Für Meldungen zur/zum Datenschutzbeauftragten nach Art. 37 Abs. 7 DS-GVO stellen wir ein Online-Formular zur Verfügung. Da eine Meldung der Kontaktdaten der bzw. des Datenschutzbeauftragten per E-Mail, Post oder Fax mit einem enormen bürokratischen Aufwand verbunden ist, bitten wir um eine ausschließliche Mitteilung über das Meldeformular. Bitte nebenstehenden Link benutzen.
Die Datenschutz-Grundverordnung (DS-GVO) sowie das Bundesdatenschutzgesetz (neu) (BDSG) erlangten am 25. Mai 2018 Geltung. In diesem Zusammenhang wird / wurde auch das Berliner Datenschutzgesetz (BlnDSG) novelliert.
Bestellpflichtig sind:
Darüber hinaus besteht nach § 38 BDSG (neu) eine Bestellpflicht, soweit sich der Verantwortliche oder der Auftragsverarbeiter mit mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt.
Sofern der Verantwortliche oder der Auftragsverarbeiter jedoch Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO (insbesondere bei der Verarbeitung sensitiver Daten, bei Erstellen von Persönlichkeitsprofilen oder umfangreicher Videoüberwachung) unterliegen, besteht unabhängig davon die Pflicht zur Bestellung eines Datenschutzbeauftragten. Dasselbe gilt, wenn sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- und Meinungsforschung verarbeiten.
Eine Unternehmensgruppe darf nach Art. 37 Abs. 2 DS-GVO einen gemeinsamen Datenschutzbeauftragten benennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.
Der Datenschutzbeauftragte soll nach Art. 37 Abs. 5 DS-GVO auf der Grundlage seiner beruflichen Qualifikation und seines Fachwissens benannt werden, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DS-GVO genannten Aufgaben.
Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines entsprechenden Dienstleistungsvertrages erbringen (Bestellung eines externen Datenschutzbeauftragten).
Nach Art. 38 DS-GVO ist der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen vom Verantwortlichen oder dem Auftragsverarbeiter einzubinden. Sie haben den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen. Insbesondere haben sie dafür erforderliche Ressourcen bzw. Arbeitsmittel zur Verfügung zu stellen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen zu ermöglichen.
Darüber hinaus stellen sie sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben unabhängig agieren kann und insbesondere keine Anweisungen bzgl. der Ausübung seiner Aufgaben erhält. Er darf vom Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
Der Datenschutzbeauftragte kann auch andere Aufgaben und Pflichten wahrnehmen. Diese dürfen jedoch nicht zu einem Interessenkonflikt führen und damit die gebotene Zuverlässigkeit in Frage stellen. Im Übrigen ist der betriebliche Datenschutzbeauftragte zur Geheimhaltung bzw. Vertraulichkeit verpflichtet.
Nach Art. 39 DS-GVO hat der Datenschutzbeauftragte zumindest folgende Aufgaben zu erfüllen:
Im Übrigen hat er der Erfüllung seiner Aufgaben im Hinblick auf Risiken, die mit Verarbeitungsvorgängen verbunden sind, in hinreichendem Maße Rechnung zu tragen und dabei die Umstände, die Zwecke und den Umfang der Verarbeitung zu berücksichtigen.
Für den öffentlichen Bereich bzw. für den behördlichen Datenschutzbeauftragten gelten die o.g. Ausführungen weitgehend entsprechend. Es finden ergänzend zur DS-GVO die §§ 4-6 BlnDSG Anwendung. Ein besonderer Kündigungsschutz für den behördlichen Datenschutzbeauftragten besteht nach § 5 Abs. 4 BlnDSG.
Auch Behörden oder öffentliche Stellen können nach Art. 37 Abs. 3 DS-GVO in Verbindung mit § 4 Abs. 2 BlnDSG unter Berücksichtigung ihrer Organisationsstrukturen, ihrer Größe einen gemeinsamen Datenschutzbeauftragten benennen.