Vorlesen

Pflicht zur Bestellung eines Datenschutzbeauftragten nach DS-GVO

Unter bestimmten Voraussetzungen hat die verantwortliche Stelle einen Datenschutzbeauftragten zu bestellen. Der Datenschutzbeauftragte im Unternehmen oder Verein ist nicht zu verwechseln mit dem Bundes- oder Landesbeauftragten für den Datenschutz, der die Aufsichtsbehörde für den Datenschutz ist. Der betriebsinterne (oder auch –externe) Datenschutzbeauftragte ist ein Instrument der Eigenkontrolle und damit eine organisatorische Maßnahme im Rahmen des geforderten Datenschutzmanagements. Zu unterscheiden ist die Bestellungspflicht nach der DS-GVO und dem BDSG.

Nach Artikel 37 DS-GVO hat der Verantwortliche in jedem Fall einen Datenschutzbeauftragten zu benennen, wenn u.a. die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und /oder ihrer Zwecke eine umfangreiche und systematische Überwachung von betroffenen Personen erforderlich machen. Eine weitere Voraussetzung stellt die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 dar.

Insbesondere die zweite Variante könnte für Sportvereine in Frage kommen, wenn zum Beispiel Gesundheitsdaten im Rahmen des Rehabilitationssports (besondere Kategorie von Daten nach Artikel 9) oder Angaben aus dem erweiterten Führungszeugnis (Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 9) verarbeitet werden.

Allerdings schränkt der Erwägungsgrund 97 die Kerntätigkeit für den privaten Sektor insofern ein, als dass es sich um die Haupttätigkeit des Verantwortlichen handeln muss. Handelt es sich bei der Verarbeitung dagegen lediglich um eine Nebentätigkeit, handelt es sich nicht um eine Kerntätigkeit mit der Folge, dass kein Datenschutzbeauftragter nach Artikel 37 DS-GVO zu benennen ist.

Beispiel: Ein Sportverein bietet Rehabilitationssportkurse im Rahmen der Nachsorge nach einer Krebserkrankung an. Es werden gesundheitliche Daten erhoben, die im Rahmen der Kursdurchführung (z.B. zur Berücksichtigung der Belastbarkeit des Kursteilnehmers) erhoben werden. Es dürfte sich lediglich um eine Nebentätigkeit handeln. Haupttätigkeit dürfte die Durchführung des Kurses sein, mit der Folge, dass nach Artikel 37 DS-GVO kein Datenschutzbeauftragter zu benennen ist.

15 wichtige Fragen zum Datenschutz!

Weitere Informationen zum Download:

vom LSB Niedersachsen