Als Veranwortlicher im Sinne der DS-GVO gilt nach Art. 4 der EU-DS-GVO die natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. In der Regel ist der Unternehmer bzw. die Gesellschaft, die das jeweilige Geschäft betreibt als Verantwortlicher zu nennen.

Art. 35 ff. DS-GVO sowie § 38 BDSG (neue Fassung) regeln, welche Unternehmen einen Datenschutzbeauftragen zukünftig benennen müssen. Zum einen sind das solche Unternehmen, deren Kerngeschäft in Verarbeitungsvorgängen besteht. Verpflichtet sind aber auch alle Unternehmen, die “besondere personenbezogene Daten” erheben sowie Unternehmen bei denen zehn Personen oder mehr ständig mit der automatisierten Datenverarbeitung beschäftigt sind.

Ein schriftlicher Vertrag mit dem Datenschutzbeauftragten ist zu empfehlen. In einem Unternehmen mit mehreren Niederlassungen darf ein gemeinsamer Datenschutzbeauftragter benannt werden, sofern dieser von den einzelnen Standorten aus leicht erreichbar ist. 

Kontaktdaten nennen

In Ihrer Datenschutzerklärung muss der Datenschutzbeauftragte ausdrücklich mit Kontaktdaten aufgeführt werden. Außerdem ist neu geregelt, dass der Datenschutzbeauftragte den Aufsichtsbehörden genannt werden muss („Benennungspflicht“). Sofern noch kein Datenschutzbeauftragter in Ihrem Unternehmen benannt wurde, sollten Sie prüfen, ob die Ernennung eines Datenschutzbeauftragten vorgegeben ist. In der Regel ist das bereits der Fall, wenn Kunden- oder Mitarbeiterdaten per EDV-verwaltet werden. Der Datenschutzbeauftragte ist der Aufsichtsbehörde zu nennen.