Eine Brille liegt auf einem Notizblock.
Datenschutz

Behördliche und betriebliche Datenschutzbeauftragte

Die gesetzlichen Bestimmungen zum Datenschutz in Behörden, öffentlichen Einrichtungen und Betrieben sind in der Datenschutz-Grundverordnung (DSGVO), im Bundesdatenschutzgesetz (BDSG) sowie im Berliner Datenschutzgesetz (BlnDSG) festgehalten. Danach gelten folgende Regelungen:

  • Öffentliche Stellen sind nach Art. 37 Abs. 1a DSGVO zur Benennung einer bzw. eines Datenschutzbeauftragten verpflichtet, sofern sie personenbezogene Daten verarbeiten. Sie können gemäß § 4 Abs. 5 BlnDSG auch externe Datenschutzbeauftragte benennen. Gerichte sind im Rahmen der rechtsprechenden Tätigkeit davon ausgenommen. Nach § 4 Abs. 3 BlnDSG ist darüber hinaus grundsätzlich eine Vertretung zu benennen.

  • Nicht-öffentliche Stellen müssen nach Art. 37 Abs. 1 DSGVO eine:n Datenschutzbeauftragte:n benennen, soweit deren Kerntätigkeit bzw. Hauptaktivität in einer Datenverarbeitung besteht, die entweder aufgrund ihres Zwecks oder Umfangs eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erfordert oder eine umfangreiche Verarbeitung von Daten, die nach Art. 9 oder 10 DSGVO besonders schutzwürdig sind, beinhaltet.

Darüber hinaus besteht nach § 38 BDSG eine Benennungspflicht, soweit sich Verantwortliche oder Auftragsverarbeiter:innen mit mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Sofern Verantwortliche oder Auftragsverarbeiter:innen jedoch Verarbeitungen vornehmen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DSGVO (insbesondere bei der Verarbeitung besonders geschützter Daten, beim Erstellen von Persönlichkeitsprofilen oder bei umfangreicher Videoüberwachung) unterliegen, besteht unabhängig davon die Pflicht zur Benennung einer oder eines Datenschutzbeauftragten. Dasselbe gilt, wenn personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeitet werden.

Eine Unternehmensgruppe darf nach Art. 37 Abs. 2 DSGVO eine:n gemeinsame:n Datenschutzbeauftragte:n benennen, sofern jede Niederlassung der Unternehmensgruppe die Datenschutzbeauftragte bzw. den Datenschutzbeauftragten leicht erreichen kann. Auch Behörden oder öffentliche Stellen können nach Art. 37 Abs. 3 DSGVO in Verbindung mit § 4 Abs. 2 BlnDSG unter Berücksichtigung ihrer Organisationsstrukturen und ihrer Größe eine:n gemeinsame:n Datenschutzbeauftragte:n benennen. Für behördliche Datenschutzbeauftragte besteht nach § 5 Abs. 4 BlnDSG ein besonderer Kündigungsschutz.

Nach Art. 37 Abs. 7 DSGVO haben Verantwortliche oder Auftragsverarbeiter:innen die Pflicht, die Kontaktdaten der oder des benannten Datenschutzbeauftragten öffentlich zu machen und der Aufsichtsbehörde – im Fall von Berliner Unternehmen, Vereinen und Behörden der Berliner Beauftragten für Datenschutz und Informationsfreiheit – mitzuteilen. Zur Meldung der oder des Datenschutzbeauftragten stellen wir ein Meldeformular zur Verfügung, welches unter Datenschutzbeauftragte:n melden zum Abruf bereitsteht.

Datenschutzbeauftragte sollen nach Art. 37 Abs. 5 DSGVO auf der Grundlage ihrer beruflichen Qualifikation und ihres Fachwissens benannt werden, welches diese auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzen, sowie auf der Grundlage ihrer Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben. Datenschutzbeauftragte können bei den Verantwortlichen bzw. Auftragsverarbeiter:innen beschäftigt sein oder die Aufgaben auf der Grundlage eines entsprechenden Dienstleistungsvertrags erbringen (Benennung von externen Datenschutzbeauftragten).

Nach Art. 38 DSGVO sind Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen von den Verantwortlichen bzw. Auftragsverarbeiter:innen einzubinden. Diese haben die Datenschutzbeauftragten bei der Erfüllung ihrer Aufgaben zu unterstützen. Insbesondere haben sie dafür erforderliche Ressourcen und Arbeitsmittel zur Verfügung zu stellen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zu ermöglichen. Darüber hinaus muss gewährt sein, dass Datenschutzbeauftragte bei der Erfüllung ihrer Aufgaben unabhängig agieren können und insbesondere keine Anweisungen bezüglich der Ausübung ihrer Aufgaben erhalten. Datenschutzbeauftragte dürfen von den Verantwortlichen oder Auftragsverarbeiter:innen wegen der Erfüllung ihrer Aufgaben nicht abberufen oder benachteiligt werden.

Datenschutzbeauftragte können auch andere Aufgaben und Pflichten wahrnehmen. Diese dürfen jedoch nicht zu einem Interessenkonflikt führen und damit die gebotene Zuverlässigkeit in Frage stellen. Im Übrigen sind Datenschutzbeauftragte zur Geheimhaltung bzw. Vertraulichkeit verpflichtet. Nach Art. 39 DSGVO haben Datenschutzbeauftragte zumindest folgende Aufgaben zu erfüllen:

  • Unterrichtung und Beratung der Verantwortlichen oder Auftragsverarbeiter:innen sowie derjenigen Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Europäischen Union und deren Mitgliedstaaten;

  • Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Europäischen Union und deren Mitgliedstaaten sowie der Strategien der Verantwortlichen bzw. Auftragsverarbeiter:innen zum Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und der Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter:innen, und der diesbezüglichen Überprüfungen;

  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Art. 35 DSGVO;

  • Zusammenarbeit mit der zuständigen Aufsichtsbehörde;

  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Art. 36 DSGVO, und gegebenenfalls Beratung zu allen sonstigen Fragen;

Im Übrigen haben Datenschutzbeauftragte der Erfüllung ihrer Aufgaben im Hinblick auf Risiken, die mit Verarbeitungsvorgängen verbunden sind, in hinreichendem Maße Rechnung zu tragen und dabei die Umstände, die Zwecke und den Umfang der Verarbeitung zu berücksichtigen.