Jedes Unternehmen, in dem mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, muss gemäß Artikel 37 ff. DSGVO einen Datenschutzbeauftragten benennen. Wichtig ist, dass hierbei alle Personen erfasst werden, die tatsächlich auf die automatisierte Datenverarbeitung im Unternehmen zugreifen, unabhängig der Häufigkeit oder Intensität.
Abgesehen von der Anzahl der mit der Verarbeitung beschäftigter Personen sind Sie gemäß Artikel 37 DSGVO zur Benennung eines Datenschutzbeauftragten verpflichtet, wenn
- Sie Verarbeitungen vornehmen, die einer Datenschutzfolgeabschätzung nach Artikel 35 DSGVO unterliegen, oder
- Sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeiten, §§ 5, 38 BDSG in Ergänzung zu Artikel 37 DSGVO.
- ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht und deren Art, Umfang und/oder Zweck eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.
- ihr Kerngeschäft in der umfangreichen Datenverarbeitung besonderer Kategorien (gemäß Artikel 9 und 10 DSGVO) besteht, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen.