Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Wir beantworten die wichtigsten Fragen. In diesem Beitrag erklären wir, ab wann man nach der Datenschutzgrundverordnung einen Datenschutzbeauftragten benötigt.
Die Pflicht, einen Datenschutzbeauftragten zu bestellen, ist für Verantwortliche in der Datenschutzgrundverordnung weniger stringent ausgeprägt, als dies im derzeitigen deutschen Recht der Fall ist. Dies heisst aber nicht, dass die Pflichten insbesondere für internationale Unternehmen insoweit grundsätzlich heruntergefahren werden. Zwar bedeutet die zukünftige Regelung eine Erleichterung für kleinere Unternehmen, dadurch dass nicht mehr automatisch die Bestellung eines Datenschutzbeauftragten nach deutschem Recht erforderlich ist. Auf der anderen Seite erstreckt sich nun die Verpflichtung (wenn einschlägig) auf die gesamte europäische Union beziehungsweise alle in den Mitgliedstaaten befindlichen Niederlassungen eines Unternehmens. Auch wird die Aufgabe des Datenschutzbeauftragten aufgrund der gestiegenen Compliance-Anforderungen größer.
Nach der Verordnung besteht die Pflicht, einen Datenschutzbeauftragten zu bestellen, zunächst grundsätzlich für öffentliche Stellen (Ausnahme: Gerichte für den Bereich der Rechtspflege). Sie besteht daneben für alle nicht-öffentlichen Stellen, (i) deren Kerntätigkeit in Verarbeitungsvorgängen liegt, (ii) die eine umfangreiche regelmäßige und systematische Überwachung der betroffenen Personen bewirken, sowie (iii) die in großem Umfang mit sensitiven Daten oder Daten über strafrechtliche Verurteilungen oder Straftaten umgehen. Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten dürfte damit sehr viele Unternehmen treffen, insbesondere regelmäßig Unternehmen der Digitalwirtschaft sowie größere Unternehmen.
Dazu kommt, dass die Mitgliedstaaten im nationalen Recht die Pflicht zur Bestellung von Datenschutzbeauftragten ausweiten können. Im Einklang mit dem bisherigen deutschen Recht ist es gut möglich, dass der deutsche Gesetzgeber diese Möglichkeit nutzen wird und die Pflicht zur Bestellung eines Datenschutzbeauftragten ausweiten wird.