Die DSGVO verpflichtet Unternehmen zur Benennung eines Datenschutzbeauftragten in zwei Fällen:
Fall 1: Die Kerntätigkeit des Unternehmens ist die umfangreiche Verarbeitung von Daten zur regelmäßigen und systematischen Überwachung von betroffenen Personen oder von sensiblen Daten.
Der Begriff der umfangreichen regelmäßigen und systematischen Überwachung ist in der DSGVO nicht näher definiert. Ausschließlich aus einem sog. Erwägungsgrund lässt sich auf das Konzept einer „Beobachtung des Verhaltens von betroffenen Personen“ schließen. Der Begriff erstreckt sich demnach auf jede Form der Verfolgung und Profilerstellung im Internet wie zu Zwecken der verhaltensbasierten Werbung. Eine Einschränkung auf „online“ lässt sich jedoch aus den Zielen der DSGVO nicht ableiten.
Beispiele für regelmäßige und systematische Überwachung von betroffenen Personen sind:
verfolgende E-Mail-Werbung, Internet-Trackingprogramme, datengesteuerte Marketingaktivitäten, Treueprogramme, verhaltensbasierte Werbung, Überwachung von Wellness-, Fitness- und gesundheitsbezogenen Daten durch sog. Wearables, Überwachungskameras oder vernetzte Geräte (zum Beispiel intelligente Stromzähler, intelligente Autos, Haustechnik usw.).
Fall 2: Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters liegt in der umfangreichen Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Art. 10 DSGVO).
Was sind besondere Kategorien von Daten nach Art. 9 DSGVO?
Besondere Kategorien von Daten sind
• Gesundheits- und Patientendaten,
• Daten, aus denen die rassische oder ethnische Herkunft hervorgeht,
• Daten, aus denen politische Meinungen hervorgehen,
• Daten, aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen,
• Daten, aus denen die Gewerkschaftszugehörigkeit hervorgeht,
• genetische Daten,
• biometrische Daten zur eindeutigen Identifizierung,
• Daten zum Sexualleben sowie zur sexuellen Orientierung.
Was sind Daten nach Art. 10 DSGVO?
Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln.
Wann liegt eine Kerntätigkeit von der Verarbeitung besonderer Kategorien personenbezogener Daten vor?
Eine Kerntätigkeit eines Verantwortlichen bezieht sich auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit.
Beispiele für die Haupttätigkeit: Ärzte und Zahnärzte sämtlicher Fachrichtungen, Apotheker, Krankenhäuser, Reha-Einrichtungen, Physiotherapeuten, Seniorenheime, Pflegeheime, ambulante Kranken- und Altenpflege, Ergotherapeuten, Heilpraktiker, Hebammen, Logopäden, Psychologen