DatenschutzFalke

Die Aufgaben des internen und externen Datenschutzbeauftragten (DSB) sind in der Datenschutz Grundverordnung (DSGVO) sowie im neuen Bundesdatenschutzgesetz (BDSG) geregelt. Demnach darf ein Unternehmen nur auf die Benennung eines Datenschutzbeauftragten verzichten, wenn sich weder aus Art. 37 Abs. 1 DSGVO noch aus § 38 Abs. 1 BDSG eine Benennungspflicht ergibt.

Hinter diesen beiden Normen verbergen sich folgende Daten:

Benennungspflicht eines DSB nach Art. 37 DSGVO

Die Verarbeitung erfolgt in einer Behörde oder öffentlichen Stelle.

Die Kerntätigkeit liegt in der Datenverarbeitung.

Insbesondere, wenn der Umfang und/oder der Zweck der Datenverarbeitung eine umfangreiche regelmäßige und systematische Überwachung von Personen erforderlich machen.

Bei einer Verarbeitung von Gesundheitsdaten (Gesundheitsdaten sind in Art. 9 DSGVO definiert)

Gesundheitsdaten werden als besonders sensibel eingestuft. Sie unterliegen besonderer Schutzvorkehrungen und der externe oder interne Datenschutzbeauftragte hat ein wachsames Auge auf die Sicherheit der Daten.

Datenverarbeitung von strafrechtlichen Verurteilungen oder Straftaten (Erklärung in Art. 10 DSGVO)

Angebot anfordern

Benennungspflicht eines DSB nach dem BDSG

Sobald mind. 20 Personen mit der Verarbeitung von personenbezogenen Daten betraut sind

oder regelmäßig bersonenbezoge Daten verarbeitet werden (Lohnbuchhaltung).

Wenn Daten verarbeitet werden, die einer Datenschutz-Folgenabschätzung (erklärt in Art.35 DSGVO) unterliegen.

Besteht durch die Datensammlung für Menschen ein hohes Risiko für Recht und Freiheit, ist eine Risikoanalyse notwendig. Dies bezieht sich z. B.

1. auf Daten, durch die ein Profiling erstellt werden kann,
2. automatisierter Verarbeitung und Profiling,
3. Verarbeitung besonderer Kategorien personenbezogener Daten,
4. umfangreiche Überwachung öffentlich zugänglicher Bereiche.

Aktuelle Diskussion

Momentan gibt es Diskussionen, dass erst ab 50 Mitarbeitenden eine DSB-Pflicht in 2025 eingeführt werden könnte.

Zum einen sollten die Unternehmen berücksichtigen, dass der Datenschutz trotzdem eingehalten werden muss!

Es ist zu prüfen, ob genug Ressourcen ohne DSB im Unternehmen vorhanden sind.
Neben den weiteren Pflichten für die DSB Benennung, kann die zunehmende Nutzung eines KI-Tools eine DSFA mit DSB Pflicht erfordern.

Bei der Verarbeitung von Daten zur Markt- oder Meinungsforschung oder zu geschäftsmäßigen Zwecken.

Bei Markt- oder Meinungsforschung oder zu geschäftsmäßigen Zwecken gelten spezifische Datenschutzregelungen.

Einwilligung und berechtigte Interessen: In vielen Fällen ist eine Einwilligung der betroffenen Personen erforderlich. Alternativ kann die Verarbeitung auf berechtigten Interessen basieren, sofern diese die Rechte und Freiheiten der Betroffenen nicht überwiegen.
Zweckbindung: Die erhobenen Daten dürfen nur für den festgelegten Zweck verwendet werden. Eine Nutzung für andere Zwecke ist in der Regel nicht zulässig, es sei denn, es liegt eine entsprechende Rechtsgrundlage vor.
Anonymisierung und Pseudonymisierung: Um die Privatsphäre der Betroffenen zu schützen, sollten Daten möglichst anonymisiert oder pseudonymisiert werden.
Rechte der Betroffenen: Betroffene Personen haben das Recht auf Auskunft, Berichtigung, Löschung und Einschränkung der Verarbeitung ihrer Daten.

Angebot anfordern

Entfällt die DSB-Pflicht, muss das Unternehmen trotzdem den Datenschutz leben und nachhalten. Teilweise kann es eine Pflicht zur DSB-Benennung für besondere Aufträge geben, in dem Fall kann diese freiwillig erfolgen.