Der Datenschutzbeauftragter nach der DS-GVO (FAQ)

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DS-GVO) existiert erstmals eine europaweit verbindliche verpflichtende Regelung zur Bestellung betrieblicher und behördlicher Datenschutzbeauftragter. Während die EG-Datenschutzrichtlinie (95/46/EG) die Verpflichtung zur Bestellung von Datenschutzbeauftragten lediglich als Alternative vorsah, um die Meldepflicht gegenüber der Datenschutzaufsichtsbehörde entfallen zu lassen, wird sich mit Geltung der DS-GVO ab dem 25. Mai 2018 eine Bestellpflicht erstmals unmittelbar aus dem Europarecht ergeben. Das deutsche Erfolgsmodell der datenschutzrechtlichen Selbstkontrolle hat sich damit auch auf europäischer Ebene durchgesetzt. In Ergänzung zur europarechtlichen (Basis-)Bestellpflicht berechtigt die DS-GVO außerdem über eine Öffnungsklausel die Mitgliedstaaten, weitergehende Bestellpflichten auf nationaler Ebene vorzusehen. Neben den Regelungen über die Bestellpflicht enthält die DS-GVO Regelungen zur Stellung und zu den Aufgaben des Datenschutzbeauftragten, von denen der nationale Gesetzgeber grundsätzlich nicht abweichen darf.

Das neue Bundesdatenschutzgesetz (BDSG-neu), welches am 25. Mai 2018 in Kraft tritt, sieht bei betrieblichen Datenschutzbeauftragten weitergehende Bestellpflichten vor, die in etwa der bisherigen Regelung entsprechen.

Mit der Geltung der DS-GVO gehen auch viele Neuerungen für das Berufsbild der Datenschutzbeauftragten einher. Datenschutzbeauftragte werden weiterhin für viele Behörden und Unternehmen eine zentrale Rolle einnehmen, zumal sie diese dabei unterstützen, die Einhaltung der neuen Regelungen zu gewährleisten. Datenschutzbeauftragte werden zukünftig erheblich dazu beitragen, ein effizientes Datenschutz-Managementsystem in der Behörde oder im Unternehmen zu implementieren. Sie sind darüber hinaus wichtige Vermittler zwischen den Beteiligten, wie z. B. Aufsichtsbehörden, Betroffenen und Behörden bzw. Unternehmen.

Die Landesbeauftragte für den Datenschutz und die Informationsfreiheit Nordrhein-Westfalen hat die häufigsten Fragen rum um das Thema in einem Papier „Häufig gestellte Fragen zum Datenschutzbeauftragten (FAQ)“ zusammengefasst und stellt diese nun zum Abruf bereit. Darin werden bspw. folgende Fragen beantwortet:

