Der Datenschutzbeauftragte benötigt, um sein Amt ordnungsgemäß ausüben zu können, bestimmte fachliche Kenntnisse. Welche das sind, darum geht es diese Woche.
Wer definiert die Mindestanforderungen?
Nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG) dürfen nur Personen zum Datenschutzbeauftragten bestellt werden, der für die Position fachlich geeignet ist:
„Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.“
Weitere Vorschriften gibt der Gesetzgeber nicht vor.
Um die Mindestanforderungen für den betrieblichen Datenschutzbeauftragten weiter zu konkretisieren, haben sich verschiedene Datenschutzbehörden im Unternehmensbereich (nicht-öffentliche Stellen) zum sogenannten Düsseldorfer Kreis zusammengeschlossen. Dieser hat im November 2010 neue Richtlinien für die Bestellung des Datenschutzbeauftragten erlassen. Ziel der neuen Richtlinien ist es, den Unternehmen hinsichtlich der Benennung mehr Klarheit zu geben.
Die branchenübergreifenden Anforderungen
Die ausreichend fachliche Eignung, die ein Datenschutzbeauftragter erfüllen muss, richtet sich einerseits nach dem Umfang der Datenverarbeitung und andererseits nach dem Schutzbedarf der erhobenen und verarbeiteten personenbezogenen Daten.
Jeder bestellte Datenschutzbeauftragte muss Grundkenntnisse über die verfassungsrechtlich garantierten Persönlichkeitsrechte 1) der im Unternehmen beschäftigten Mitarbeiter und 2) der von der Datensammlung und –verarbeitung betroffenen Personen verfügen.
Des Weiteren muss der Datenschutzbeauftragte umfassendes Wissen über Inhalt und Anwendungsbereich des Datenschutzes, sowohl technischer als auch organisatorischer Art, verfügen.
Betriebliche und juristische Grundkompetenzen werden ebenfalls erwartet. Der Datenschutzbeauftragte sollte in der Lage sein, die betrieblichen Datenströme sowie die internen Organisationsstrukturen wahrzunehmen. Dieses Wissen befähigt ihn, Beratungs- und Kontrollaufgaben im ausreichenden Maße nachzukommen.
Neben der fachlichen Eignung muss sichergestellt sein, dass der bestellte Datenschutzbeauftragte keinem Interessenkonflikt unterworfen ist. Er als Kontrollinstanz darf nicht in die Situation kommen sich selbst kontrollieren zu müssen. Dieses Risiko ist beispielsweise dann gegeben, wenn der Datenschutzbeauftragte andere Positionen wie Personalverantwortlicher oder Informationstechniker im Unternehmen oder in der Behörde bekleidet.
Die branchenspezifischen Anforderungen
Neben den branchenübergreifenden Anforderungen gelten je nach Branche weitere Mindestanforderungen, die ein Datenschutzbeauftragter erfüllen muss. Der bestellte Datenschutzbeauftragte muss grundsätzlich in der Lage sein, Datenschutzrisiken im Unternehmen bzw. in der Behörde zu erkennen und diese zu minimieren. Hierzu muss dieser über umfassende Kenntnisse über die für die Branche und für das Unternehmen relevanten Vorschriften verfügen.
Darüber hinaus sind fundierte Kenntnisse über Informations- und Telekommunikationstechnologien im Allgemeinen und die im Unternehmen verwendete IT-Infrastruktur im Speziellen notwendig. Er muss die für die Branche relevante Schadsoftware kennen. Praktische Kenntnisse im Datenschutzmanagement und Datenverarbeitung werden vom bestellten Datenschutzbeauftragten ebenfalls erwartet. Mit diesem Wissen ist der Datenschutzbeauftragte in der Lage, den Aufbau und die Funktionsweise über die im Unternehmen eingesetzten Datenverarbeitungssysteme und –netze nachzuvollziehen und fachlich zu beurteilen.
Konsequenzen bei Nichterfüllung der Mindestanforderungen
Entscheidend für die Ausübung ist, dass der betreffende Datenschutzbeauftrage die Mindestanforderungen bereits bei Amtsantritt erfüllt. Einige dieser Kenntnisse können über den Besuch von spezifischen Aus- und Weiterbildungskursen mit bestandener Prüfung nachgewiesen werden. Eine spezielle Zertifizierung ist vom Gesetzgeber aber nicht vorgesehen. Eine Bestellung und nachfolgende fachliche Ausbildung ist nicht zulässig.
Erfüllt der bestellte Datenschutzbeauftragte die Mindestabforderung nicht oder es besteht ein Interessenkonflikt, dann kann die zuständige Aufsichtsbehörde diesen abberufen. Die Unternehmens- oder Behördenleitung sowie der Betriebsrat haben auf die Abberufung grundsätzlich keine Einflussmöglichkeiten.