Update zur DSGVO – Brauche ich einen Datenschutzbeauftragten? Art. 37 Abs. 7 DSGVO

Was ist ein Datenschutzbeauftragter?

Unabhängig davon, ob Sie ein Einzelunternehmen, ein kleines oder mittleres Unternehmen, eine Konzerngesellschaft, eine Behörde, eine Stiftung oder ein Verein sind, verarbeiten Sie mit sehr hoher Wahrscheinlichkeit personenbezogene Daten. Ein Datenschutzbeauftragter soll einem Unternehmen bei der Einhaltung der rechtlichen Anforderungen, die durch das Bundesdatenschutzgesetz, die Datenschutzgrundverordnung und bei anderen datenschutzrechtlichen Vorgaben in Deutschland helfen. Zudem kann er als Experte für den Datenschutz Lösungen finden, um pragmatische und gleichzeitig rechtmäßige Lösungen für das Unternehmen zu entwickeln. Einen Datenschutzbeauftragten zu haben, kann sich also häufig lohnen. Es kann jedoch auch sein, dass man gesetzlich dazu verpflichtet ist einen Datenschutzbeauftragten zu bestellen.

Warum hat dies auch Relevanz für die Webseite und insbesondere die Datenschutzerklärung?

Falls ein betrieblicher Datenschutzbeauftragter bestellt wurde, müssen dessen Kontaktdaten gem. Art. 37 Abs. 7 DSGVO veröffentlicht werden. Dies erfolgt am einfachsten im Rahmen der Datenschutzerklärung. Die Datenschutzerklärung wird Ihnen im Website-Check individuell erstellt.

Website-Check achtet darauf, dass Ihr Datenschutzbeauftragter auch korrekt in der Datenschutzerklärung veröffentlicht wird. Dadurch schaffen Sie Transparenz in Zeiten von Datenskandalen.

Wir fragen die Kontaktdaten des Datenschutzbeauftragten im Rahmen einer Beauftragung selbstverständlich bei Ihnen ab und implementieren die gesetzlich notwendigen Pflichtangaben in der Datenschutzerklärung. Wir helfen Ihnen somit Ihren Pflichten aus Art. 13 Abs. 1 lit. b DSGVO nachzukommen.

Wann brauche ich einen Datenschutzbeauftragten?

Ob ein betrieblicher Datenschutzbeauftragter bestellt werden muss, richtet sich nach Art. 37 Abs. 1 DSGVO i.V.m. § 38 BDSG (neu).

Sie müssen in folgenden Fällen einen Datenschutzbeauftragten bestellen:

  1. Sie beschäftigen in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten.

    Beispiel: Mindestens zehn Personen des Unternehmens kommen im Berufsalltag regelmäßig mit Kundendaten in Kontakt.

  2. Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters liegt in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO

    Beispiel: In Ihrem Unternehmen werden regelmäßig folgende Datengruppen verarbeitet:

    – Gesundheitsdaten
    – Daten mit rassischer und ethnischer Herkunft
    – Daten über Straftaten oder strafrechtliche Verurteilungen
    – Daten zum Sexualleben oder sexuellen Orientierung
    – politische, religiöse oder weltanschauliche Überzeugungen
    – Gewerkschaftszugehörigkeit
    – genetische und biometrische Daten

  3. Ihre Verarbeitungstätigkeit besteht darin, personenbezogene Daten so zu verarbeiten, dass die Verarbeitung aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.

    Beispiel: Sie betreiben eine Auskunftei, die umfangreiche Profiling-Maßnahmen durchführt.

  4. Sie verarbeiten personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.

    Beispiel: Marktforschung, Wirtschafts- und Sozialforschung

  5. Sie nehmen Verarbeitungen vor, die eine Datenschutz-Folgenabschätzung gem. Artikel 35 DSGVO bedürfen.

Wie müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht werden?

Zu den Kontaktdaten zählen insbesondere Name, Anschrift und E-Mail-Adresse (elektronische Kontaktaufnahme).
Der Verantwortliche muss die Kontaktdaten des Datenschutzbeauftragten veröffentlichen und der Aufsichtsbehörde mitteilen. Hierbei sollte der Hinweis auf der Internetseite an gut sichtbarer Stelle erfolgen. Ausreichend ist hierfür nach unserer Ansicht eine Aufnahme der notwendigen Daten (Name, Anschrift, E-Mail) in der Datenschutzerklärung. Dies ergibt sich auch aus Art. 13 Abs. 1 lit. b DSGVO. Bitte beachten Sie, dass Sie der Aufsichtsbehörde auch die Kontaktdaten des Datenschutzbeauftragten mitteilen müssen. Eine Prüfung der Notwendigkeit und der Einhaltung der weiteren gesetzlichen Pflichten erfolgt im Rahmen des Website-Checks jedoch nicht.

Wo bekomme ich einen Datenschutzbeauftragten her oder wo kann ich fragen, ob ich wirklich einen benötige?

Sofern Sie einen Datenschutzbeauftragten benötigen oder sich nicht sicher sind, ob Sie einen Datenschutzbeauftragten brauchen, steht Ihnen unser Kooperationspartner die DURY Compliance & Consulting GmbH zur Verfügung.
Gerne können Sie sich auf https://www.dury.cc weiter informieren.
Eine telefonische Erstberatung (ca. 10 Min.) ist stets kostenfrei. Gerne können Sie die Datenschutz-Experten unter der Telefonnummer +49 (0) 681 940 054 30 bzw. per Mail an office@dury.cc erreichen.

Bildquelle: #Urban_Photographer

Autor: Thomas Hess (Verfasst am 5. April 2018)

Thomas Hess ist wissenschaftlicher Mitarbeiter in der IT-Recht Kanzlei DURY. Herr Hess ist spezialisiert auf Online-Shop Recht und rechtssichere Internetseiten.
Website

Falls Sie weitere Fragen zur rechtssicheren Gestaltung Ihres Internetauftritts oder Online Shops haben, können Sie uns gerne kontaktieren. Unsere Website-Check Pakete enthalten neben der rechtlichen Prüfung auch die Erstellung der relevanten Rechtstexte.
Fordern Sie Ihre kostenlose Ersteinschätzung an!