Artikel 37 EU-DSGVO: Benennung eines Datenschutzbeauftragten

  1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn

    1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,

    2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

    3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

  2. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.

  3. Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.

  4. In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.

  5. Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

  6. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

  7. Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

Kommentar zu Art. 37 EU DSGVO

Art. 37 DSGVO geht auf den Datenschutzbeauftragten ein und bestimmt, wann ein solcher eingesetzt werden muss bzw. kann. Daneben enthält der Artikel Regelungen dazu, welche Qualifikationen eine Person hierzu mitbringen muss. Ferner geht es um das Vertragsverhältnis zwischen dem Verantwortlichen – also zum Beispiel einem Unternehmen – und dem Datenschutzbeauftragten. Letztlich bestimmt Art. 37 DSGVO, dass die Kontaktdaten des Datenschutzbeauftragten an die zuständige Aufsichtsbehörde weitergegeben werden müssen.

Art. 37 DSGVO – Was ist bei der Benennung eines Datenschutzbeauftragten zu beachten?
 

Der erste Absatz des Artikels nennt Fälle, in denen zwingend vom Verantwortlichen, d. h. Unternehmen/Behörde, und vom Auftragsverarbeiter ein Datenschutzbeauftragter zu bestellen ist. Dies ist grundsätzlich bei Behörden der Fall oder wenn das Hauptaufgabenfeld Ihrer Firma etwa darin besteht, Menschen systematisch zu überwachen und hierzu Daten aufzuzeichnen oder wenn Ihr Betrieb mit der Verarbeitung besonders schützenswerter personenbezogener Daten wie etwa politischer Meinungen, religiöser Überzeugungen etc. nach Art. 9 und Art. 10 DSGVO betraut ist.

Viele Unternehmen gehören jedoch nicht zum explizit in Art. 37 DSGVO genannten Adressatenkreis. Diese müssen sich an nationale Regelungen halten. In Deutschland ist vor allem das Bundesdatenschutzgesetz zu Rate zu ziehen, welches in § 38 Absatz 1 unter anderem bestimmt, dass in Firmen mit mindestens zehn Mitarbeitern, die  ständig mit personenbezogene Daten arbeiten, ebenfalls ein Datenschutzbeauftragter ernannt werden muss.

Diese Aufgabe kann jedoch nicht jede beliebige Person intern oder extern im Unternehmen übernehmen. Vielmehr müssen unter anderem eine gewisse berufliche Qualifikation sowie Fachwissen im Bereich Datenschutz vorliegen; dies kann etwa bei IT-Fachleuten oder Rechtsanwälten der Fall sein. Zudem muss es dem Berufenen möglich sein, seine in Art. 39 DSGVO genannten Aufgaben zu erfüllen. Hierbei darf es vor allem nicht zu Interessenkonflikten kommen, so dass normalerweise Geschäftsführer, Gesellschafter oder IT-Fachleute, die gleichzeitig die Sicherheitssoftware des Unternehmens stellen, nicht als Datenschutzbeauftragte in Frage kommen. Auch ist Ihre Firma verpflichtet, der jeweiligen zuständigen Landesaufsichtsbehörde ihren Datenschutzbeauftragten zu benennen.

Firmeninterner oder externer Datenschutzbeauftragter?


Zudem besagt Art. 37 DSGVO, dass sowohl ein interner als auch ein externer Datenschutzbeauftragter eingesetzt werden darf. Damit kann Ihr Unternehmen auch eine firmenfremde Person mit der Umsetzung der Datenschutzregulierungen beauftragen. Ob dies für Sie sinnvoll ist, erfahren Sie hier: https://www.datenschutzexperte.de/datenschutzbeauftragter/intern-vs-extern/.

Wir freuen uns auf Ihre Anfrage!

Telefon:

+49 89 / 250 039 220

Öffnungszeiten:

Mo. - Fr.: 09:00 - 18:00 Uhr