen Datenschutzbeauftragten freiwillig zu bestellen, der eine qualitative datenschutzrechtliche Prüfung im Unternehmen durchführt.
