WER
darf als Datenschutzbeauftragter bestellt werden?

Wer und wer nicht zum Datenschutzbeauftragten bestellt werden darf, ist in der DSGVO nicht ausdrücklich aufgeführt. Art. 37 Abs. 5 DSGVO sieht hierzu lediglich vor, dass ein Datenschutzbeauftragter anhand seines Fachwissens auf den Gebieten des Datenschutzrechts und der Datenschutzpraxis sowie auf Grundlage seiner Fähigkeit zur Erfüllung seiner gesetzlichen Aufgaben auszuwählen ist. Die Datenschutz-Aufsichtsbehörden haben anhand dieser Vorgaben die Kriterien der persönlichen und der fachlichen Eignung definiert.

 

1. Persönliche Eignung

Zur persönlicher Eignung zählen Punkte wie Zuverlässigkeit, Neutralität und (Weisungs-)Unabhängigkeit. Persönlich ungeeignet als Datenschutzbeauftragter sind Personen, bei denen aufgrund ihrer Position im bzw. zum Unternehmen bei der Tätigkeit als Datenschutzbeauftragter ein Interessenkonflikt auftreten kann. Ein solcher Interessenkonflikt wird laut Rechtsprechung und Aufsichtsbehörden regelmäßig angenommen bei Inhabern, Vorständen, Geschäftsführern und sonstigen Leitungspersonen bzw. -organen sowie bei EDV- oder IT-Verantwortlichen. Auch bei Personalleiter und Personen mit leitenden Aufgaben in Organisationseinheiten mit besonders umfangreicher Verarbeitung von personenbezogenen Daten können aufgrund eines darauf folgenden Interessenkonflikts als Datenschutzbeauftragter persönlich ungeeignet sein.

Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) haben sich in ihrem Beschluss vom 24./25.11.2010 zur persönlichen Eignung geäußert. Vorrangig in Bezug auf interne Datenschutzbeauftragten heißt es dort

1. DSB sind dem Leiter/der Leiterin der verantwortlichen Stelle organisatorisch unmittelbar zu unterstellen (§ 4f Abs. 3 Satz 1 BDSG). Sie müssen in der Lage sein, ihre Verpflichtungen ohne lnteressenkonflikte erfüllen zu können. Dieses ist durch entsprechende Regelungen innerhalb der verantwortlichen Stelle bzw. vertragliche Regelungen sicher zu stellen und sowohl innerhalb der verantwortlichen Stelle als auch nach außen hin publik zu machen. Den DSB ist ein unmittelbares Vortragsrecht beim Leiter der Stelle einzuräumen.

 

2. Fachliche Eignung

Fachliche Eignung meint ausreichende Kenntnisse insbesondere im rechtlichen und technischen Bereich. Diese müssen auf Nachfrage der Aufsichtsbehörde auch nachweisbar sein (bspw. durch Teilnahme- und Prüfungsbescheinigungen von entsprechenden Schulungsveranstaltungen).

Die DSGVO befasst sich in Artikel 37 mit der fachlichen Eignung des Datenschutzbeauftragten. Dort heißt es:

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

Was dies konkret bedeutet, haben die obersten deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) bereits unter der Geltung des früheren Bundesdatenschutzgesetzes definiert. Festgeschrieben sind die geforderten Qualifikationen in einem Beschluss vom 24./25.11.2010. Demnach benötigt ein Datenschutzbeauftragter bereits zum Zeitpunkt seiner Bestellung folgendes Fachwissen:

  • Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle,
  • umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art,
  • Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der DatensicherheitsanforderungenUmfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften,
    die für das eigene Unternehmen relevant sind,
  • Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.),betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.),
  • Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der verantwortlichen Stelle) und
  • Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

 

3. Konsequenz von Verstößen

Zusammenfassend ist festzuhalten, dass als Datenschutzbeauftragter nur in Betracht kommt, wer fachlich – insbesondere datenschutzrechtlich – qualifiziert ist und die gesetzlich vorgesehenen Aufgaben ohne Interessenkonflikte erfüllen kann.

Besteht nach DSGVO die Pflicht, einen Datenschutzbeauftragten zu benennen, sollten die dargestellten Grundsätze unbedingt beachtet werden. Denn die Bestellung einer fachlich und/oder persönlich ungeeigneten Person kann in gleicher Weise geahndet werden, als ob der Bestellpflicht gar nicht nachgekommen wurde. Als Konsequenz kommen auch empfindliche Bußgelder in Betracht.

Häufig gestellte Fragen zum Datenschutzbeauftragten

Wann muss ein Datenschutzbeauftragter bestellt werden?

Wann ein Datenschutzbeauftragter bestellt werden muss, ist in der DSGVO und dem BDSG konkret vorgeschrieben. Auch ohne eine solche gesetzliche Pflicht kann die Bestellung dringend zu empfehlen oder zumindest sehr sinnvoll sein.
mehr dazu...

Was sind die Aufgaben eines Datenschutzbeauftragten?

Verschiedene Aufgaben sind einem Datenschutzbeauftragten bereits gesetzlich zugewiesen. Da die Liste dieser Aufgaben allerdings sehr überschaubar ist, empfiehlt es sich, ihm vertraglich weitere Aufgaben explizit zu übertragen.
mehr dazu...

Wie wird ein Datenschutzbeauftragter bestellt?

Ein festes Prozedere zur Bestellung besteht nicht. Wichtig ist, die erforderliche Unabhängigkeit des Datenschutzbeauftragten zu gewährleisten. Seine Kontaktdaten sind zu veröffentlichen und der Aufsichtsbehörde mitzuteilen.
mehr dazu...

Wieso? Weshalb? Warum?

Weitere häufige Fragen rund um die Auswahl und Bestellung eines Datenschutzbeauftragten finden Sie…

Nicht das passende gefunden?​

Schreiben Sie uns!​