§38 BDSG (neu) - Datenschutzbeauftragte nicht-öffentlicher Stellen
Der Gesetzgeber hat sich dazu entschieden, die Regelungen des BDSG(alt) weitgehend beizubehalten – wohl auch aus wahltaktischen Erwägungen im Hinblick auf die Bundstagswahl im Herbst 2017.
Danach haben nicht-öffentliche Stellen (z.B. Unternehmen) einen Datenschutzbeauftragten verpflichtend zu bestellen, wenn zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Der Gesetzgeber hebt weder auf (Vollzeit-)Stellen ab, noch darauf, ob das arbeitsrechtliche Bechäftigungsverhältnis zwingend mit der verantwortlichen Stelle besteht. Daher sind hier „Köpfe“ zu zählen und keine Stellen, ferner sind Teil- und Leiharbeiter sowie Auszubildende un Praktikanten bei der Berechnung einzubeziehen.
Eine Automatisierte Verarbeitung kann jedenfalls schon dann angenommen werden, wenn ein Beschäftigter Emails bearbeitet. Insofern können vereinfacht mindestens die Mitarbeiter mit PC-Arbeitsplatz oder -Zugang für die Berechnung herangezogen werden.
Achtung: §7 BDSG(neu) ist formell nicht für die Anwendung auf Datenschutzbeauftragte nicht-öffentlicher Stellen anwendbar, hier gelten die Regelungen des Art. 39 DSGVO.
Auf die weiteren Anmerkungen im Kommentar zu Art. 37 DSGVO sei verwiesen.
Unsere Management-Information zum Datenschutzbeauftragten ist als PDF-Datei abrufbar. (Plagiate werden verfolgt!)
- Publikation der hessischen Afusichtsbehörde zum Datenschutzbeauftragten nach neuem Recht vom Juni 2017
- Empfehlenswert auch: GDD-Praxishilfe DS-GVO I – Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, Version 1.0, Stand November 2016
- Ferner die Richtlinie der Art. 29-Gruppe zum Datenschutzbeauftragten vom 13.12.2016 sowie ein FAQ dazu.
Kommentar
§38 BDSG (neu) - Datenschutzbeauftragte nicht-öffentlicher Stellen
Der Gesetzgeber hat sich dazu entschieden, die Regelungen des BDSG(alt) weitgehend beizubehalten – wohl auch aus wahltaktischen Erwägungen im Hinblick auf die Bundstagswahl im Herbst 2017.
Danach haben nicht-öffentliche Stellen (z.B. Unternehmen) einen Datenschutzbeauftragten verpflichtend zu bestellen, wenn zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Der Gesetzgeber hebt weder auf (Vollzeit-)Stellen ab, noch darauf, ob das arbeitsrechtliche Bechäftigungsverhältnis zwingend mit der verantwortlichen Stelle besteht. Daher sind hier „Köpfe“ zu zählen und keine Stellen, ferner sind Teil- und Leiharbeiter sowie Auszubildende un Praktikanten bei der Berechnung einzubeziehen.
Eine Automatisierte Verarbeitung kann jedenfalls schon dann angenommen werden, wenn ein Beschäftigter Emails bearbeitet. Insofern können vereinfacht mindestens die Mitarbeiter mit PC-Arbeitsplatz oder -Zugang für die Berechnung herangezogen werden.
Achtung: §7 BDSG(neu) ist formell nicht für die Anwendung auf Datenschutzbeauftragte nicht-öffentlicher Stellen anwendbar, hier gelten die Regelungen des Art. 39 DSGVO.
Auf die weiteren Anmerkungen im Kommentar zu Art. 37 DSGVO sei verwiesen.
Unsere Management-Information zum Datenschutzbeauftragten ist als PDF-Datei abrufbar. (Plagiate werden verfolgt!)
- Publikation der hessischen Afusichtsbehörde zum Datenschutzbeauftragten nach neuem Recht vom Juni 2017
- Empfehlenswert auch: GDD-Praxishilfe DS-GVO I – Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung, Version 1.0, Stand November 2016
- Ferner die Richtlinie der Art. 29-Gruppe zum Datenschutzbeauftragten vom 13.12.2016 sowie ein FAQ dazu.
Wie ist in § 38 Abs. 1 Satz 1 des BDSG das Wort „ständig“ auszulegen, insbesondere in Abgrenzung zu „gelegentlich“?