Ein Datenschutzbeauftragter (DSB) wirkt in einer Behörde oder nicht-behördlichen Organisation auf die Einhaltung des Datenschutzes hin. Die Person kann Mitarbeiter der Organisation sein oder als externer Datenschutzbeauftragter bestellt werden.
Aufgaben und Tätigkeit
Die Aufgabe und Tätigkeit eines Datenschutzbeauftragten wird in Artikel 37 DSGVO und § 38 des neuen Bundesdatenschutzgesetzes (BDSG) sowie den entsprechenden landesrechtlichen Vorschriften geregelt. Der Beauftragte für Datenschutz wirkt auf die Einhaltung des BDSG, der DSGVO und anderer dazu gehörigen Gesetze hin (z.B. TMG, TKG). Eine wesentliche Aufgabe ist die Kontrolle und Überwachung der Einhaltung der Datenschutzgrundverordnung und der ordnungsgemäßen Anwendung von Datenverarbeitungsprogrammen. Das Personal, welches mit dem Umgang von personenbezogenen Daten beschäftigt ist, wird in geeigneter Form mit dem Gesetz und seiner praktischen Umsetzung (Schulung) vertraut gemacht (Art. 39 DSGVO).
Bestellung
Ein Datenschutzbeauftragter muss bestellt werden, wenn personenbezogene Mitgliederdaten automatisiert verarbeitet werden:
Der Datenschutzbeauftragte muss dem Berliner Beauftragten für Datenschutz und Informationsfreiheit gemeldet und seine Kontaktdaten zur Erreichbarkeit über den Verein auf der vereinseigenen Homepage veröffentlicht werden.
Nach der DSGVO muss auf jeden Fall auch ein Datenschutzbeauftragter bestellt werden, wenn die Kerntätigkeit des Vereins in der Verarbeitung von besonderen Kategorien personenbezogener Daten besteht. Relevant für Vereine ist dabei insbesondere der Umgang mit Gesundheitsdaten (häufig im Rahmen von Reha-Sport-Maßnahmen).
Es sollte eine Person zum Datenschutzbeauftragten bestellt werden, die die berufliche Qualifikation und insbesondere das Fachwissen dafür besitzt. Das heißt, dass die Person Kenntnisse in Datenschutzrecht und -praxis haben muss. Je sensiblere Daten der Verein verarbeitet, desto tiefer gehende Fachkenntnisse muss der Datenschutzbeauftragte besitzen. Mitarbeiter in Leitungsfunktionen dürfen jedoch nicht gleichzeitig Datenschutzbeauftragte sein. Das würde zu einem Interessenkonflikt führen, da sie sich dann selbst kontrollieren müssten. Dazu gehören Vorstände, besondere Vertreter und Beiratsmitglieder, Geschäftsführer, Kassenwart und –prüfer.
Automatisiert ist eine Verarbeitung, wenn hierzu Datenverarbeitungsgeräte (Computer, Laptops, Tablets oder Smartphones) verwendet werden. Erfolgt die Datenverarbeitung z.B. mittels Karteikarten, so ist sie nichtautomatisiert, sofern diese nicht zur späteren Verarbeitung in der EDV bestimmt sind und dahingehend geführt werden, dies wäre sonst eine Vorbereitung zur Datenverarbeitung.
Muster Bestellung des Datenschutzbeauftragten