In unseren vorherigen Beiträgen haben wir bereits erläutert, was ein Datenschutzbeauftragter ist und ab wann die Ernennung eines Datenschutzbeauftragten Pflicht ist. Jedoch werden bei der Bestellung eines Datenschutzbeauftragten sehr oft Fehler gemacht. Um eine unwirksame Bestellung eines Datenschutzbeauftragten zu vermeiden, erklären wir deshalb in diesem Beitrag, wer Datenschutzbeauftragter werden kann und worauf geachtet werden muss.
Um als Datenschutzbeauftragter tätig werden zu können, müssen bestimmte Anforderungen erfüllt sein. Grundsätzlich kann jeder interne Mitarbeiter oder auch eine externe Person die Aufgaben übernehmen, sofern er über die entsprechenden Fachkenntnisse verfügt.
Jedoch darf nicht jeder interner Datenschutzbeauftragter werden. Aus Art. 38 Abs.3 und 6 DSGVO lässt sich ableiten, dass der Datenschutzbeauftragte weisungsfrei agiert und zuverlässig ist. Betriebliche Datenschutzbeauftragte hingegen dürfen nicht in einem Interessenkonflikt geraten und es darf nicht die Gefahr der Selbstkontrolle bestehen.
So ist es ausgeschlossen, dass beispielsweise ein Geschäftsführer, der Leiter der IT-Abteilung, der Steuerberater oder Wirtschaftsprüfer zum Datenschutzbeauftragten ernannt wird, da diese Personen ein direktes Interesse am Unternehmen haben.
Welche Fähigkeiten muss der Datenschutzbeauftragte haben?
Nach den Kriterien der DSGVO muss der Datenschutzbeauftragte eine gewisse berufliche Qualifikation vorweisen. Ferner hat der Datenschutzbeauftragter unabhängig davon, ob als interner Mitarbeiter oder ein externer Dienstleister, Fachwissen im Bereich Datenschutz und Datenschutzpraxis vorzuweisen. Außerdem muss er die Fähigkeiten zur Erfüllung seiner gesetzlichen Anforderungen haben. Der Datenschutzbeauftragter muss auf Grundlage seiner beruflichen Qualitäten die Aufgaben nach Art. 39 DSGVO erfüllen.
Organisationen und Unternehmen entscheiden selbst über die Qualifikationen ihres Datenschutzbeauftragten, da die DSGVO die erforderlichen beruflichen Qualitäten nicht definiert und diese auch nicht vorschreibt. Vielmehr kann die Ausbildung des Datenschutzbeauftragten auf den Kontext der Datenverarbeitung der Organisation zugeschnitten werden. Hierfür wird das angemessene Maß an Qualifikationen und Fachwissen je nach den durchgeführten Verarbeitungen personenbezogener Daten, der Komplexität und dem Umfang der Datenverarbeitung, der Sensibilität der verarbeiteten Daten und dem erforderlichen Schutz der verarbeiteten Daten festgelegt.
In jedem Fall verfügt ein Datenschutzbeauftragter über ausreichende Zeitressourcen, um seine Aufgaben erfüllen zu können.
Die relevanten Fähigkeiten nochmal im Überblick:
- Fachwissen in Bezug auf nationale und europäische Datenschutzgesetze und Datenschutzpraktiken
- Umfassendes Verständnis der DSGVO
- Verständnis für die durchgeführten Verarbeitungen
- Verständnis von Informationstechnologien und Datensicherheit
- Kenntnisse des Geschäftsbereichs und der Organisation
- Fähigkeit, eine Datenschutzkultur innerhalb der Organisation zu fördern
Schulungsoptionen für den betrieblichen Datenschutzbeauftragten
Für den internen Datenschutzbeauftragten stehen verschiedene Schulungsoptionen zur Verfügung, die in Anspruch genommen werden können. Hier kommt es auf den Umfang, der Komplexität und der Sensibilität der Datenverarbeitung in der Organisation an, welche Schulung erforderlich ist. Die Datenschutzkommission empfiehlt, bei der Auswahl eines geeigneten Schulungsprogramms für den betrieblichen Datenschutzbeauftragten folgende Faktoren zu berücksichtigen:
- Inhalt und Art der Schulung und Bewertung
- Ob eine zur Zertifizierung führende Schulung erforderlich ist
- Das Ansehen der Akkreditierungsstelle
- Ob die Schulung und Zertifizierung international anerkannt ist
Fazit
Zusammenfassend lässt sich festhalten, dass Unternehmen, die sich um die Einhaltung des Datenschutzes in ihrem Betrieb bemühen, von einem kompetenten Datenschutzbeauftragten profitieren. Grundsätzlich kann jeder Mitarbeiter oder auch eine externe Person als Datenschutzbeauftragter bestellt werden, sofern dieser über die entsprechenden Fachkenntnisse verfügt.
Bei der Auswahl eines internen Datenschutzbeauftragten ist darauf zu achten, dass dieser unabhängig und unter Meidung von Interessenkonflikten seinen gesetzlichen Aufgaben nachkommen kann.