Die Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) veröffentlicht von Zeit zu Zeit Hinweise und Beschlüsse zur einheitlichen Auslegung von Datenschutzvorschriften und nimmt zu Zweifelsfragen Stellung.
In Bezug auf die Pflicht zur Bestellung eines Datenschutzbeauftragten nach Artikel 37 Abs. 1c Datenschutzgrundverordnung (DSGVO) hat sie folgendes klargestellt:
Kleine Praxen mit weniger als 10 Personen, die ständig mit der Verarbeitung personenbezogener Daten beschäftigt sind, benötigen i.d.R. keinen Datenschutzbeauftragten. Sind dagegen mindestens 10 Personen – einschließlich des/der Praxisinhaber/s – mit der Datenverarbeitung befasst, ist ein Datenschutzbeauftragter erforderlich.
Kleine Praxen, in denen weniger als 10 Personen mit der Datenverarbeitung befasst sind, benötigen aber dann einen Datenschutzbeauftragten, wenn ein hohes Risiko für die Rechte und Freiheiten bei der Verarbeitung personenbezogener Daten zu erwarten ist und somit eine Datenschutzfolgenabschätzung vorgeschrieben ist. Dies kann beispielsweise beim Einsatz von neuen Technologien, wie einer Cloud, der Fall sein.
Zu beachten ist dabei, dass es nicht genügt, einfach irgendeinen Mitarbeiter formal als Datenschutzbeauftragten zu benennen, der überhaupt nicht über die erforderliche Qualifikation verfügt. Bestellt man einen unqualifizierten Mitarbeiter oder Externen zum Datenschutzbeauftragten wird man so behandelt, als hätte man gar keinen bestellt, was die entsprechenden Sanktionen und Bußgelder auslöst. Regelmäßige Datenschutz-Schulungen der Mitarbeiter sind daher Pflicht. – Sprechen Sie mich gerne an!
Quelle: Entschließung der Datenschutzkonferenz vom 26.04.2018