Benennung von Datenschutzbeauftragten durch Betreuer:innen
Wann Betreuer Datenschutzbeauftragte benennen müssen!
Erfahren Sie, wann umfangreiche Datenverarbeitungen eine Benennungspflicht auslösen und welche Anforderungen speziell für Betreuungsbüros und -vereine gelten. Schützen Sie Ihr Unternehmen vor DSGVO-Verstößen!
Betreuer:innen verarbeiten im Rahmen ihrer Tätigkeit oftmals eine Vielzahl unterschiedlicher personenbezogene Daten der von ihnen betreuten Person, die wie zum Beispiel Steuerdaten, die Herkunft oder Gesundheitsdaten häufig eine hohe Sensibilität aufweisen.
Gemäß Artikel 37 Absatz 1 Buchstabe c Datenschutzgrundverordnung (DSGVO) müssen nicht öffentliche Verantwortliche und Auftragsverarbeiter:innen Datenschutzbeauftragte benennen, wenn ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 DSGVO besteht. Hierunter fallen etwa Gesundheitsdaten, Daten über die Hautfarbe, politische, religiöse oder weltanschauliche Überzeugungen, die Gewerkschaftszugehörigkeit oder zum Sexualleben oder der sexuellen Orientierung. Für die Frage, ob es sich um umfangreiche Verarbeitungen handelt, sind insbesondere die große Menge der verarbeiteten personenbezogenen Daten, die lange Dauer der Verarbeitung und die hohe Anzahl der betroffenen Personen von Bedeutung. Sind mehrere dieser Faktoren gegeben, so spricht dies für eine „umfangreiche“ Verarbeitung.
Erfolgt die Verarbeitung personenbezogener Daten durch einzelne selbstständige Betreuer besteht regelmäßig keine Benennungspflicht, weil es sich nicht um eine umfangreiche Datenverarbeitung handelt. Liegen die vorstehend genannten Faktoren vor, beispielsweise bei einer Anzahl von zu Betreuenden, die erheblich über den durchschnittlichen Betroffenenkreis hinausgeht, kann aber bereits eine einzelne Betreuerin beziehungsweise ein einzelner Betreuer verpflichtet sein, eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.
Für eine Pflicht zur Benennung einer oder eines Datenschutzbeauftragten spricht es, wenn bei einem privaten Betreuungsbüro oder -verein mehrere Personen mit der Erfüllung von Betreuungsaufgaben befasst sind und das Büro oder der Verein für die personenbezogene Datenverarbeitung verantwortlich ist. Die Benennungspflicht liegt in diesem Fall beim Betreuungsbüro oder dem Betreuungsverein. Nach § 38 Absatz 1 Bundesdatenschutzgesetz müssen Datenschutzbeauftragte benannt werden, wenn in der Regel mindestens zwanzig Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, auch wenn die Voraussetzungen für die Pflicht zur Benennung einer beziehungsweise eines Beauftragten nach Artikel 37 Absatz 1 DSGVO nicht vorliegen. Ist die Betreuung von einer Behörde oder anderen öffentlichen Stelle wahrzunehmen, muss diese gemäß Artikel 37 Absatz 1 Buchstabe 1 Datenschutzgrundverordnung eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten benennen.
Quelle: LfDI der Freien Hansestadt Bremen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Ombudsstelle und Hinweisgebersystem für Hinweisgeber:innen (Whistleblower)
- Tragbarer Tresor für die Reise zum Schutz von Wertsachen
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks