GesetzePreiseDokuBenchmarks

Art. 37 – Benennung eines Datenschutzbeauftragten

DSGVO · zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)

(1)Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln, b) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder c) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
(2)Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann.
(3)Falls es sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde oder öffentliche Stelle handelt, kann für mehrere solcher Behörden oder Stellen unter Berücksichtigung ihrer Organisationsstruktur und ihrer Größe ein gemeinsamer Datenschutzbeauftragter benannt werden.
(4)In anderen als den in Absatz 1 genannten Fällen können der Verantwortliche oder der Auftragsverarbeiter oder Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen Datenschutzbeauftragten benennen; falls dies nach dem Recht der Union oder der Mitgliedstaaten vorgeschrieben ist, müssen sie einen solchen benennen. Der Datenschutzbeauftragte kann für derartige Verbände und andere Vereinigungen, die Verantwortliche oder Auftragsverarbeiter vertreten, handeln.
(5)Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.
(6)Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
(7)Der Verantwortliche oder der Auftragsverarbeiter veröffentlicht die Kontaktdaten des Datenschutzbeauftragten und teilt diese Daten der Aufsichtsbehörde mit.

Quelle: © Europäische Union, https://eur-lex.europa.eu · konsolidierte Fassung, Stand: 05.02.2025

Zitierende Gerichtsentscheidungen

  • C-560/21 – ZS gegen Zweckverband „Kommunale Informationsverarbeitung Sachsen“ KISA, Körperschaft des öffentlichen RechtsECLI:EU:C:2023:81

    Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 38 Abs. 3 – Datenschutzbeauftragter – Verbot der Abberufung wegen der Erfüllung seiner Aufgaben – Erfordernis der funktionellen Unabhängigkeit – Nationale Regelung, nach der die Abberufung eines Datenschutzbeauftragten bei Fehlen eines wichtigen Grundes verboten ist

  • C-453/21 – X-FAB Dresden GmbH & Co. KG gegen FCECLI:EU:C:2023:79

    Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 38 Abs. 3 – Datenschutzbeauftragter – Verbot der Abberufung wegen der Erfüllung seiner Aufgaben – Erfordernis der funktionellen Unabhängigkeit – Nationale Regelung, nach der die Abberufung eines Datenschutzbeauftragten bei Fehlen eines wichtigen Grundes verboten ist – Art. 38 Abs. 6 – Interessenkonflikt – Kriterien

  • C-534/20 – Leistritz AG gegen LHECLI:EU:C:2022:495

    Vorlage zur Vorabentscheidung – Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – Verordnung (EU) 2016/679 – Art. 38 Abs. 3 Satz 2 – Datenschutzbeauftragter – Verbot für einen Verantwortlichen oder einen Auftragsverarbeiter, einen Datenschutzbeauftragten wegen der Erfüllung seiner Aufgaben abzuberufen oder zu benachteiligen – Rechtsgrundlage – Art. 16 AEUV – Erfordernis funktioneller Unabhängigkeit – Nationale Regelung, die die Entlassung eines Datenschutzbeauftragten verbietet, wenn kein schwerwiegender Grund vorliegt

  • BAG, EuGH-Vorlage v. 27.04.2021 – 9 AZR 383/19 (A)ECLI:DE:BAG:2021:270421.B.9AZR383.19A.0

    Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung folgender Fragen ersucht: 1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 1 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die Abberufung des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, an die dort genannten Voraussetzungen knüpft, unabhängig davon, ob sie im Wege der Erfüllung seiner Aufgaben erfolgt? Falls die erste Frage bejaht wird: 2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats? Falls die erste Frage bejaht wird: 3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen? Falls die erste Frage verneint wird: 4. Liegt ein Interessenkonflikt iSv. Art. 38 Abs. 6 Satz 2 DSGVO vor, wenn der Datenschutzbeauftragte zugleich das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats innehat? Bedarf es für die Annahme eines solchen Interessenkonflikts einer besonderen Aufgabenzuweisung innerhalb des Betriebsrats?

  • BSG, Urt. v. 20.01.2021 – B 1 KR 15/20 RECLI:DE:BSG:2021:200121UB1KR1520R0
  • BAG, EuGH-Vorlage v. 30.07.2020 – 2 AZR 225/20 (A)ECLI:DE:BAG:2020:300720.B.2AZR225.20A.0

    Der Gerichtshof der Europäischen Union wird gemäß Art. 267 des Vertrags über die Arbeitsweise der Europäischen Union (AEUV) um die Beantwortung der folgenden Fragen ersucht: 1. Ist Art. 38 Abs. 3 Satz 2 der Verordnung (EU) 2016/679 (Datenschutz-Grundverordnung; im Folgenden DSGVO) dahin auszulegen, dass er einer Bestimmung des nationalen Rechts, wie hier § 38 Abs. 1 und Abs. 2 iVm. § 6 Abs. 4 Satz 2 des Bundesdatenschutzgesetzes (BDSG), entgegensteht, die die ordentliche Kündigung des Arbeitsverhältnisses des Datenschutzbeauftragten durch den Verantwortlichen, der sein Arbeitgeber ist, für unzulässig erklärt, unabhängig davon, ob sie wegen der Erfüllung seiner Aufgaben erfolgt? Falls die erste Frage bejaht wird: 2. Steht Art. 38 Abs. 3 Satz 2 DSGVO einer solchen Bestimmung des nationalen Rechts auch dann entgegen, wenn die Benennung des Datenschutzbeauftragten nicht nach Art. 37 Abs. 1 DSGVO verpflichtend ist, sondern nur nach dem Recht des Mitgliedstaats? Falls die erste Frage bejaht wird: 3. Beruht Art. 38 Abs. 3 Satz 2 DSGVO auf einer ausreichenden Ermächtigungsgrundlage, insbesondere soweit er Datenschutzbeauftragte erfasst, die in einem Arbeitsverhältnis zum Verantwortlichen stehen?

Diese Seite zeigt die aktuelle Fassung (Quelle: © Europäische Union, https://eur-lex.europa.eu). Für tagesaktuelle, zitiersichere Abfragen lässt sich Art. 37 DSGVO und jede andere deutsche oder europäische Rechtsquelle live per Lawbster-MCP abrufen.

Kann ich Art. 37 DSGVO direkt in ChatGPT oder Claude abfragen?

Ja. Über Lawbster (MCP-Server) greifen KI-Assistenten wie Claude, ChatGPT, Cursor und Copilot Studio — oder eigene Anwendungen per REST-API — direkt auf den tagesaktuellen Volltext deutscher und europäischer Gesetze, Verordnungen und Gerichtsentscheidungen zu. Free-Tier verfügbar.

Diese Norm ist Teil von Lawbster — verifizierte deutsche und europäische Gesetze, Verordnungen und Gerichtsentscheidungen, live in jedem KI-Assistenten per MCP (Claude, ChatGPT, Cursor, Copilot Studio u. a.) oder über die REST-API. API-Key holen.