Selbstcheck für Unternehmen
Ob ein Unternehmen einen Datenschutzbeauftragten bestellen muss oder nicht, wird in § 38 Bundesdatenschutzgesetz
in Verbindung mit Art. 37 DSGVO geregelt. Ist für Ihr Unternehmen ein Datenschutzbeauftragter zu bestellen?
Das folgende interaktive Fragenkatalog sowie das Schaubild helfen Ihnen, diese Frage zu beantworten.
1) Erhebt oder verarbeitet Ihr Unternehmen personenbezogene Daten?
Schaubild Bestellung Datenschutzbeauftragter
Zum Vergrößern bitte auf das Schaubild klicken.
Es ist ein Datenschutzbeauftragter zu bestellen, wenn einer der folgenden Punkte zutrifft:
Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen
[Art. 37 DSGVO]
Beispiel
Geschäftsbereiche, die für die Umsetzung der Unternehmensstrategie erforderlich sind (insbesondere, aber nicht abschließend: Kundenservice, Marketing, Produktdesign Auskunfteien oder Adresshandel). “Art, Umfang und Zweck“ sind anhand objektiver Merkmale zu beurteilen (insb. die Anzahl der Betroffenen, die Menge der betroffenen Daten und/oder Vielzahl der verschiedenen Datensätze, die Dauer oder geographische Reichweite der Datenverarbeitung)
Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10
[Art. 37 DSGVO]
Beispiel
Art. 9 DSGVO: rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetischen aten, biometrischen Daten, esundheitsdaten, Daten zum Sexualleben, Daten zur sexuellen Orientierung
Art. 10 DSGVO: strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln
Verantwortlicher und Auftragsverarbeiter beschäftigen in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten [§ 38 BDSG]
Verantwortlicher oder Auftragsverarbeiter nehmen Verarbeitungen vor, die einer Datenschutz- Folgenabschätzung nach Artikel 35 DSGVO unterliegen [§ 38 BDSG]
Verantwortlicher oder Auftragsverarbeiter verarbeiten personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung [§ 38 BDSG]
Verantwortlicher oder Auftragsverarbeiter verarbeiten personenbezogene Daten zum Zweck der anonymisierten Übermittlung [§ 38 BDSG]
Verantwortlicher oder Auftragsverarbeiter verarbeiten personenbezogene Daten zum Zweck der Markt- oder Meinungsforschung [§ 38 BDSG]