Die drei zwingenden Szenarien für die Bestellung eines DSB nach Artikel 37 DSGVO
Artikel 37 Abs. 1 DSGVO legt genau drei Szenarien fest, in denen die Bestellung eines Datenschutzbeauftragten zwingend ist. Das sind keine Empfehlungen, denn die unterlassene Bestellung trotz Pflicht hat in der gesamten EU Bussgelder von Aufsichtsbehörden nach sich gezogen.
Szenario 1: Oeffentliche Stellen und Einrichtungen
Artikel 37 Abs. 1 lit. a: "Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln."
Dies gilt für jede Organisation, die nach nationalem Recht als öffentliche Stelle eingestuft wird, etwa Behörden, Gemeinden, öffentliche Universitäten und staatliche Unternehmen. Die Definition variiert je nach Mitgliedstaat. In Deutschland sind öffentlich-rechtliche Rundfunkanstalten erfasst. In Frankreich hat die CNIL klargestellt, dass auch Organisationen, die öffentliche Dienstleistungen im Auftrag erbringen, in den Anwendungsbereich fallen können.
Wenn Ihre Organisation öffentliche Mittel erhält oder Dienstleistungen im Auftrag einer öffentlichen Stelle erbringt, prüfen Sie, ob Ihre nationale Datenschutzbehörde dies als Verarbeitung durch eine "öffentliche Stelle" einstuft, denn die Definition ist weiter gefasst, als die meisten erwarten.
Szenario 2: Umfangreiche, regelmässige und systematische Beobachtung
Artikel 37 Abs. 1 lit. b: "Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der Durchführung von Verarbeitungsvorgängen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmässige und systematische Beobachtung von betroffenen Personen erforderlich machen."
Hier stolpern die meisten mittelständischen Organisationen. "Kerntätigkeit" bedeutet nicht die Verarbeitung von Personal- oder Lohndaten, sondern die Verarbeitung, die für das Erreichen Ihrer Geschäftsziele zentral ist. Die Leitlinien der WP29 (mittlerweile vom EDSA bestätigt) definieren die zentralen Begriffe wie folgt:
- "Regelmässig" bedeutet fortlaufend oder in bestimmten Abständen erfolgend, nicht einmalig. Treueprogramm-Tracking, Netzwerküberwachung und die Standortverfolgung von Beschäftigten erfüllen dies alle.
- "Systematisch" bedeutet nach einem System erfolgend, im Voraus festgelegt, organisiert oder methodisch. Verhaltensbasierte Werbung, Kreditscoring und Betrugserkennungssysteme sind ihrem Wesen nach systematisch.
- "Umfangreich" berücksichtigt die Zahl der betroffenen Personen, das Datenvolumen, die geografische Reichweite und die Dauer der Verarbeitung. Es gibt keinen festen Zahlenwert, aber ein stadtweites Videoüberwachungsnetz oder ein Telekommunikationsanbieter, der Millionen von Kundendatensätzen verarbeitet, erfüllt dies eindeutig.
Für Organisationen mit mehreren Einheiten vervielfacht sich hier die Komplexität. Ihre Muttergesellschaft erreicht diese Schwelle möglicherweise nicht eigenständig, aber drei Tochtergesellschaften zusammen vielleicht schon. Und jede Tochtergesellschaft, die sie erreicht, begründet ihre eigene DSB-Pflicht, sofern Sie nicht einen Gruppen-DSB nach Artikel 37 Abs. 2 bestellen.
Szenario 3: Umfangreiche Verarbeitung besonderer Kategorien oder strafrechtlicher Daten
Artikel 37 Abs. 1 lit. c: "Die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäss Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Artikels 10."
Zu den besonderen Kategorien von Daten zählen Gesundheitsdaten, biometrische Daten, rassische oder ethnische Herkunft, politische Meinungen, Gewerkschaftszugehörigkeit, genetische Daten sowie Daten zum Sexualleben oder zur sexuellen Orientierung. Wenn eine Ihrer Tochtergesellschaften diese Art von Daten als Kerntätigkeit verarbeitet, etwa eine Tochtergesellschaft im Gesundheitswesen, ein Versicherungsunternehmen oder eine Einheit für Gentests, ist ein DSB für diese Einheit zwingend.
Auch hier gilt das Merkmal "umfangreich". Eine einzelne Arztpraxis, die Patientenakten verarbeitet, erreicht die Schwelle nicht. Ein Krankenhausverbund, der Akten in drei Ländern verarbeitet, hingegen schon.
