Ob Sie einen Datenschutzbeauftragten benötigen hängt laut DSGVO vom Umfang und Zweck der Datenverarbeitung ab. In Deutschland gibt es weitere Vorgaben durch die Ergänzungen des BDSG.
Deutschland: Die DSGVO und das neue BDSG schreiben vor, wann ein Datenschutzbeauftragter bestellt werden muss. Hierzu gibt es einen sehr klar formulierten Artikel auf erecht24.de (Punkt 2 "Wann ist ein Datenschutzbeauftragter gesetzlich erforderlich").
Österreich: Hier gibt es keine Ergänzungen durch das DSAG.
Die DSGVO selbst gibt folgendes an:
Sie müssen der Datenschutzbehörde dann einen Datenschutzbeauftragten (Artikel 37-39 DSGVO) offiziell bekannt geben,
- wenn Ihre Kerntätigkeit Datenverarbeitungsaktivitäten sind, die aufgrund ihrer Art, ihres Umfangs und / oder Zwecks eine umfassende, regelmäßige und systematische Überwachung von Datensubjekten (z. B. Versicherungsunternehmen, professionelle Detektive, Verfolgung von Personen während der Reise ...) oder
- wenn Ihre Kerntätigkeit die umfassende Verarbeitung sensibler Daten (z. B. Krankenhäuser oder medizinische Einrichtungen) oder Daten über strafrechtliche Verurteilungen oder Straftaten ist.
Ein einzelner Arzt benötigt jedoch keinen DSB, da die Datenverarbeitung nicht umfassend ist.
Die Artikel-29-Gruppe definiert "Kernaktivitäten", "regelmäßig" sowie "systematisch", so dass sie für allgemeine Interpretationen verwendet werden können, folgendermaßen:
"Kernaktivität" kann als die Schlüsseloperation angesehen werden, um die Ziele des Verantwortlichen oder Auftragsverarbeiters zu erreichen.
"regulär" wird als eines oder mehrere der folgenden Elemente interpretiert:
- in bestimmten Intervallen für einen bestimmten Zeitraum andauern oder auftreten
- wiederkehrend oder wiederholt zu festgelegten Zeiten
- ständig oder periodisch stattfinden
"systematisch" wird als eines oder mehrere der folgenden interpretiert:
- nach einem System auftreten
- vorgeordnet, organisiert oder methodisch
- erfolgt im Rahmen eines allgemeinen Plans zur Datenerhebung
- als Teil einer Strategie durchgeführt
Aufgaben eines Datenschutzbeauftragten
Ein Datenschutzbeauftragter (DSB) muss laut DSGVO folgende Aufgaben erfüllen:
- den Verantwortlichen und die Mitarbeiter über Ihre Verpflichtungen bezüglich DSGVO informieren und beraten,
- Überwachung und Überprüfung der Einhaltung von Datenschutzrichtlinien, einschließlich der Festlegung von Verantwortlichkeiten, Sensibilisierung und Schulung der Mitarbeiter.
- Gegebenenfalls Konsultation im Rahmen der DSFA und Überwachung seiner Umsetzung.
- Kontakt und Zusammenarbeit mit der Aufsichtsbehörde.