12.10.2020 | Datenschutz & IT | ID: 1075534

Notwendigkeitsprüfung eines Datenschutzbeauftragten und einer Datenschutzfolgenabschätzung

Die Bestellung eines Datenschutzbeauftragten und die Datenschutzfolgenabschätzung bedürfen einer Notwendigkeitsprüfung anhand der Kriterien der DSGVO und der Leitlinien der Art-29-Datenschutzgruppe.

Bestellung eines Datenschutzbeauftragten

Es besteht bei Vorliegen der Voraussetzungen des Art 37 DSGVO eine Pflicht zur Bestellung eines Datenschutzbeauftragten. Demnach müssen Unternehmen nur dann einen Datenschutzbeauftragten bestellen, wenn entweder

• ihre Kerntätigkeit in einer Datenverarbeitung besteht, welche „eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich“ macht;
• wenn besondere Arten von personenbezogenen Daten verarbeitet werden oder Angaben über strafrechtliche Verurteilungen und Straftaten oder
• wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln).

Diese Bestimmung ist auslegungsbedürftig, denn sie ist unklar formuliert, vor allem was die „Kerntätigkeit des Verantwortlichen“ oder auch die Begriffe der „umfangreichen“ bzw „regelmäßigen“ Verarbeitung betrifft. Hilfsweise sind dabei zur Notwendigkeitsprüfung die Leitlinien der Art-29-Datenschutzgruppe heranzuziehen, was jedem Verantwortlichen nach der Entscheidung der Datenschutzbehörde (DSB) zu DSB-D213.692.0001-DSB/2018 jedenfalls zumutbar ist.

Ausdrückliche Bezeichnung

Fällt die Prüfung positiv aus, so ist ein solcher Datenschutzbeauftragter zu bestellen und weiters ausdrücklich als „Datenschutzbeauftragter“ zu benennen. Eine alternative Bezeichnung (wie etwa „Datenschutzkoordinator“) ist nicht zulässig, da dadurch die gesetzlich definierte Kontroll- und Beratungsfunktion des Datenschutzbeauftragten umgangen werden könnte.

Notwendigkeitsprüfung einer Datenschutzfolgenabschätzung

Gleiches gilt für die Notwendigkeitsprüfung der Datenschutzfolgenabschätzung (DSFA) nach Art 35 DSGVO. Eine DSFA ist durchzuführen, wenn zumindest eines der folgenden Kriterien erfüllt ist:

• Verarbeitungen, die eine Bewertung oder Einstufung natürlicher Personen umfassen für Zwecke, welche
  • die Arbeitsleistung
  • wirtschaftliche Lage
  • Gesundheit
  • persönliche Vorlieben und Interessen
  • die Zuverlässigkeit oder das Verhalten
  • den Aufenthaltsort oder Ortswechsel der Person betreffen.
• Eine solche Verarbeitung muss weiters ausschließlich automatisiert stattfinden, sowie negative rechtliche, physische oder finanzielle Auswirkungen haben können.
• Verarbeitungen von Daten, die zur Bewertung des Verhaltens und anderer persönlicher Aspekte von natürlichen Personen dienen und von Dritten dazu genutzt werden können,
• Verarbeitungsvorgänge, welche die Beobachtung, Überwachung oder Kontrolle von betroffenen Personen insbesondere mittels Bild- und damit verbundenen Akustikdatenverarbeitungen zum Ziel haben
• Verarbeitungen von Daten unter Nutzung oder Anwendung neuer bzw neuartiger Technologien oder organisatorischer Lösungen
• Zusammenführung und/oder Abgleich von Datensätzen aus zwei oder mehreren Verarbeitungen oder
• Verarbeitungsvorgänge im höchstpersönlichen Bereich von Personen, auch wenn die Verarbeitung auf einer Einwilligung beruht.

Auch für die Prüfung ob eine DSFA vorzunehmen ist, ist auf die Leitlinien der Art-29-Datenschutzgruppe zurückzugreifen. Des Weiteren ist darauf zu achten, dass die Notwendigkeit einer DSFA für jede Datenverarbeitung gesondert zu prüfen ist. Von großer Bedeutung ist daher eine eingehende Untersuchung des Verarbeitungsverzeichnisses auf seine Exaktheit.