Nationale Gesetze, die den DSGVO-Mindeststandard erweitern
Artikel 37 Abs. 4 erlaubt es den Mitgliedstaaten ausdrücklich, zusätzliche Anforderungen an die Bestellung eines DSB zu stellen. Mehrere haben dies getan und damit Fallen für Organisationen geschaffen, die nur den DSGVO-Text prüfen.
- Deutschland (BDSG § 38): Ein DSB ist erforderlich, wenn mindestens 20 Beschäftigte ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Dies liegt deutlich unter der Schwelle "umfangreich" der DSGVO und erfasst viele mittelständische Unternehmen, die andernfalls nicht betroffen wären.
- Oesterreich: Das österreichische Datenschutzgesetz verlangt DSBs für Verarbeitungen, die ein hohes Risiko für die Rechte von Personen begründen, ein weiter gefasster Massstab als die drei Szenarien der DSGVO.
- Frankreich: Zwar hat die CNIL die zwingende Bestellung nicht über Artikel 37 DSGVO hinaus ausgeweitet, doch ihre Leitlinien empfehlen die Bestellung eines DSB nachdrücklich für jede Organisation, die personenbezogene Daten als wesentlichen Teil ihrer Tätigkeit verarbeitet. In der Praxis erwarten französische Aufsichtsbehörden einen DSB oder eine gleichwertige Funktion.
- Rumänien, Griechenland, Slowakei: Diese Mitgliedstaaten haben zusätzliche branchenspezifische DSB-Anforderungen eingeführt, insbesondere für Finanzdienstleistungen, Telekommunikation und Organisationen des Gesundheitswesens.
Für Organisationen mit mehreren Einheiten bedeutet dies, dass eine einzige Gruppen-DSB-Bewertung nicht ausreicht. Sie müssen die Pflicht jeder Tochtergesellschaft anhand des nationalen Rechts des Landes prüfen, in dem sie niedergelassen ist, nicht nur anhand des DSGVO-Mindeststandards.
Wer kommt als DSB infrage? Die Anforderungen, die die meisten Organisationen unterschätzen
Artikel 37 Abs. 5 verlangt, dass der DSB "auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt wird, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt". Der EDSA hat klargestellt, dass dies Folgendes bedeutet:
- Rechtliches und technisches Wissen: Der DSB muss sowohl den rechtlichen Rahmen als auch die technischen Abläufe der Organisation verstehen. Ein Jurist, der die IT-Infrastruktur nicht versteht, oder ein IT-Manager, der die DSGVO nicht versteht, erfüllt den Massstab nicht.
- Unabhängigkeit: Artikel 38 Abs. 3 legt fest, dass der DSB "bei der Erfüllung seiner Aufgaben keine Anweisungen" erhalten darf. Das bedeutet, dass der DSB nicht der CISO, der Leiter der Rechtsabteilung oder eine Person sein kann, deren Rolle einen Interessenkonflikt begründet. Der EDSA hat CEO, COO, CFO, Personalleiter und IT-Leiter als von Natur aus konfliktbehaftete Rollen gekennzeichnet.
- Angemessene Ressourcen: Artikel 38 Abs. 2 verlangt, dass die Organisation "die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen" bereitstellt. Eine DSB-Bestellung ohne Budget, Werkzeuge oder Zugang zum Verarbeitungsverzeichnis ist ein Compliance-Versagen mit Ansage.
- Erreichbarkeit: Bei Gruppen-DSBs nach Artikel 37 Abs. 2 bedeutet "von jeder Niederlassung aus leicht erreichbar" Erreichbarkeit hinsichtlich Sprache, Verfügbarkeit und Verständnis der lokalen regulatorischen Anforderungen. Ein DSB in Zürich, der den Datenschutz für eine portugiesische Tochtergesellschaft verwaltet, benötigt entweder lokale Sprachkenntnisse oder einen lokalen Datenschutzkoordinator.
Das Gruppen-DSB-Modell: Wie sich Organisationen mit mehreren Einheiten koordinieren
Artikel 37 Abs. 2 erlaubt einer Unternehmensgruppe, einen einzigen DSB zu bestellen, sofern dieser "von jeder Niederlassung aus leicht erreichbar" ist. In der Praxis bedeutet dies, eine Koordinationsstruktur aufzubauen, die dem Gruppen-DSB echten Einblick in jede Einheit verschafft.
