DSGVO Gesetzestexte
Artikel 38 EU-DSGVO: Stellung des Datenschutzbeauftragten

Artikel 38 EU-DSGVO: Stellung des Datenschutzbeauftragten

  1. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird.
  2. Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.
  3. Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.
  4. Betroffene Personen können den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.
  5. Der Datenschutzbeauftragte ist nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden.
  6. Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.
Zum Inhaltsverzeichnis
Zur Kapitelübersicht
Vorheriger Artikel
Nächstes Kapitel
Nächster Artikel
Sie haben noch Fragen? Wir sind gerne für Sie da.
Unverbindliche Beratung

Kommentar zu
Artikel 38 EU-DSGVO: Stellung des Datenschutzbeauftragten

Kommentar zu Artikel 47 DSGVO

Was sagt Art. 47 DSGVO aus?

Art. 47 DSGVO regelt den Fall der „verbindlichen internen Datenschutzvorschriften“ als geeignete Garantie zur Datenübermittlung in Drittländer (s. Art. 46 Abs. 2 b DSGVO). Diese Möglichkeit kommt nur für interne grenzüberschreitende Datenübermittlungen in Unternehmensgruppen oder Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in Betracht. Nach der Legaldefinition des Art. 4 Nr. 19 DSGVO ist eine Unternehmensgruppe eine Gruppe, die aus einem herrschenden und den von diesem abhängigen Unternehmen besteht.

Die verbindlichen internen Vorschriften sind nach Art. 47 Abs. 1 DSGVO von der zuständigen Aufsichtsbehörde gemäß dem Kohärenzverfahren nach Art. 63 DSGVO zu genehmigen. Die wichtigste Voraussetzung für eine solche Genehmigung ist nach Abs. 1 a die rechtliche Verbindlichkeit der Vorschriften innerhalb des Unternehmens bzw. der Unternehmensgruppe und deren Durchsetzung durch die Mitglieder. Darüber hinaus müssen den betroffenen Personen durch die internen Datenschutzvorschriften durchsetzbare Rechte in Bezug auf die Verarbeitung ihrer Daten gewährt werden und die Vorschriften müssen alle Angaben des Abs. 2 enthalten.

Was hat sich geändert?

Die ehemalige Artikel-29-Datenschutzgruppe befand die verbindlichen internen Datenschutzvorschriften nur für Unternehmensgruppen nach Art. 4 Nr. 19 DSGVO als geeignet. Art. 47 DSGVO sieht das Instrument der internen Datenschutzvorschriften nun auch für diejenigen Gruppen von Unternehmen vor, die nicht unter diese Definition fallen, aber eine gemeinsame Wirtschaftstätigkeit ausüben.

Außerdem müssen die internen Datenschutzvorschriften nun nach Abs. 2 a nicht nur die Kontaktdaten der Unternehmensgruppe, sondern auch die Kontaktdaten jedes Mitglieds enthalten.

Was muss getan werden?

Im Falle einer Datenübermittlung nach Art. 47 DSGVO müssen Sie verbindliche interne Datenschutzvorschiften nach Abs. 2 aufstellen und diese dann nach den Voraussetzungen des Abs. 1 von der zuständigen Aufsichtsbehörde genehmigen lassen. Gem. Art. 47 Abs. 2 g DSGVO sind die betroffenen Personen auch über die verbindlichen internen Datenschutzvorschriften zu informieren, sodass sie ihre damit eingeräumten Rechte durchsetzen können. Wir sind Ihnen bei diesem Verfahren gerne mit unserer Datenschutz-Beratung behilflich oder unterstützen Sie als externer Datenschutzbeauftragter.