Datenschutz- Beauftragter

Anforderungen

 

Wer kann zum Datenschutzbeauftragten bestellt werden?

 

Gesetzliche Anforderungen an den potenziellen DSB

Zum Datenschutzbeauftragten bestellt werden darf gemäß § 4f Abs. 2 Satz 1 BDSG nur, wer über die erforderliche Fachkunde und Zuverlässigkeit verfügt.

Fachkunde

Die notwendige Fachkunde setzt rechtliche, technische sowie organisatorische Kenntnisse voraus.

Im Hinblick auf die rechtlichen Kenntnisse ist dabei zum einen detailliertes Wissen bezüglich der einschlägigen Vorschriften mit Datenschutzbezug sowie der entsprechenden Rechtsprechung, Literatur und aufsichtsbehördlichen Stellungnahmen gefragt. Zum anderen muss der Beauftragte in der Lage sein, diese Kenntnisse auf die konkrete betriebliche Praxis anzuwenden und datenschutzrelevante Regelungswerke (z.B. in Form von Betriebsvereinbarungen) einer ersten rechtlichen Bewertung zu unterziehen und diese mitzugestalten. 

Im Bereich der Informations- und Kommunikationstechnik sollte der Datenschutzbeauftragte die Risiken für den Datenschutz beurteilen und bei der Konzeption, Organisation und Kontrolle von Datensicherheitsmaßnahmen mitwirken können (§ 9 und Anlage). Erforderlich sind Kenntnisse der Informations- und Kommunikationstechnologie sowie der Datensicherheit, insbesondere der Aspekte physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen.

Zu den organisatorischen Kenntnissen, die ein Beauftragter mitbringen muss, gehören vor allem Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle, also z.B. bezüglich der Durchführung von Kontrollen sowie eines Risikomanagements, der Beratung und Strategieentwicklung, der Analyse von Sicherheitskonzepten, der Dokumentation und der Zusammenarbeit mit der Mitarbeitervertretung.  Erforderlich ist überdies ein Verständnis betriebswirtschaftlicher Zusammenhänge. Die notwendige Fachkunde erschöpft sich jedoch nicht in abstrakten Kenntnissen. Der Beauftragte muss auch mit der Organisation und den Funktionen der verantwortlichen Stelle vertraut sein, d.h. über die nötigen betrieblichen Kenntnisse verfügen. 

Vgl. zum Ganzen auch den Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis) vom 24./25. November 2010 zu den „Mindestanforderungen an Fachkunde und Unabhängigkeit des Datenschutzbeauftragten“.  

Die notwendigen Kenntnisse zur Ausübung der Tätigkeit als Datenschutzbeauftragter können durch Besuch des GDD-Seminarzyklus (bitte Abschnitt „Welche Schulungen für neu bestellten DSB?“ verlinken) erworben werden.

Zuverlässigkeit

Das Erfordernis der Zuverlässigkeit beinhaltet neben der notwendigen persönlichen Integrität vor allem, dass ein nebenamtlicher Datenschutzbeauftragter, d.h. ein Beauftragter, der neben der Tätigkeit als Datenschutzbeauftragter noch weitere Aufgaben innerhalb der verantwortlichen Stelle wahrnimmt, nicht vor solche Interessenkollisionen gestellt werden darf, die eine sachgerechte Aufgabenerfüllung verhindern. Einem Interessenkonflikt, der über das unvermeidliche Maß hinausgeht, sehen sich insbesondere Leiter und sonstige Schlüsselfiguren  der IT-, Personal- oder Marketingabteilung regelmäßig gegenüber. Auch Geldwäschebeauftragte sollen nach Ansicht der Datenschutzaufsichtsbehörden das Amt des Datenschutzbeauftragten nicht wahrnehmen dürfen.

Interner oder externer Datenschutzbeauftragter

In der Praxis wird regelmäßig ein Mitarbeiter der verantwortlichen Stelle zum Datenschutzbeauftragten bestellt (sog. interner Datenschutzbeauftragter). Das Gesetz sieht aber explizit vor, dass auch eine Person außerhalb der verantwortlichen Stelle bestellt werden kann (sog. externer Datenschutzbeauftragter). Sinnvoll wird der Einsatz eines externen Datenschutzbeauftragten insbesondere bei kleinen und mittleren Unternehmen sein.