Der Datenschutzbeauftragte in der Praxis – wie wird man Datenschutzbeauftragter? (Teil 2 / 4)

Im zweiten Teil unserer Beitragsreihe widmen wir uns der Frage, wie man Datenschutzbeauftragter wird. Den ersten Teil unserer Beitragsreihe, in dem Sie erfahren, wann man einen Datenschutzbeauftragten braucht, finden Sie hier.

Um die Frage beantworten zu können, wie man eigentlich Datenschutzbeauftragter wird, muss man sich zunächst verdeutlichen, welche rechtlichen und tatsächlichen Anforderungen an einen Datenschutzbeauftragten gestellt werden.

I. Anforderungen an einen Datenschutzbeauftragten

1. Gesetzliche Regelungen

Die gesetzlichen Anforderungen an einen Datenschutzbeauftragten sind in Art. 37 Abs. 5 DS-GVO sowie in § 5 Abs. 3 BDSG normiert.

Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Art. 39 DSGVO genannten Aufgaben. Erforderlich ist also eine Trias rechtlicher, technischer und (betriebs-) organisatorischer Kenntnisse.

Die Anforderungen an einen internen Datenschutzbeauftragten (also einen Datenschutzbeauftragten, der zugleich bei dem Verantwortlichen beschäftigt ist) und einen externen Datenschutzbeauftragten (also einen Datenschutzbeauftragten, der aufgrund einer Beauftragung für den Verantwortlichen tätig wird, nicht aber bei diesem beschäftigt ist) sind dabei grundsätzlich dieselben. Jedoch gilt der Grundsatz: Je schutzbedürftiger die Daten, desto höher ist das von dem Datenschutzbeauftragten zu verlangende Maß an Fachwissen und beruflicher Qualifikation. Die Anforderungen, die an den Datenschutzbeauftragten gestellt werden, können also durchaus von Unternehmen zu Unternehmen variieren.

2. Zertifizierungsmöglichkeiten

Wichtig ist hierbei, dass der Gesetzgeber lediglich die oben genannten Kenntnisse und Fähigkeiten verlangt. Es ist also grundsätzlich kein formeller (technischer oder juristischer) Abschluss erforderlich. Ohne einen formellen Abschluss muss der Datenschutzbeauftragte seine Fähigkeiten aber anders nachweisen können, beispielsweise durch Fortbildungen mit anschließender Zertifizierungen. Auf dem Markt finden sich zahlreiche Anbieter, die Zertifizierungen für den Datenschutzbeauftragten anbieten. Dabei variieren der zeitliche und inhaltliche Umfang der Seminare sowie die Kosten sehr stark. Fortbildungen werden dabei zwischen wenigen Stunden bis zu Wochen-Veranstaltungen angeboten. Für das angemessene Maß einer Fortbildung sollte auch hier auf die Schutzbedürftigkeit und das persönliche Risikoprofil des Unternehmens geachtet werden.

II. Stellung des Datenschutzbeauftragten

Im Unternehmen hat der Datenschutzbeauftragte sodann eine besondere Stellung. Insbesondere hat er ein direktes Berichtsrecht an die Geschäftsführung bzw. den Vorstand. Daraus kann jedoch nicht geschlussfolgert werden, dass für den Datenschutzbeauftragten zwingend eine direkt unterhalb der Führungsebene angesiedelte Stabsstelle geschaffen werden muss. Vielmehr kann der Datenschutzbeauftragte einer Organisationseinheit zugeordnet werden, solange dadurch nicht sein direktes Berichtsrecht unterlaufen wird. Die finale Struktur sollte dabei insbesondere an die Größe des Unternehmens und die Bedeutung der verarbeiteten personenbezogenen Daten angepasst werden. 

Der Datenschutzbeauftragte unterliegt im Rahmen seiner Tätigkeit grundsätzlich keinen Weisungen und ist somit unabhängig. Der interne Datenschutzbeauftragte wird zur Verstärkung seiner unabhängigen Stellung zusätzlich mit einem besonderen Kündigungsschutz ausgestattet.

III. Wahrnehmung anderer Aufgaben

Dem Datenschutzbeauftragten ist es jedoch ausdrücklich gestattet, neben seiner Tätigkeit als Datenschutzbeauftragter auch noch andere Aufgaben wahrzunehmen. Dass der Datenschutzbeauftragte also „Vollzeit-Datenschutzbeauftragter“ ist, ist nicht notwendig; je nach Schutzbedürftigkeit und persönlichem Risikoprofil des Unternehmens kann dies aber durchaus zweckmäßig sein.

Von der grundsätzlichen Freiheit der Übernahme anderer Aufgaben besteht allerdings eine Ausnahme, wenn für den Datenschutzbeauftragten Interessenkonflikte bestehen. Beispielsweise kann der Datenschutzbeauftragte nicht Inhaber des Unternehmens oder Geschäftsführer bzw. Vorstand/Vorstandsmitglied sein, da diesem originär die Rechtmäßigkeit der Datenverarbeitung als Verantwortlichem obliegt und er sich deshalb nicht selbst wirksam kontrollieren könnte. Ein Interessenkonflikt besteht auch dann, wenn der Datenschutzbeauftragte hauptsächlich die Ergebnisse seiner eigenen Arbeit kontrollieren müsste. Je nach Art und Umfang der Tätigkeit sollte dies beispielsweise bei der Benennung des Personalleiters, des Leiters der IT-Abteilung oder des Leiters der Marketingabteilung wegen der damit verbundenen Verantwortung für den Umgang mit Beschäftigtendaten oder Kundendaten gesondert geprüft werden.

Um das Aufkommen von Interessenkonflikten zu vermeiden, ist es zudem empfehlenswert, frühzeitig eine Richtlinie zu erstellen, die Aufgaben und Kompetenzen innerhalb des Unternehmens klar vorgibt und den Umgang mit Interessenkonflikten regelt.

IV. Fazit

Eine staatliche Stelle, die eine Zulassung als Datenschutzbeauftragter kontrolliert und vergibt, existiert nicht. Wenn die Position nicht ohnehin mit einer Person mit juristischer Ausbildung oder Zusatzqualifikation besetzt wird, empfiehlt es sich umso mehr, den sicheren Weg zu bestreiten und sich ausreichend fortzubilden und diese Fortbildung über eine anerkannte Zertifizierungsstelle anerkennen zu lassen.

Im kommenden Teil unserer Beitragsreihe „Der Datenschutzbeauftragte in der Praxis“ widmen wir uns der Frage, welche Aufgaben auf den Datenschutzbeauftragten in der Praxis zukommen.

Weitere Artikel zum Thema