Welche Voraussetzungen müssen Datenschutzbeauftragte erfüllen?

Die Voraussetzungen, die an einen Datenschutzbeauftragten gestellt werden, formuliert das Bundesdatenschutzgesetz folgendermaßen:

§ 4 f Abs. 2 BDSG

„(2) Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.“

Zunächst einmal muss er die zur Erfüllung seiner Aufgaben erforderliche Fachkunde besitzen, d.h. es ist nach dem Wortlaut der Vorschrift nicht mehr zulässig eine Person im Unternehmen auszuwählen, die keinerlei Kenntnisse im Datenschutz besitzt und diese „on the job“ auszubilden. Der Datenschutzbeauftragte muss die erforderlichen rechtlichen, technischen sowie organisatorischen Mindestkenntnisse bereits zum Zeitpunkt des Bestellung im ausreichenden Maße aufweisen.

Der Datenschutzbeauftragte muss diejenige Fachkunde aufweisen, die zur Erfüllung seiner Aufgabe erforderlich ist. Konkrete Aussagen enthält das Gesetz insofern nicht. Die Anforderungen können darüber hinaus von Unternehmen zu Unternehmen differieren.

Die Aufsichtsbehörde NWR schreibt hierzu: „Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Zur Fachkunde gehören neben umfassenden Kenntnissen im IT-Bereich auch gute juristische und organisatorische Kenntnisse. Das bedeutet, dass die grundsätzlichen sowie bereichsspezifischen datenschutzrechtlichen Regelungen bekannt sein müssen und sicher angewandt werden können.

Kenntnisse über Datenverarbeitung und ein Mindestmaß an technischem Verständnis sollten es einer oder einem Datenschutzbeauftragten ermöglichen, Aufbau, Funktionsweise und Anforderungen der eingesetzten Datenverarbeitungssysteme, -verfahren und -netze soweit zu beurteilen, dass Datenschutz- und Datensicherheitsmaßnahmen vorgeschlagen, bewertet und geprüft werden können.“ (FAQ-Antwort LDI NRW).

Die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich haben Mindestanforderungen an Fachkunde und Unabhängigkeit der Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG) festgelegt (Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich Düsseldorfer Kreis am 24./25. November 2010), die hier auszugsweise wiedergegeben werden:

Vor dem Hintergrund der gestiegenen Anforderungen an die Funktion des DSB müssen diese nach Ansicht der Aufsichtsbehörden mindestens über folgende datenschutzrechtliche und technisch-organisatorische Kenntnisse verfügen:

1. Datenschutzrecht allgemein – unabhängig von der Branche und der Größe der verantwortlichen Stelle

  • Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle und
  • umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art,
  • Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG.

2. Branchenspezifisch – abhängig von der Branche, Größe oder IT-Infrastruktur der verantwortlichen Stelle und der Sensibilität der zu verarbeitenden Daten

  • Umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für das eigene Unternehmen relevant sind,
  • Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit (physische Sicherheit, Kryptographie, Netzwerksicherheit, Schadsoftware und Schutzmaßnahmen, etc.),
  • betriebswirtschaftliche Grundkompetenz (Personalwirtschaft, Controlling, Finanzwesen, Vertrieb, Management, Marketing etc.),
  • Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle (Aufbau- und Ablaufstruktur bzw. Organisation der verantwortlichen Stelle) und
  • Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle (z. B. Durchführung von Kontrollen, Beratung, Strategieentwicklung, Dokumentation, Verzeichnisse, Logfile-Auswertung, Risikomanagement, Analyse von Sicherheitskonzepten, Betriebsvereinbarungen, Videoüberwachungen, Zusammenarbeit mit dem Betriebsrat etc.).

Neben der fachlichen Eignung ist persönliche Eignung des Datenschutzbeauftragten erforderlich. Das Bundesdatenschutzgesetz spricht hier von der „Zuverlässigkeit“ des Datenschutzbeauftragten.

Hier ist einerseits die Frage der Unabhängigkeit des Datenschutzbeauftragten zu klären. Bei der Ausübung der Tätigkeit der oder des Datenschutzbeauftragten dürfen keine Interessenkollisionen zu anderen Aufgabenbereichen im Unternehmen bestehen, was bei internen Datenschutzbeauftragten, die diese Aufgabe nebenberuflich ausüben, schnell der Fall sein kann. Die Aufsichtsbehörde NRW schreibt hierzu: „Es gilt das Grundprinzip, dass die zu Kontrollierenden nicht selbst die Kontrolle ausüben dürfen. Daraus ergibt sich, dass die Leitung sowie Beschäftigte der Personal- und EDV-Abteilung nicht gleichzeitig Datenschutzbeauftragte sein können. Daneben ist auch die Bestellung von Betriebsratsvorsitzenden kritisch zu sehen. Betriebsräte wirken auch bei Personalentscheidungen mit und haben in diesem Rahmen umfassenden Zugang zu den personenbezogenen Daten der Mitarbeiterinnen und Mitarbeiter, so dass ein Interessenkonflikt nicht ausgeschlossen werden kann.

Darüber hinaus sind aber auch einschlägige Strafen und fehlende soziale Kompetenz bzw. mangelnde Empathie Faktoren, die eine persönliche Eignung und damit auch die Zuverlässigkeit fraglich erscheinen lassen

nach oben