Benennung des DSB: Artikel 37 Absatz 1 DS-GVO
Die Benennung eines DSB ist obligatorisch, wenn
- die Datenverarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird (unabhängig von der Art der verarbeiteten Daten),
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in Datenverarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang erfordern,
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Hierbei ist zu beachten, dass Rechtsvorschriften der Union oder der Mitgliedstaaten die Benennung eines DSB auch in anderen Fällen zwingend erforderlich machen können. Schließlich kann es auch in Fällen, in denen die Benennung eines DSB nicht obligatorisch ist, für eine Einrichtung zweckmäßig erscheinen, einen DSB auf freiwilliger Basis zu benennen. Die Artikel- 29-Datenschutzgruppe („WP29“) fördert derartige freiwillige Anstrengungen. Wenn eine Einrichtung auf freiwilliger Basis einen DSB ernennt, so unterliegen dessen Benennung, Stellung und Aufgabenbereich den gleichen Anforderungen wie bei einer obligatorischen Benennung.
Europäische Kommission; 20.03.2018; bow
http://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612048