Die Datenschutzbeauftragten spielen eine entscheidende Rolle bei der Gestaltung und Umsetzung von Datenverarbeitungstätigkeiten auf DSGVO-konforme Weise. Sie sind eine weitere Schutzmaßnahme, die die DSGVO in bestimmten Fällen vorschreibt. Im Allgemeinen wird daher die Ernennung einer solchen Person empfohlen. Die Artikel-29-Datenschutzgruppe ist der Ansicht, dass „dass der DSB ein wichtiger Akteur im Bereich der Rechenschaftspflicht sei und dass die Ernennung eines DSB die Einhaltung der Vorschriften erleichtere“.[1]
Artikel 37 Absatz 1 DSGVO [2]legt fest, wann die Verantwortlichen und die Auftragsverarbeiter einen Datenschutzbeauftragten benennen sollten. Im Falle von Ortungs- und Begegnungsgeräten und -systemen wird die Benennung eines DSB höchstwahrscheinlich erforderlich sein, da die meisten dieser Geräte und Systeme personenbezogene Daten in einer Weise verarbeiten, die eine regelmäßige Überwachung der betroffenen Personen in großem Umfang erforderlich machen oder von Behörden durchgeführt werden kann.
Es wäre sinnvoll, wenn die Verordnungen der einzelnen Mitgliedstaaten über die Notwendigkeit eines DSB die Liste der Tätigkeiten, die die Benennung eines DSB erfordern, erweitern oder zumindest klare Beispiele anführen würden. Dies würde die Auslegung erleichtern, welche der von Verantwortlichen und Auftragsverarbeitern durchgeführten Datenverarbeitungstätigkeiten eine solche Benennung erfordern.
Wenn ein DSB aus einem der oben genannten Gründe bestellt werden muss, ist es notwendig, dass er von Anfang an am Projekt beteiligt wird. Beispielsweise bei der Erstellung einer Datenschutz-Folgenabschätzung (gemäß Artikel 39 Absatz 1 Buchstabe c)) sowie bei allen anderen datenschutzrelevanten Fragen innerhalb der Einrichtung (gemäß Artikel 39 Absatz 1 Buchstabe a)). Dazu kann auch die Überprüfung eines potenziellen Auftragsverarbeiters gehören, wie im vorherigen Punkt beschrieben.
| Checkliste: DSB
Die Verantwortlichen haben geprüft, ob die Einrichtung bereits einen DSB benannt hat. Anderenfalls haben sie mit der Rechtsabteilung geprüft, ob die geplanten Datenverarbeitungstätigkeiten die Benennung eines DSB erforderlich machen, indem sie entweder die einschlägigen europäischen Auslegungen, die lokalen Vorschriften, die einschlägigen lokalen Auslegungen und die einschlägige nationale und europäische Rechtsprechung herangezogen haben. Die Verantwortlichen haben gegebenenfalls die Benennung eines DSB und dessen Beteiligung an der Entwicklung des Tools verlangt. Generell sollte der DSB über jeden Schritt informiert sein, damit er eingreifen kann, wenn er dies für erforderlich hält. |
Quellenangaben
1Artikel-29-Datenschutzgruppe (2017) Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“), Seite 4. Europäische Kommission, Brüssel. ↑
2Artikel 37. Bennenung eines Datenschutzbeauftragten: 1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln, b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. ↑