Was "leicht erreichbar" tatsächlich erfordert
- Betroffene Personen in jeder Jurisdiktion müssen den DSB in ihrer Landessprache kontaktieren können, oder zumindest in einer Sprache, von der vernünftigerweise erwartet werden kann, dass sie sie verstehen
- Der DSB muss in jeder Jurisdiktion, in der die Gruppe tätig ist, wirksam mit den lokalen Aufsichtsbehörden kommunizieren können
- Der DSB muss operativen Einblick in die Verarbeitungstätigkeiten, Dienstleister, Vorfälle und Anfragen betroffener Personen jeder von ihm betreuten Einheit haben
Die operative Realität ohne zentralisierte Werkzeuge
Der Gründer von Priverion beobachtete ein Unternehmen mit 12 Tochtergesellschaften, das die DSGVO-Compliance über 47 Tabellen hinweg verwaltete. Der Gruppen-DSB verbrachte den Grossteil seiner Woche damit, den Geschäftsbereichen Aktualisierungen des Verarbeitungsverzeichnisses, DSFA-Statusberichte und abgeschlossene Dienstleisterbewertungen hinterherzujagen, per E-Mail, gemeinsame Laufwerke und monatliche Besprechungen, die bereits zum Zeitpunkt ihrer Durchführung veraltet waren.
Das ist die Norm, nicht die Ausnahme. Ohne eine zentrale Plattform, die gruppenweiten Einblick bietet, zerfällt das Gruppen-DSB-Modell in genau die Art von fragmentierter, undokumentierter Compliance, die Aufsichtsbehörden bei einer Prüfung infrage stellen werden.
Wie Priverion das Gruppen-DSB-Modell unterstützt
Priverion wurde speziell für diese Architektur entwickelt. Ein Gruppen-DSB, der Priverion nutzt, erhält:
- Einheitenübergreifende Datenkartierung mit zentralisiertem Einblick in die Verarbeitungstätigkeiten über jede Tochtergesellschaft hinweg
- Automatisierte Rezertifizierung des Verarbeitungsverzeichnisses. AXA erreichte eine Rezertifizierungsquote von 100% mit vollständig automatisierten Workflows und beseitigte das manuelle Hinterherjagen
- DSFA- und TIA-Automatisierung mit KI-gestützter Entwurfserstellung und Risikobewertung, wobei alle Ergebnisse vom DSB geprüft werden, bevor sie zu Compliance-Unterlagen werden
- Workflows für das Vorfallmanagement, die Meldungen von Datenschutzverletzungen an die richtige Tochtergesellschaft und die richtige Aufsichtsbehörde weiterleiten
- Ein DSB-Dashboard, das einen operativen Ueberblick über den Compliance-Status der gesamten Gruppe bietet
Alle Daten werden innerhalb der Schweizer Infrastruktur verarbeitet, was europäische Datenresidenz und Schweizer Datensouveränität gewährleistet, ein bedeutender rechtlicher Vorteil für Organisationen, die grenzüberschreitende Datenübermittlungen in einem Umfeld nach Schrems II verwalten.
Selbst wenn Sie keinen DSB benötigen: Dokumentieren Sie Ihre Bewertung
Artikel 37 verlangt nicht in jeder Situation die Bestellung eines DSB, doch jede Aufsichtsbehörde erwartet, dass Sie bewertet haben, ob Sie einen benötigen. Das Fehlen einer dokumentierten Bewertung ist bei einer Untersuchung selbst ein Warnsignal.
Ihre Bewertung sollte Folgendes abdecken:
- Jede Einheit innerhalb Ihrer Gruppe, bewertet anhand der drei Szenarien des Artikels 37 Abs. 1
- Anforderungen des nationalen Rechts in jeder Jurisdiktion, in der Sie eine Niederlassung haben
- Ob Sie die Gruppen-DSB-Regelung nach Artikel 37 Abs. 2 nutzen und wie die "leichte Erreichbarkeit" sichergestellt wird
- Falls Sie sich gegen eine Bestellung entscheiden, die Begründung für diese Entscheidung, dokumentiert und datiert
Diese Dokumentation sollte jährlich überprüft werden oder immer dann, wenn sich Ihre Gruppenstruktur, Ihre Verarbeitungstätigkeiten oder Ihr regulatorisches Umfeld ändern.


