Benennung eines Datenschutzbeauftragten
Home » Biometrik » Einleitung und Geltungsbereich des Abschnitts Leitlinien » Vorbereitungsphase » Benennung eines Datenschutzbeauftragten

Der Datenschutzbeauftragte (DSB) unterstützt den Verantwortlichen oder den Auftragsverarbeiter bei der Einhaltung der Datenschutznormen. Artikel 37 DSGVO schreibt die Benennung eines DSB in fünf konkreten Fällen vor.

Anforderungen für die Benennung eines Datenschutzbeauftragten
Anforderung 1 „Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln”, Artikel 37 Absatz 1 DSGVO
Anforderung 2 „Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen”, Artikel 37 Absatz 1 DSGVO
Anforderung 3 „Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9”, Artikel 37 Absatz 1 DSGVO
Anforderung 4 „Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung […] von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10”, Artikel 37 Absatz 1 DSGVO
Anforderung 5 „Der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen”, Artikel 37 Absatz 4 DSGVO

Die Anforderungen 1 und 3 sind für dieses Dokument besonders relevant. Anforderung 1 ist relevant, weil Forschungseinrichtungen häufig öffentliche Einrichtungen sind, wie z. B. öffentliche Krankenhäuser und öffentliche Universitäten. In einem solchen Fall sieht Artikel 37 Absatz 3 DSGVO vor, dass „ein gemeinsamer Datenschutzbeauftragter für mehrere solcher Behörden oder Stellen benannt werden kann“. Öffentliche Krankenhäuser könnten beispielsweise keinen DSB benannt haben, sich aber auf einen solchen verlassen, um seine Dienste zu erbringen. Anforderung 3 ist insofern relevant, als sie die Verarbeitung besonderer Kategorien personenbezogener Daten – wie biometrischer Daten – als eines der drei Kriterien für die obligatorische Benennung eines DSB nennt. Die beiden anderen Kriterien kommen zum Tragen, wenn die Verarbeitung personenbezogener Daten im Rahmen einer Kerntätigkeit erfolgt und umfangreich ist. Die Begriffe „Kerntätigkeit“ und „umfangreiche Verarbeitung“ sind in der DSGVO nicht ausdrücklich definiert. Die Artikel-29-Datenschutzgruppe (WP29) gibt jedoch in ihren Leitlinien in Bezug auf Datenschutzbeauftragte Auslegungshilfen. Demnach sind Kerntätigkeiten „die wichtigsten Arbeitsabläufe, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind“[1] und schließen somit unterstützende oder untergeordnete Tätigkeiten aus. Im Zusammenhang mit der IKT-Forschung und -Innovation könnte dies als jede Tätigkeit verstanden werden, die direkt mit der Durchführung von IKT-Forschung und der Verwirklichung von IKT-Innovation zusammenhängt, wie z. B. im Fall der Entwicklung eines biometrischen Systems. Was das Kriterium der umfangreichen Verarbeitung betrifft, so knüpft die WP29 es an „die Zahl der betroffenen Personen – entweder als bestimmte Zahl oder als Anteil an der maßgeblichen Bevölkerung; das Datenvolumen und/oder das Spektrum an in Bearbeitung befindlichen Daten; die Dauer oder Permanenz der Datenverarbeitungstätigkeit; [und] die geografische Ausdehnung der Verarbeitungstätigkeit“[2].

Wenn die Benennung eines DSB erforderlich ist, sollte dies so früh wie möglich geschehen. Denn gemäß Artikel 39 Absatz 1 Buchstabe a DSGVO gehört die Unterrichtung und Beratung des Verantwortlichen in allen Phasen der Forschung zu den Aufgaben des Datenschutzbeauftragten. Die frühestmögliche Einschaltung eines Datenschutzbeauftragten stellt daher sicher, dass die Forscher angemessen beraten werden, wie die Compliance-Anforderungen zu erfüllen sind.

Die Kontaktdaten des Datenschutzbeauftragten sollten veröffentlicht und den betroffenen Personen zugänglich gemacht werden.

     

    Quellenangaben

    1Artikel-29-Datenschutzgruppe, Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“), April 2017, 20.

    2Artikel 29-Datenschutzgruppe, 21.

     

    Skip to content