  • Wer muss einen Datenschutzbeauftragten benennen?
  • Können mehrere Verantwortliche einen gemeinsamen Datenschutzbeauftragten  benennen?
  • Unter welchen Voraussetzungen liegt eine leichte Erreichbarkeit  nach Artikel 37 Absatz 2 DS-GVO vor?
  • Was ist unter „Kerntätigkeit“ im Sinne von Artikel 37 Absatz 1  Buchstaben b) und c) DS-GVO zu verstehen?
  • Was ist unter einer „umfangreichen“ Überwachung gemäß Artikel  37 Absatz 1 Buchstabe b) DS-GVO bzw. einer „umfangreichen“  Verarbeitung gemäß Artikel 37 Absatz 1 Buchstabe c) DS-GVO zu  verstehen?
  • Welche Besonderheiten gelten für die Pflicht zur Benennung eines Datenschutzbeauftragten bei Arztpraxen, Apotheken und sonstigen Angehörigen eines Gesundheitsberufs?
  • Wann liegt eine „regelmäßige und systematische Überwachung“ gemäß Artikel 37 Absatz 1 Buchstabe b) DS-GVO vor?
  • In welcher Form ist ein Datenschutzbeauftragter zu benennen?
  • Innerhalb welcher Frist ist der Datenschutzbeauftragte zu benennen?
  • Kann eine juristische Person als Datenschutzbeauftragte benannt werden?
  • Können auch externe Datenschutzbeauftragte benannt werden?
  • Welche Voraussetzungen muss der Datenschutzbeauftragte erfüllen?
  • Was muss veröffentlicht und mitgeteilt werden?
  • Wo müssen die Kontaktdaten des Datenschutzbeauftragten genannt werden?
  • Darf ein Datenschutzbeauftragter zusätzlich andere Aufgaben haben? (Interessenkonflikt)
  • Welche Grundsätze gelten hinsichtlich des Datenschutzbeauftragten?
  • Welche Ressourcen müssen dem Datenschutzbeauftragten zur Verfügung gestellt werden, damit dieser seine Aufgaben ordnungsgemäß erfüllen kann?
  • Haben Datenschutzbeauftragte einen besonderen Kündigungsschutz?
  • Welche Aufgaben hat der Datenschutzbeauftragte?
  • Ist der Datenschutzbeauftragte persönlich verantwortlich für die (Nicht-) Einhaltung der DS-GVO bzw. der JI-RL?
  • Welche Rolle spielt der Datenschutzbeauftragte bei der Datenschutz-Folgenabschätzung nach Artikel 35 DS-GVO bzw. Artikel 27 JI-RL?
  • Welche Rolle hat der Datenschutzbeauftragte beim Verarbeitungsverzeichnis?

LDI NRW

Letztes Update:22.06.18

  • Gastzugang Online-Handel

    GDD-Stellungnahme: Datenschutzkonformer Online-Handel mittels Gastzugang

    Die Gesellschaft für Datenschutz und  Datensicherheit (GDD) e.V. hat sich zum DSK‐Beschluss „Datenschutzkonformer Online‐Handel mittels Gastzugang“ im Rahmen einer detaillierten und differenzierten Stellungnahme geäußert.Anlasspunkt für die aktuelle Stellungnahme der GDD sind zum einen der am 24.03.2022 veröffentlichte DSK‐Beschluss „Datenschutzkonformer Online‐Handel mittels Gastzugang“ sowie zum anderen  die Berichterstattung durch die Tagespresse, dass es im Rahmen der DSK Bestrebungen gebe, den  Handel mit Adressen einzuschränken. Mit ihrer Stellungnahme möchte die GDD zu einem differenzierten und  sachlichen Diskurs über die Verarbeitung personenbezogener Daten zum Zwecke der Werbung und  des Adresshandels beitragen.   Anders als das BDSG a.F. enthalte die DS-GVO keinen spezifischen Erlaubnistatbestand für die Verarbeitung personenbezogener Daten für Werbezwecke. Entscheidend seien damit die allgemeinen Erlaubnistatbestände, insbesondere Art. 6 Abs. 1 lit. f DS-GVO (sog. 

    Mehr erfahren
  • Datenschutz im Verein

    Datenschutz im Vereinsleben

    Mit der Broschüre „Datenschutz im Verein“, die die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI LNRW) nun in der zweiten Auflage veröffentlicht, versucht die LDI die Wissenslücken weiter zu schließen, die es beim Umgang mit personenbezogenen Daten innerhalb der Vereine geben kann. In Anbetracht der Tatsache, dass in Deutschland 620.000 Vereine mit über 50 Millionen

    Mehr erfahren
  • zoom an Hochschulen

    Hessische Aufsichtsbehörde: zoom unter Einhaltung von Auflagen nutzbar

    Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hatte im August 2021 die Senatskanzlei der Freien und Hansestadt Hamburg (FHH) offiziell gewarnt, die Videokonferenzlösung von Zoom Inc. in der sog. on-demand-Variante zu verwenden. Dies verstoße gegen die DS-GVO, da eine solche Nutzung mit der Übermittlung personenbezogener Daten in die USA verbunden sei. In diesem Drittland bestehe

    Mehr erfahren