Bei der Frage, ob ein Datenschutzbeauftragter bestellt werden muss ist zuvorderst die Regel des § 38 I BDSG zu beachten: Wenn mindestens 20 Personen beschäftigt sind, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss ein Datenschutzbeauftragter bestellt werden.
Weiterhin kann sich die Verpflichtung zur Benennung eines Datenschutzbeauftragten aus § 38 Abs. 1 S. 2, 1. Variante BDSG ergeben, wenn man gemäß Art. 35 DSGVO verpflichtet ist, eine Datenschutz-Folgenabschätzung vorzunehmen.
Abschließend kann man gemäß § 38 Abs. 1 S. 2, 2. Variante BDSG verpflichtet sein, einen Datenschutzbeauftragten zu benennen. Dies ist anzunehmen, wenn personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden. Die Zwecksetzung, die nach § 38 Abs. 1 S. 2, 2. Variante BDSG erforderlich ist, besteht aber nur dann, wenn die Datenverarbeitung von ihrer Zielrichtung für außenstehende Personen von Interesse ist und diesen Personen Daten übermittelt werden sollen! Damit sind etwa Auskunfteien, Adressverlage und Unternehmen der Meinungsforschung gemeint – eine bloße Übermittlung von Daten zwischen einem Auftragsverarbeiter und dem Verantwortlichen oder zwischen zwei Verantwortlichen ist nicht ausreichend. § 38 Abs. 1 S. 2, 2. Variante BDSG stellt eine eng auszulegende Ausnahmevorschrift dar. Der Anwendungsbereich würde unangemessen überdehnt, falls alle Fälle der Auftragsdatenverarbeitung zur verpflichtenden Benennung eines Datenschutzbeauftragten führten. Denn die Auftragsverarbeitung findet in der Regel „geschäftsmäßig“ statt (dazu Landesarbeitsgericht Hamm, 18 Sa 271/22).
- Junge Finanzagenten: Aachener Jugendliche für Geldwäsche ausgenutzt - 14. Februar 2025
- EuGH-Entscheidung zum Softwarerecht: Auswirkungen auf öffentliche IT-Beschaffungen und den Softwaremarkt - 14. Februar 2025
- Künstliche Intelligenz & Urheberrecht: US-Gericht sieht kein Fair-Use durch KI - 14. Februar 2025