Durch die moderne Informationstechnologie lassen sich auch größte Datenmengen schnell und einfach verarbeiten, auswerten, weitergeben und speichern. Aus der Perspektive des Datenschutzes ist das eine dementsprechend große Herausforderung. Das Gesetz stellt daher zurecht strenge Anforderungen an die innerbetriebliche Selbstkontrolle durch den Datenschutzbeauftragten (DSB) auf. Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich haben die Mindestanforderungen an den Datenschutzbeauftragten in einem Beschluss formuliert.
Die Anforderungen muss der Datenschutzbeauftragte bereits zum Zeitpunkt seiner Bestellung erfüllen. Andernfalls ist die Bestellung eventuell nicht wirksam und die gesetzlichen Vorgaben sind nicht erfüllt. Dies stellt ein Risiko dar – nicht nur deshalb, weil diese Ordnungswidrigkeit unter Umständen mit einem empfindlichen Bußgeld geahndet werden kann.
Die Aufsichtsbehörden empfehlen folgerichtig auch ausdrücklich die Teilnahme an entsprechenden Schulungen bereits vor Beginn der Tätigkeit, um eventuelle Informationsdefizite zu beheben, und auch regelmäßig nach der Bestellung, um einen stets aktuellen Informationsstand sicherzustellen.
1. Fachkunde im Datenschutzrecht
Der Beauftragte für den Datenschutz muss mindestens über folgende technisch-organisatorische Kenntnisse verfügen:
- Grundkenntnisse zu den Persönlichkeitsrechten der Betroffenen und Mitarbeiter
- umfassende Kenntnisse der einschlägigen Regelungen des BDSG
- Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG. Dies schließt die Fähigkeit ein, die Geeignetheit von technischen und organsisatorischen Maßnahmen zu beurteilen.
2. Branchenspezifische Kenntnisse
Je nach Branche, IT-Infrastruktur und Größe der Organisation und der Sensibilität Daten stellt der Gesetzgeber folgende Anforderungen an den Datenschutzbeauftragten:
- Umfassende Kenntnis der für das Unternehmen relevanten Vorschriften
- Fachwissen im Bereich der Informationstechnologie und der Datensicherheit
- Betriebswirtschaftliches Sachverständnis
- Kenntnis der Strukturen und Abläufe im Unternehmen
- Kenntnis über das praktische Datenschutzmanagement
3. Rahmenanforderungen
Neben den persönlichen Anforderungen an den Datenschutzbeauftragten verlangt der Gesetzgeber die Gewährleistung bestimmter Rahmenbedingungen, insbesondere im Hinblick auf die Unabhängigkeit des Datenschutzbeauftragten. Dazu gehören folgende:
- Der Datenschutzbeauftragte darf bei Erfüllung seiner Aufgaben keinen Interessenkonflikten ausgesetzt sein. Dies bedeutet unter anderem, dass eine Bestellung nicht erfolgen darf, sobald der Beauftragte sich in irgendeiner Weise selbst überwachen müsste. Angehörige der Geschäftsleitung oder Mitarbeiter, die sonst zentrale Verantwortung tragen, scheiden danach regelmäßig aus. Durch ihre Bestellung wird die gesetzliche Verpflichtung nicht erfüllt.
- Datenschutzbeauftragte sind grundsätzlich auch gegenüber den Verantwortlichen des von ihnen betreuten Unternehmens zur Verschwiegenheit über Informationen verpflichtet, die Rückschlüsse auf bestimmte Personen zulassen.
- Die Verantwortlichen der zu betreuenden Organisation müssen dem Datenschutzbeauftragten erforderliche Zutritts- und Einsichtsrechte einräumen und gewährleisten, dass er durch entsprechende Weiterbildungen die für die Erfüllung seiner Verpflichtungen notwendigen Kenntnisse pflegt.
- Internen Datenschutzbeauftragten ist ausreichend Zeit zur Erfüllung ihrer Aufgaben einzuräumen.
In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.