Die DSGVO sieht die Verpflichtung zur Bestellung eines Datenschutzbeauftragten in Art 37 DSGVO unter bestimmten Voraussetzungen vor. Einige Länder Europas haben von der Öffnungsklausel, die eine Erweiterung der Bestellpflicht ermöglicht, Gebrauch gemacht.
Belgien
In Belgien ist vorgesehen, dass “any private body processing personal data for the account of a federal public authority, or to which a federal public authority has transferred personal data, shall appoint a data protection officer if the processing of these data is likely to result in a high risk as referred to in article 35 of the Regulation.”
Jede nicht-öffentliche Stelle, die eine Verarbeitung personenbezogener Daten im Auftrag einer Bundesbehörde durchführt bzw. an welche personenbezogene Daten von einer Bundesbehörde übertragen wurden, muss einen Datenschutzbeauftragten bestellen, wenn die Verarbeitung dieser Daten ein hohes Risiko im Sinne von Artikel 35 der Verordnung mit sich bringen kann. (Art. 21 Loi relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel).
Deutschland
In Deutschland wurde die bisherige Regelung des § 4f BDSG alt fortgeführt. In Deutschland ist jede Organisation, die keine öffentliche Stelle ist, ab einer bestimmten Größe verpflichtet, eine/n DSBA zu bestellen. Jeder (private) Verantwortliche, hat verpflichtend eine/n DSBA zu bestellen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Unabhängig von der Anzahl der beschäftigten Personen sind Verantwortliche verpflichtet, eine/n DSBA zu bestellen, wenn diese
· Verarbeitungen vornehmen, die gem. Art 35 DSGVO einer Datenschutz-Folgenabschätzung bedürfen oder
· personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder
· für Zwecke der Markt- oder Meinungsforschung verarbeiten.
Spanien.
In Spanien ist gesetzlich festgelegt, welche Arten von Organisationen eine/n DSBA bestellen müssen, unabhängig davon, ob sie als Verantwortlich oder Auftragsverarbeiter tätig werden:
a) Berufsverbände und ihre Generalräte
b) Bildungseinrichtungen, die Unterricht auf einer der in den Bildungsgesetzen festgelegten Niveaus anbieten, sowie öffentliche und private Universitäten
c) Organisationen, die Netze betreiben und elektronische Kommunikationsdienste im Sinne des Gesetzes erbringen, wenn sie routinemäßig und systematisch personenbezogene Daten in großem Umfang verarbeiten
d) Anbieter von Diensten der Informationsgesellschaft, die in großem Umfang Profile von Nutzern erstellen
e) Finanzinstitute, gem. Artikel 1 des Gesetzes 10/2014 vom 26. Juni
f) Kreditinstitute
g) Versicherungs- und Rückversicherungsunternehmen
h) Wertpapierdienstleistungsunternehmen, die der Finanzmarktgesetzgebung unterliegen
i) Energieversorger und Vermarkter von elektrischer Energie sowie Energieversorger und Vermarkter von Erdgas
j) Stellen, die gemeinsame Daten zur Beurteilung der Vermögenssituation oder Bonität oder zur Betrugsbekämpfung verarbeiten, einschließlich der Verantwortlichen, die Daten zur Bekämpfung der Geldwäsche und der Terrorismusfinanzierung aufgrund diesbezüglicher Rechtsvorschriften verarbeiten
k) Unternehmen, die Werbekampagnen durchführen oder Forschung im Bereich Handel, einschließlich Handels- und Marktforschung, durchführen, wenn sie Verarbeitungen durchführen, die auf den Präferenzen der betroffenen Parteien beruhen, oder Tätigkeiten ausüben, die die Erstellung ihrer Profile beinhalten
l) Gesundheitszentren, die gesetzlich verpflichtet sind, die Patientenakten zu führen. Ausgenommen sind Angehörige der Gesundheitsberufe, die zwar gesetzlich verpflichtet sind, die Patientenakten zu führen, ihre Tätigkeit aber als Einzelperson ausüben
m) Unternehmen, die die Veröffentlichung von Geschäftsberichten zum Unternehmensgegenstand haben, die sich auf natürliche Personen beziehen können
n) Glückspielbetreiber, die auf elektronischen, computergestützten, telematischen und interaktiven Kanälen tätig sind
m) private Sicherheitsunternehmen
o) Sportverbände, wenn diese Daten von Minderjährigen verarbeiten
Zypern.
Die zypriotische Aufsichtsbehörde hat die gesetzliche Ermächtigung mittels Verordnung diejenigen Verarbeitungstätigkeiten festzulegen, für die eine Bestellpflicht iSd Art 37 Abs 1 DSGVO besteht. Soweit überblickbar, wurde eine derartige Liste noch nicht veröffentlicht.
06.04.2019, Autor:
Michael Schweiger, zert. DSBA
Kommentar schreiben