Wer darf Datenschutzbeauftragter sein?

Für die meisten Unternehmen oder Behörden ist ein Datenschutzbeauftragter (DSB) verpflichtend. Um Kosten zu sparen setzen einige Unternehmer dafür sich selbst, interne Mitarbeiter oder Personen aus dem persönlichen Umfeld ein. Doch ist dies eigentlich erlaubt? Ein offizieller Tätigkeitsbericht beleuchtet dieses Thema mit konkreten Fallbeispielen.
Den vollständigen Bericht finden Sie auf der Website des Landesbeauftragten für den Datenschutz und Informationsfreiheit Baden-Württemberg > Dort finden Sie auch nähere Erläuterungen wann man einen DSB benennen muss. Wir haben einen Teil des Berichtes für Sie zusammengefasst:

Wer ist unter welchen Umständen als betrieblicher DSB erlaubt?

Der Datenschutzbeauftragte ist verpflichtet im Zweifel auch gegen die Geschäftsleitung zu handeln. Nicht erlaubt sind daher alle Personen, für die eine korrekte Einhaltung des Datenschutzes einen Ziel- oder Interessenkonflikt darstellen würde. Der Datenschutzbeauftragte darf keine Position inne haben, bei der er sich selbst kontrollieren müsste bzw. nicht unabhängig handeln kann:

  • Er entscheidet über Zwecke und Mittel der Datenverarbeitung oder verarbeitet selbst personenbezogene Daten. Dies gilt v. a. in den Bereichen IT, Marketing, Vertrieb oder Personal.
  • Für ihn steht die wirtschaftliche Führung des Unternehmens im Vordergrund, also Leitungskräfte, Geschäftsführung, Vorstand, Inhaber, Prokurist.
  • Er ist externer IT-Dienstleister (oder Mitarbeiter dieses IT-Unternehmens), Rechtsvertretung in datenschutzrelevanten Fragen vor Gericht, Geheimschutz- oder Geldwäschebeauftragter des Verantwortlichen bzw. Auftragsverarbeiters.
  • Es besteht eine familiäre Bindung bzw. Beziehung zum Verantwortlichen oder Auftragsverarbeiter. Insbesondere Ehepartner, (Groß-) Eltern, (Schwieger-) Sohn oder Tochter vom Unternehmenschef oder Partner können nicht als DSB benannt werden. Dies gilt auch, wenn diese nicht im Unternehmen beschäftigt sind.

Außerdem muss der Datenschutzbeauftragte eine natürliche Person sein (also keine juristische Person) und über Fachwissen im Bereich Datenschutz verfügen. Dazu gehören umfassende Kenntnisse der geltenden datenschutzrechtlichen Bestimmungen sowie zumindest grundlegende Kenntnisse in den Bereichen:

  • praktisches Datenschutzmanagement
  • Persönlichkeitsrechte der Betroffenen und Beschäftigten
  • technische Vorschriften (IT)
  • Informations- und Telekommunikationstechnologie
  • Datensicherheit
  • betriebswirtschaftliche Zusammenhänge
  • Branche sowie technische und organisatorische Struktur des Unternehmens
  • Vertrautheit mit der Organisationsstruktur eingeschalteter Auftragsverarbeiter
  • spezialgesetzliche datenschutzrelevante Vorschriften

Das bedeutet in der Praxis
Es besteht die Pflicht dem Datenschutzbeauftragten Einsichtsrechte und Zugang zu den erforderlichen Informationen zu gewähren. Bei fehlender Eignung des bestellten Datenschutzbeauftragten kann die Datenschutzbehörde die Bestellung rückwirkend als unwirksam erklären und somit für die nicht erfolgte korrekte Bestellung eine Strafe verhängen.