1. Persönliche Eignung

Zur persönlicher Eignung zählen Punkte wie Zuverlässigkeit, Neutralität und (Weisungs-)Unabhängigkeit. Persönlich ungeeignet als Datenschutzbeauftragter sind Personen, bei denen aufgrund ihrer Position im bzw. zum Unternehmen bei der Tätigkeit als Datenschutzbeauftragter ein Interessenkonflikt auftreten kann.

Ein solcher Interessenkonflikt wird laut Rechtsprechung und Aufsichtsbehörden regelmäßig angenommen bei Inhabern, Vorständen, Geschäftsführern und sonstigen Leitungspersonen bzw. -organen sowie bei EDV- oder IT-Verantwortlichen. Auch bei Personalleiter und Personen mit leitenden Aufgaben in Organisationseinheiten mit besonders umfangreicher Verarbeitung von personenbezogenen Daten können aufgrund eines darauf folgenden Interessenkonflikts als Datenschutzbeauftragter persönlich ungeeignet sein.

Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) haben sich in ihrem Beschluss vom 24./25.11.2010 zur persönlichen Eignung geäußert. Vorrangig in Bezug auf interne Datenschutzbeauftragten heißt es dort

1. DSB sind dem Leiter/der Leiterin der verantwortlichen Stelle organisatorisch unmittelbar zu unterstellen (§ 4f Abs. 3 Satz 1 BDSG). Sie müssen in der Lage sein, ihre Verpflichtungen ohne lnteressenkonflikte erfüllen zu können. Dieses ist durch entsprechende Regelungen innerhalb der verantwortlichen Stelle bzw. vertragliche Regelungen sicher zu stellen und sowohl innerhalb der verantwortlichen Stelle als auch nach außen hin publik zu machen. Den DSB ist ein unmittelbares Vortragsrecht beim Leiter der Stelle einzuräumen.

2. Fachliche Eignung

Fachliche Eignung meint ausreichende Kenntnisse insbesondere im rechtlichen und technischen Bereich. Diese müssen auf Nachfrage der Aufsichtsbehörde auch nachweisbar sein (bspw. durch Teilnahme- und Prüfungsbescheinigungen von entsprechenden Schulungsveranstaltungen).

Die DSGVO befasst sich in Artikel 37 mit der fachlichen Eignung des Datenschutzbeauftragten. Dort heißt es:

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

Was dies konkret bedeutet, haben die obersten deutschen Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (sog. Düsseldorfer Kreis) bereits unter der Geltung des früheren Bundesdatenschutzgesetzes definiert. Festgeschrieben sind die geforderten Qualifikationen in einem Beschluss vom 24./25.11.2010. Demnach benötigt ein Datenschutzbeauftragter bereits zum Zeitpunkt seiner Bestellung folgendes Fachwissen:

• Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle,
• umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art,
• Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der DatensicherheitsanforderungenUmfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für das eigene Unternehmen relevant sind,
• Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.),betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.),
• Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der verantwortlichen Stelle) und
• Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

3. Konsequenz von Verstößen

Zusammenfassend lässt sich die Frage „Wer darf Datenschutzbeauftragter werden?“ also so beantworten, dass als Datenschutzbeauftragter nur in Betracht kommt, wer fachlich – insbesondere datenschutzrechtlich – qualifiziert ist und die gesetzlich vorgesehenen Aufgaben ohne Interessenkonflikte erfüllen kann.

Besteht nach DSGVO die Pflicht, einen Datenschutzbeauftragten zu benennen, sollten die dargestellten Grundsätze unbedingt beachtet werden. Denn die Bestellung einer fachlich und/oder persönlich ungeeigneten Person kann in gleicher Weise geahndet werden, als ob der Bestellpflicht gar nicht nachgekommen wurde. Als Konsequenz kommen auch empfindliche Bußgelder in Betracht.