Wer darf Datenschutzbeauftragter sein?

Für die meisten Unternehmen oder Behörden ist ein Datenschutzbeauftragter (DSB) verpflichtend. Um Kosten zu sparen setzen einige Unternehmer dafür sich selbst, interne Mitarbeiter oder Personen aus dem persönlichen Umfeld ein. Doch ist dies eigentlich erlaubt? Antwort: In Deutschland gibt es dazu zahlreiche Einschränkungen.

Der Tätigkeitsbericht Datenschutz 2018 (PDF vom Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg) beleuchtet dieses Thema mit konkreten Fallbeispielen. Wir haben einen Teil des Berichtes für Sie zusammengefasst.

Wer ist unter welchen Umständen als betrieblicher DSB erlaubt?

Der Datenschutzbeauftragte ist verpflichtet im Zweifel auch gegen die Geschäftsleitung zu handeln. Nicht erlaubt sind daher alle Personen, für die eine korrekte Einhaltung des Datenschutzes einen Ziel- oder Interessenkonflikt darstellen würde. Der DSB darf somit keine Position inne haben, bei der er sich selbst kontrollieren müsste bzw. nicht unabhängig handeln kann.

Es sollte daher keine der folgenden Beschreibungen auf diese Person zutreffen:

  • Sie entscheidet über Zwecke und Mittel der Datenverarbeitung oder verarbeitet selbst personenbezogene Daten. Dies gilt v. a. in den Bereichen IT, Marketing, Vertrieb oder Personal.
  • Für sie steht die wirtschaftliche Führung des Unternehmens im Vordergrund, also Leitungskräfte, Geschäftsführung, Vorstand, Inhaber, Prokurist.
  • Sie ist externer IT-Dienstleister (oder Mitarbeiter dieses IT-Unternehmens), Rechtsvertretung in datenschutzrelevanten Fragen vor Gericht, Geheimschutz- oder Geldwäschebeauftragter des Verantwortlichen bzw. Auftragsverarbeiters.
  • Es besteht eine familiäre Bindung bzw. Beziehung zum Verantwortlichen oder Auftragsverarbeiter. Insbesondere Ehepartner, (Groß-) Eltern, (Schwieger-) Sohn oder Tochter vom Unternehmenschef oder Partner können nicht als DSB benannt werden. Dies gilt auch, wenn diese nicht im Unternehmen beschäftigt sind.

Außerdem muss der DSB eine natürliche Person sein (also keine juristische Person) und über Fachwissen im Bereich Datenschutz verfügen. Dazu gehören umfassende Kenntnisse der geltenden datenschutzrechtlichen Bestimmungen sowie zumindest grundlegende Kenntnisse in den Bereichen:

  • praktisches Datenschutzmanagement
  • Persönlichkeitsrechte der Betroffenen und Beschäftigten
  • technische Vorschriften (IT)
  • Informations- und Telekommunikationstechnologie
  • Datensicherheit
  • betriebswirtschaftliche Zusammenhänge
  • Branche sowie technische und organisatorische Struktur des Unternehmens
  • Vertrautheit mit der Organisationsstruktur eingeschalteter Auftragsverarbeiter
  • spezialgesetzliche datenschutzrelevante Vorschriften

Das bedeutet in der Praxis

Wählen Sie eine unabhängige und gleichzeitig fachkundige Person. Bei fehlender Eignung des bestellten Datenschutzbeauftragten kann die Datenschutzbehörde die Bestellung rückwirkend als unwirksam erklären und somit für die nicht erfolgte korrekte Bestellung eine Strafe verhängen. 

Beachten Sie außerdem: Eine bloße Bestellung genügt nicht. Es besteht die Pflicht dem Datenschutzbeauftragten Einsichtsrechte und Zugang zu den erforderlichen Informationen zu gewähren. Dabei ist der DSB für die Überwachung, nicht aber für die konkrete Umsetzung von Datenschutzmaßnahmen zuständig. Hier müssen die Verantwortlichen und Mitarbeiter im Unternehmen selbst aktiv werden.

Schulen Sie daher Ihre Mitarbeiter im Bereich Datenschutz. Behalten Sie das Thema Datenschutz bei der Einführung neuer Prozesse und Systeme im Hinterkopf und beleuchten Sie auch langjährig bestehende Arbeitsweisen kritisch. Hier bietet sich die Chance alte Zöpfe abzuschneiden und neue Wege zu gehen in Richtung Digitalisierung und Kundenzentrierung. Denn Datenschutz schützt nicht Daten, sondern Persönlichkeitsrechte von Menschen – also auch von Ihnen, ihren Kollegen, Kunden und Geschäftspartnern.