Artikel 37 EU-DSGVO: Benennung eines Datenschutzbeauftragten
- Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
- die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
- Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.
- Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.
- In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.
- Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
- Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
- Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.
Kommentar zu Art. 46 DSGVO
Was sagt Art. 46 DSGVO aus?
Um Daten in ein Drittland (Nicht-EU-Land) zu übermitteln, sind die besonderen Voraussetzungen des 5. Kapitels der DSGVO zu beachten. Art. 46 DSGVO regelt eine der Möglichkeiten, mit denen sich sicherstellen lässt, dass bei der Datenübermittlung an Drittländer und internationale Organisationen das durch die DSGVO vorgegebene Schutzniveau gewährleistet wird.
Neben der Möglichkeit der Übermittlung gemäß Art. 45 DSGVO aufgrund eines Angemessenheitsbeschlusses der EU- Kommission oder aufgrund einer wirksamen Einwilligung des Betroffenen kann eine Übermittlung von Daten in Drittländer auch aufgrund geeigneter Garantien gemäß Art. 46 DSGVO erfolgen. Geeignete Garantien sind dabei Vorkehrungen zur Sicherstellung der Einhaltung der wesentlichen Grundsätze der EU-Datenschutzvorschriften in Nicht-EU-Ländern (angemessenes Schutzniveau). In Art.46 Abs. 2 DSGVO werden einige Möglichkeiten geeigneter Garantien aufgezählt, die keiner Genehmigung durch die Aufsichtsbehörde bedürfen. Die aktuell gebräuchlichsten sind dabei die „binding corporate rules“ gemäß Art. 46 Abs. 2 b DSGVO sowie der Abschluss von Standardvertragsklauseln gemäß Art. 46 Abs. 2 c DSGVO. Die Erstellung von internen verbindlichen Datenschutzregeln (binding corporate rules) ist jedoch in der Regel mit einem sehr hohen Aufwand verbunden, da das Unternehmen Regeln zum Umgang mit personenbezogenen Daten auch in Drittländern festlegt und diese Regeln für alle Mitarbeiter rechtlich bindend sein müssen.
Empfehlenswert ist oftmals das Abschließen von Standardvertragsklauseln, welche von der EU-Kommission für die Übermittlung von personenbezogenen Daten an Empfänger in einem Drittland veröffentlicht wurden. Abs. 3 nennt noch zwei weitere Möglichkeiten für geeignete Garantien, die aber der Genehmigung der zuständigen Aufsichtsbehörde unterliegen. In diesen Fällen wendet die Aufsichtsbehörde das Kohärenzverfahren an (s. Abs. 4). In Abs. 5 ist abschließend geregelt, wie lange die jeweiligen Genehmigungen gültig sind.
Was muss getan werden?
Wer auf Grundlage geeigneter Garantien personenbezogene Daten ins Ausland übermitteln will, muss vertragliche Regelungen mit dem Datenempfänger treffen, die ein angemessenes Schutzniveau für die Datenverarbeitung in diesem Gebiet gewährleisten. Wir helfen Ihnen in diesen Fällen gerne mit unserer individuellen Datenschutzberatung.