Aufgaben, welche es entweder von Ihnen oder einem DSB zu erfüllen gilt:

• Unterrichtung und Beratung des Verantwortlichen und Beschäftigten
• Überwachung und Einhaltung der Datenschutzvorschriften sowie deren Strategien
• Sensibilisierung und Schulung der Mitarbeiter
• Beratung bei Datenschutz-Folgeabschätzungen
• Zusammenarbeit mit der Aufsichtsbehörde
• Beratung der Betroffenen

Compliance beschreibt im rechtlichen Bereich die Einhaltung aller gesetzlichen Bestimmungen sowie interner Richtlinien durch Unternehmen und ihre Mitarbeiter. 
Datenschutz Compliance ist also die Einhaltung der gesetzlichen Richtlinen der DS-GVO und des BDSG.

Es drohen Bußgelder in Höhe von bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres – je nachdem, welcher Betrag höher ist.

Viele Verstöße, beispielsweise die Nichtbestellung eines Datenschutzbeauftragten, gelten als grob fahrlässiges Verhalten. Geschäftsführer haften unter Umständen unbeschränkt mit ihrem Privatvermögen. Die Aufsichtsbehörden gehen Verstößen konsequent nach.

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.
Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann

Benennung von Datenschutzbeauftragten nach § 38 BDSG:

Die DS-GVO erlaubt den Mitgliedstaaten weitergehende Vorschriften zur Benennung (Artikel 37 Abs. 4 DS-GVO). Der Bundesgesetzgeber hat diesen Regelungsspielraum genutzt, um die Pflicht zur Benennung von betrieblichen Datenschutzbeauftragten weitergehend zu regeln und den vorherigen deutschen Regelungsansatz zu übertragen (§ 38 BDSG, vgl. § 4f BDSG-alt).

Demnach ist eine Benennung von Datenschutzbeauftragten auch in folgenden Fällen erforderlich:

§ es werden in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt (§ 38 Absatz 1 Satz 1 BDSG) oder

§ es werden Verarbeitungen vorgenommen, die einer Datenschutz-Folgenabschätzung nach Art. 35 DS-GVO unterliegen oder

§ es werden personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet.

In den beiden letztgenannten Fällen müssen unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen Datenschutzbeauftragte benannt werden (§ 38 Absatz 1 Satz 2 BDSG).

Hinweis:
Die Regelung in § 38 Abs. 1 BDSG hat sich geändert: die Pflicht, einen betrieblichen Datenschutzbeauftragten zu benennen, besteht seit dem 26.11.2019 erst ab einer relevanten Personenzahl von 20 – davor waren es zehn.


Freiwillige Benennung:

Wenn keine Pflicht zur Benennung von Datenschutzbeauftragten vorliegt, müssen dennoch die Vorgaben der DS-GVO und des weiteren Datenschutzrechts von Verantwortlichen und Auftragsverarbeitern eingehalten werden.

Im Falle einer freiwilligen Benennung von Datenschutzbeauftragten unterliegen deren Benennung, Stellung und Aufgabenbereich den gleichen Anforderungen wie bei einer obligatorischen Benennung (Artikel 37-39 DS-GVO). 

• die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben

• die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen

• die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt

• die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen

• die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde

• die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt

Eine Datenschutz-Folgenabschätzung ist laut DSGVO immer dann durchzuführen, wenn durch die Verarbeitung von Daten voraussichtlich hohe Risiken für Freiheiten und persönliche Rechte von Betroffenen entstehen. In Artikel 35 Absatz 3 der DSGVO sind einige Beispiele genannt, bei denen eine Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung besteht. Dies können beispielsweise folgende Vorgänge sein:

• umfangreiche Verarbeitung von Daten über Straftaten und strafrechtliche Verurteilungen

• systematische und weiträumige Überwachung öffentlicher Bereiche

• umfassende Bewertung von persönlichen Aspekten natürlicher Personen basierend auf Profiling und automatisierter Verarbeitung, die als Entscheidungsgrundlage Rechtswirkungen gegenüber Personen entfalten oder sie in erheblicher Weise beeinträchtigen

Aus diesen Beispielen ist ein im Vergleich zum BDSG größerer Anwendungsbereich der DSFA zu erwarten. Aufsichtsbehörden haben nach DSGVO die Pflicht, Listen mit Verarbeitungsvorgängen zu erstellen und zu veröffentlichen, für die eine DSFA erforderlich ist oder nicht durchgeführt werden muss.