DSGVO
1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 
rassische oder ethnische Herkunft (Artikel 9) politische Meinungen (Artikel 9) religiöse oder weltanschauliche Überzeugungen (Artikel 9) Gewerkschaftszugehörigkeit (Artikel 9) genetische Daten (Artikel 9) biometrische Daten (Artikel 9) Gesundheitsdaten (Artikel 9) Sexualleben sowie sexuelle Orientierung (Artikel 9) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
BDSG
(1) Ergänzend zu Artikel 37 Absatz 1 Buchstabe b und c der Verordnung (EU) 2016/679 benennen der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten,
 soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen
oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung,
haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

Anmerkungen der Landesdatenschutzbeauftragten NRW:

Was ist unter „Kerntätigkeit” im Sinne von Artikel 37 Absatz 1 Buchstaben b) und c) DS-GVO zu verstehen?

Erwägungsgrund 97 der DS-GVO führt aus, dass sich die Kerntätigkeit eines Verantwortlichen im nicht-öffentlichen Bereich auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit bezieht. Anders ausgedrückt zählen sogenannte Haupttätigkeiten, welchen den Geschäftszweck unmittelbar fördern, zu den Kerntätigkeiten. Den täglichen Betrieb begleitende Prozesse wie IT-Unterstützung gelten z. B. als Nebentätigkeit, da sie den Geschäftszweck des Betriebes nicht unmittelbar fördern.

Was ist unter einer „umfangreichen” Überwachung gemäß Artikel 37 Absatz 1 Buchstabe b) DS-GVO bzw. einer „umfangreichen” Verarbeitung gemäß Artikel 37 Absatz 1 Buchstabe c) DS-GVO zu verstehen?

Die DS-GVO stellt keine Definition des Begriffs “umfangreich” zur Verfügung. Folgende Faktoren können aus Erwägungsgrund 91 der DS-GVO für die Beurteilung, ob eine “umfangreiche” Überwachung bzw. Verarbeitung vorliegt, herangezogen werden:

– (große) Menge personenbezogener Daten (Volumen),

– Verarbeitung auf regionaler, nationaler oder supranationaler Ebene (geografischer Aspekt),

– Anzahl der betroffenen Personen (absolute Zahl oder in Prozent zur relevanten Bezugsgröße)

– Dauer der Verarbeitung (zeitlicher Aspekt).

Sind mehrere Faktoren hoch, so spricht dies für eine “umfangreiche” Überwachung bzw. Verarbeitung.

Die Verarbeitung personenbezogener Daten gilt in der Regel dann nicht als umfangreich, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt (Erwägungsgrund 91 der DS-GVO).

Wann liegt eine „regelmäßige und systematische Überwachung” gemäß Artikel 37 Absatz 1 Buchstabe b) DS-GVO vor?

Der Ausdruck der regelmäßigen und systematischen Überwachung wird in der DS-GVO nicht näher definiert. Erwägungsgrund 24 der DS-GVO gibt erste Anhaltspunkte. Danach wird eine Verarbeitungstätigkeit dann als Beobachtung des Verhaltens von betroffenen Personen eingeordnet, wenn ihre Internetaktivitäten nachvollzogen werden, einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Verarbeitung personenbezogener Daten, durch die von einer natürlichen Person ein Profil erstellt wird, das insbesondere die Grundlage für sie betreffende Entscheidungen bildet oder anhand dessen die persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen.

Regelmäßig ist die Beobachtung des Verhaltens von betroffenen Personen dann, wenn diese über einen längeren Zeitraum andauert oder in regelmäßigen Abständen vorgenommen wird.

Eine systematische Beobachtung liegt dann vor, wenn diese methodisch nach einem bestimmten, vorgegebenem System oder einer Strategie erfolgt.