Wann ist ein/e interne/r oder externe/r Datenschutzbeauftragte/r erforderlich?
Nach der Datenschutz-Grundverordnung (DSGVO) sind interne oder externe Datenschutzbeauftragte unter bestimmten Voraussetzungen zu benennen.
Dies ist insbesondere der Fall:
- bei öffentlichen Stellen (vgl. Art. 37 Abs. 1 lit. a DSGVO, § 5 BDSG),
- oder wenn bei nicht-öffentlichen Stellen die Verarbeitung personenbezogener Daten zu den Haupttätigkeiten gehört und dabei eine umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) erfolgt (Art. 37 Abs. 1 lit. b–c DSGVO).
Darüber hinaus gilt in Deutschland eine nationale Regelung nach § 38 Abs. 1 BDSG: Jede nicht-öffentliche Stelle muss eine/n Datenschutzbeauftragte/n benennen, wenn mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten betraut sind – dazu zählt bereits der regelmäßige Zugriff auf ein E-Mail-System.