Die Datenschutz-Grundverordnung (DS-GVO) sowie das Bundesdatenschutzgesetz (neu) (BDSG) erlangten am 25. Mai 2018 Geltung. In diesem Zusammenhang wird / wurde auch das Berliner Datenschutzgesetz (BlnDSG) novelliert.

Bestellpflichtig sind:

• Öffentliche Stellen
  nach Art. 37 Abs. 1a DS-GVO sind öffentliche Stellen zur Bestellung eines Datenschutzbeauftragten verpflichtet, sofern sie personenbezogene Daten verarbeiten. Sie können gemäß § 4 Abs. 5 BlnDSG n.F. auch externe Datenschutzbeauftragte bestellen. Gerichte sind im Rahmen der rechtsprechenden Tätigkeit jedoch davon ausgenommen. Nach § 4 Abs. 3 BlnDSG ist darüber hinaus grundsätzlich eine Vertretung zu benennen.
• Nicht öffentliche Stellen
  nach Art. 37 Abs.1 DS-GVO müssen nicht öffentliche Stellen einen Datenschutzbeauftragten bestellen, soweit deren Kerntätigkeit bzw. Hauptaktivität in einer Datenverarbeitung besteht, die entweder aufgrund ihres Zwecks oder Umfangs eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erfordert oder eine umfangreiche Verarbeitung von Daten, die nach Art. 9 oder 10 DS-GVO besonders schutzwürdig sind, beinhaltet.

Darüber hinaus besteht nach § 38 BDSG (neu) eine Bestellpflicht, soweit sich der Verantwortliche oder der Auftragsverarbeiter mit mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.

Sofern der Verantwortliche oder der Auftragsverarbeiter jedoch Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO (insbesondere bei der Verarbeitung sensitiver Daten, bei Erstellen von Persönlichkeitsprofilen oder umfangreicher Videoüberwachung) unterliegen, besteht unabhängig davon die Pflicht zur Bestellung eines Datenschutzbeauftragten. Dasselbe gilt, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeiten.

Eine Unternehmensgruppe darf nach Art. 37 Abs. 2 DS-GVO einen gemeinsamen Datenschutzbeauftragten benennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

Der Datenschutzbeauftragte soll nach Art. 37 Abs. 5 DS-GVO auf der Grundlage seiner beruflichen Qualifikation und seines Fachwissens benannt werden, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DS-GVO genannten Aufgaben.

Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines entsprechenden Dienstleistungsvertrages erbringen (Bestellung eines externen Datenschutzbeauftragten).

Nach Art. 38 DS-GVO ist der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen vom Verantwortlichen oder dem Auftragsverarbeiter einzubinden. Sie haben den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen. Insbesondere haben sie dafür erforderliche Ressourcen bzw. Arbeitsmittel zur Verfügung zu stellen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zu ermöglichen.

Darüber hinaus stellen sie sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben unabhängig agieren kann und insbesondere keine Anweisungen bzgl. der Ausübung seiner Aufgaben erhält. Er darf vom Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.

Der Datenschutzbeauftragte kann auch andere Aufgaben und Pflichten wahrnehmen. Diese dürfen jedoch nicht zu einem Interessenkonflikt führen und damit die gebotene Zuverlässigkeit in Frage stellen. Im Übrigen ist der betriebliche Datenschutzbeauftragte zur Geheimhaltung bzw. Vertraulichkeit verpflichtet.

Nach Art. 39 DS-GVO hat der Datenschutzbeauftragte zumindest folgende Aufgaben zu erfüllen:

• Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
• Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter*innen und der diesbezüglichen Überprüfungen;
• Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
• Zusammenarbeit mit der Aufsichtsbehörde;
• Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.

Im Übrigen hat er der Erfüllung seiner Aufgaben im Hinblick auf Risiken, die mit Verarbeitungsvorgängen verbunden sind, in hinreichendem Maße Rechnung zu tragen und dabei die Umstände, die Zwecke und den Umfang der Verarbeitung zu berücksichtigen.

Für den öffentlichen Bereich bzw. für den behördlichen Datenschutzbeauftragten gelten die o.g. Ausführungen weitgehend entsprechend. Es finden ergänzend zur DS-GVO die §§ 4-6 BlnDSG Anwendung. Ein besonderer Kündigungsschutz für den behördlichen Datenschutzbeauftragten besteht nach § 5 Abs. 4 BlnDSG.

Auch Behörden oder öffentliche Stellen können nach Art. 37 Abs. 3 DS-GVO in Verbindung mit § 4 Abs. 2 BlnDSG unter Berücksichtigung ihrer Organisationsstrukturen, ihrer Größe einen gemeinsamen Datenschutzbeauftragten benennen.