Bestellung eines Datenschutzbeauftragten

Aufgrund der niedrigen gesetzlichen Schwelle muss nahezu jedes Unternehmen einen internen oder externen Datenschutzbeauftragten bestellen. So besteht ab einer Anzahl von neun Mitarbeitern, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, eine Pflicht zur Bestellung eines Datenschutzbeauftragten. Werden personenbezogene Daten nicht-automatisiert verarbeitet, gilt selbige Pflicht ab einer Anzahl von zwanzig Mitarbeitern. Unabhängig von der Zahl der Mitarbeiter besteht ferner eine Pflicht zur Bestellung, wenn die verantwortliche Stelle personenbezogene Daten geschäftsmäßig zum Zwecke der Übermittlung oder zum Zwecke der Markt- und Meinungsforschung erhebt. Die Bestellung erfolgt in Schriftform und kann jederzeit unabhängig vom sonstigen Bestand des Arbeitsvertrages widerrufen werden.

Voraussetzungen eines Datenschutzbeauftragten

Zum Datenschutzbeauftragten darf nur bestellt werden, wer die erforderliche Sachkunde und Zuverlässigkeit besitzt, die für einen Datenschutzbeauftragten angedachten Aufgaben ordnungsgemäß erfüllen zu können. Ob ein Arbeitnehmer diese Voraussetzungen erfüllt, bestimmt sich nach dem Einzelfall und hängt insbesondere davon ab, um welche Daten es sich im konkreten Fall handelt. Je größer der Kreis der von den Daten betroffenen Personen und je sensibler die Daten, desto höhere Anforderungen sind an die Zuverlässigkeit des Arbeitnehmers zu stellen. Anknüpfungspunkt für die Beurteilung der Zuverlässigkeit können unter anderem persönliche Eigenschaften wie etwa Verschwiegenheit, Verantwortungsbewusstsein und Integrität sein. Ist die Zuverlässigkeit des zu bestellenden Datenschutzbeauftragten nicht gewährleistet, so scheidet dieser als Kandidat aus. Insbesondere kann es an der Zuverlässigkeit fehlen, wenn dem Datenschutzbeauftragten auch andere Tätigkeiten anvertraut sind und es dadurch zu Interessenkonflikten kommt. Es muss gewährleistet sein, dass der Arbeitnehmer in seiner Funktion als Beauftragter zu jeder Zeit unabhängig agieren und eventuelle Verstöße des Unternehmens gegen gesetzliche Datenschutzbestimmungen rügen kann. Sobald also ein Arbeitnehmer in seiner Tätigkeit als Datenschutzbeauftragter regelmäßig auch sich selbst kontrollieren müsste, scheidet dieser als tauglicher Datenschutzbeauftragter aus. In diesem Fall muss ein externer Datenschutzbeauftragter bestellt werden.

Neben den persönlichen Anforderungen muss der Beauftragte auch bestimmte fachliche Kenntnisse mitbringen. Diese sind bei einem externen Datenschutzbeauftragten meist umfassender und tiefgehender vorhanden als bei einem innerbetrieblichen. Was unter der gesetzlich vorgeschriebenen „Sachkunde“ im Einzelnen gemeint ist, bedarf näherer Klärung, ergibt sich aber mit Blick auf die zu erfüllenden Aufgaben. Um die fachgerechte Verwendung der Datenverarbeitungsprogramme sicherzustellen, muss der Beauftragte zunächst umfassende IT-Kenntnisse vorweisen. Nur wenn er über den nötigen Sachverstand verfügt, um die technischen Vorgänge der Datenverarbeitung zu verstehen, kann er beurteilen, ob diese den datenschutzrechtlichen Vorgaben genügen. Darüber hinaus sind ebenso tiefergehende juristische und betriebliche Kenntnisse erforderlich. Insbesondere muss der Datenschutzbeauftragte fortlaufend über die gesetzlichen Bestimmungen und etwaige Änderungen informiert sein. Da ein interner Mitarbeiter noch andere Geschäftspflichten zu erfüllen hat, spricht auch dies oft für einen externen Datenschutzbeauftragten.