Benennung eines Datenschutzbeauftragten (DSB)
Home » Biometrik » Fallstudie » Vorbereitungsphase » Benennung eines Datenschutzbeauftragten (DSB)

Zur Bewertung, ob ein DSB erforderlich ist, prüfen die Entwickler die Anforderungen laut Artikel 37 DSGVO. Da dort häufig das Kriterium des „umfangreichen Verarbeitung“ genannt wird, beschließen die Entwickler, zunächst zu prüfen, ob die Verarbeitung als umfangreiche angesehen werden kann, wobei sie den Ansatz der Artikel-29-Datenschutzgruppe übernehmen.

Bewertung des Kriteriums „umfangreiche Verarbeitung”
Anzahl der betroffenen Personen Voraussichtlich 30 bis 50 betroffene Personen
Datenvolumen und/oder Bandbreite der unterschiedlichen, zu verarbeitenden Datenelemente Es werden personenbezogene Daten (z. B. Name, Alter usw.) und besondere Datenkategorien (Handflächenabdrücke) verarbeitet
Dauer der Datenverarbeitungstätigkeit Die Entwickler gehen davon aus, dass die Studie 1 Jahr dauern wird.
Geografische Ausdehnung der Datenverarbeitungstätigkeit Die Entwickler gehen davon aus, dass die Studie eine lokale Ausdehnung hat (Gemeinde)

Nach der Bewertung entscheiden die Entwickler, dass die Verarbeitungstätigkeit als „umfangreich“ eingestuft werden kann. Auch wenn keine quantitativen Kriterien verfügbar sind und das Ergebnis der Bewertung daher nicht als schlüssig angesehen werden kann, kommen sie zu dieser Entscheidung, um einen vorsichtigeren Ansatz zu verfolgen.

Nach der Bewertung des Kriteriums der „umfangreichen Verarbeitung“ bewerten die Entwickler die Notwendigkeit, einen DSB zu benennen.

Anforderungen für die Benennung eines Datenschutzbeauftragten
„Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln” Trifft nicht zu
„Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen” Trifft nicht zu (keine regelmäßige oder systematische Überwachung)
„Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9” Trifft zu (besondere Datenkategorien und „umfangreiche Verarbeitung”)
„Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung […] von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10” Trifft nicht zu (keine personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten)
„Der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen” Trifft nicht zu (kein spezifisches Recht der Union oder der Mitgliedstaaten)

Da eine der Anforderungen zutrifft, beschließen die Entwickler die Benennung eines DSB. Der Verantwortliche (Developing Inc.) hat keinen DSB ernannt. Daher entscheiden die Entwickler, einen solchen einzustellen.

Rechtliche Regelung: Besondere Kategorien personenbezogener Daten
Erfüllt die Tätigkeit eine der Anforderungen für einen DSB? Ja Die Benennung eines DSB ist obligatorisch
Nein Die Benennung eines DSB ist nicht obligatorisch

 

Skip to content