„(1) Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn […]b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen(Auskunfteien oder Adresshändler), oder
c) die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.“
Als Kerntätigkeit sind hier jene Tätigkeiten gemeint, welche essentiell für die Erreichung eines unternehmerischen Ziels sind. Zum Beispiel: das Verarbeiten von Gesundheitsdaten in einem Krankenhaus. Bis zum Inkrafttreten der EU-DSGVO regelt das BDSG, wann ein Datenschutzbeauftragter eingestellt werden muss. Dies ist der Fall, wenn mehr als neun Personen (§ 4f Abs. 1 Satz 1 und 4 BDSG) mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Bei der nicht-automatisierten Verarbeitung greift die Vorschrift erst ab 20 Mitarbeitern.
Vertiefende Informationen zum Umgang mit der DSGVO finden Sie unter folgendem Link:
https://marktplatz-sicherheit.de/portfolio/neue-datenschutzgrundverordnung-worauf-muss-ich-achten/