Datenschutzbeauftragter (betrieblicher und behördlicher)

Die Datenschutz-Grundverordnung regelt, dass die für die Datenverarbeitung Verantwortlichen in bestimmten Fällen einen internen Datenschutzbeauftragten (DSB) zu benennen haben.

Das Onlineportal für die Meldung des Datenschutzbeauftragten finden Sie unter DSB-Meldeportal.

Allgemeines:

Ein DSB ist dann zu benennen, wenn

  • die Verabreitung von einer Behörde oder öffentlichen Stelle (§ 13 Abs. 1 ThürDSG) durchgeführt wird oder
  • die Kerntätigkeit des Unternehmens darin besteht, für sich selbst oder andere Verarbeitungsvorgänge durchzuführen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 Buchst. b) DS-GVO) oder wenn eine umfangreiche Verarbeitung besonderer Kategorien von Daten (s. Art. 9 DS-GVO, beispielsweise von Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten durchgeführt wird (Art. 37 Abs. 1 Buchst. c) DS-GVO) oder
  • wenn das Unternehmen in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftig (§ 38 Abs. 1 Satz 1 BDSG-neu) oder
  • wenn im Unternehmen eine Datenschutz-Folgenabschätzung durchzuführen ist (s. a. Kurzpapier Nummer 5 zur Datenschutz-Folgenabschätzung; § 38 Abs. 1 Satz 2, 1. Alternative BDSG-neu) oder
  • wenn das Unternehmen im Bereich der Markt und Meinungsforschung tätig ist (§ 38 Abs. 1 Satz 2, 3. Alternative BDSG-neu) oder
  • wenn das Unternehmen Daten geschäftsmäßig zum Zweck der Übermittlung, auch anonymisiert, verarbeitet (§ 38 Abs. 1 Satz 2, 2. Alternative BDSG-neu).

Der DSB wird auf Grundlage seiner beruflichen Qualifikationen und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt.

Betriebs-/Personalrat:

Im Bereich der Datenverarbeitung durch den Betriebsrat im nicht-öffentlichen Bereich hat der Betriebsrat keinen eigenen Datenschutzbeauftragten zu bestellen, die Bestellung richtet sich hier an den Arbeitgeber. Damit unterliegt die Verarbeitung personenbezogener Daten durch den Betriebsrat der Überwachung durch den betrieblichen Datenschutzbeauftragten (vgl. § 79a Betriebsverfassungsgesetz).

In Thüringen hat der Personalrat allerdings gem. § 80 Abs. 1 Thüringer Personalvertretungsgesetz (ThürPersVG) einen eigenen Datenschutzbeauftragten zu bestellen, der bDSB kann das Amt bei Einvernehmen zwischen Dienststelle und Personalvertretung übernehmen, § 80 Abs. 1 ThürPersVG.