Mindestanforderungen an Datenschutzbeauftragte

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Mindestanforderungen an Datenschutzbeauftragte

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Der Düsseldorfer Kreis hat im November 2010 einen Beschluss hinsichtlich der Mindestanforderungen an die Qualifikation und die Unabhängigkeit des Datenschutzbeauftragten gefasst. Durch den Beschluss werden die gesetzlichen Vorschriften aus dem Bundesdatenschutzgesetz („BDSG“) konkretisiert.

Der Düsseldorfer Kreis ist der inoffizielle Zusammenschluss der Datenschutz-Aufsichtsbehörden im Unternehmens-Bereich (so genannte „nicht-öffentliche Stellen“). Der Düsseldorfer Kreis veröffentlicht regelmäßig Stellungnahmen zur Vereinheitlichung der aufsichtsrechtlichen Praxis. Der Bundesverband der Datenschutzbeauftragten hat nun ein Leitbild zum Tätigkeitsfeld des Datenschutzbeauftragten veröffentlicht. Nach diesem müssen Datenschutzbeauftragte in der Lage dazu sein, Datenschutzrisiken in Unternehmen und Behörden zu erkennen und zu minimieren.

Die gesetzliche Ausgestaltung

Das Bundesdatenschutzgesetz legt in § 4f Abs. 2 und 3 BDSG fest, welche Anforderungen an die Person zu stellen sind, die als Datenschutzbeauftragter bestellt werden soll. Die relevanten Passagen lauten wie folgt:

-Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das Maß der erforderlichen Fachkunde bestimmt sich insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. (…)

-Der Beauftragte für den Datenschutz ist dem Leiter der (…) nicht-öffentlichen Stelle unmittelbar zu unterstellen. (…) Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.

Welche Kenntnisse verlangt der Düsseldorfer Kreis als Mindestanforderungen des Datenschutzbeauftragten?

Der Düsseldorfer Kreis hat nun in einer gesonderten Stellungnahme die relativ allgemein gehaltenen gesetzlichen Vorgaben für die Praxis konkretisiert.

-Datenschutzbeauftragter muss die Grundrechte der Betroffenen kennen: Der Datenschutzbeauftragte muss danach Grundkenntnisse zu den verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen insb. der Mitarbeiter der verantwortlichen Stelle und umfassende Kenntnisse über Inhalt und rechtliche Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG besitzen. Hierzu gehören auch die nötigen Kenntnisse hinsichtlich der technischen und organisatorischen Datenschutz-Anforderungen.

-Branchenspezifische Besonderheiten müssen bekannt sein: Daneben muss der Datenschutzbeauftragte mit den branchenspezifischen Besonderheiten vertraut sein. Dies umfasst das Wissen über spezialgesetzliche Datenschutz-Vorschriften, Kenntnisse der Informations- und Telekommunikationstechnologie sowie der Datensicherheit. Der Düsseldorfer Kreis betont, dass insbesondere auch praktische Kenntnisse im Datenschutzmanagement von den Datenschutzbeauftragten erwartet werden müssen.

-Kenntnisse müssen bereits bei Bestellung vorliegen: Die aufgezählten Mindestkenntnisse müssen bereits zum Zeitpunkt der Bestellung als Datenschutzbeauftragter in ausreichendem Maße vorliegen. Sie können insbesondere auch durch den Besuch geeigneter Aus- und Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt werden. Der in vielen Unternehmen gängigen Praxis, einen Datenschutzbeauftragten erst zu bestellen und dann auszubilden, ist damit offiziell eine Absage erteilt.

-Erforderliche Rahmenbedingungen innerhalb der verantwortlichen Stelle: Daneben stellt das Gremium der Aufsichtsbehörden heraus, dass dem Datenschutzbeauftragten die erforderlichen Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche eingeräumt werden müssen und der Datenschutzbeauftragte in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe eingebunden sein soll. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde haben die verantwortlichen Stellen den Datenschutzbeauftragten stets auch die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. Bei der Bestellung von externen Datenschutzbeauftragten kann die Fortbildung jedoch auch Bestandteil der vereinbarten Vergütung sein und muss in diesem Fall nicht zusätzlich bezahlt werden.

-Neben Fachkunde muss der Datenschutzbeauftragte auch die nötige Zuverlässigkeit besitzen

Gemäß § 4f Abs. 3 S. 2 BDSG ist der Datenschutzbeauftragte in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er muss in der Lage sein, seine Verpflichtungen ohne Interessenkonflikte erfüllen zu können.

Düsseldorfer Kreis bestimmt für die Bestellung eines externen Datenschutzbeauftragten eine längere Vertragsdauer

Bei der Bestellung von externen Datenschutzbeauftragten muss der Dienstvertrag so ausgestaltet sein, dass eine unabhängige Erfüllung der gesetzlichen Aufgaben durch entsprechende Kündigungsfristen, Zahlungsmodalitäten, Haftungsfreistellungen und Dokumentationspflichten gewährleistet wird, so dass § 4f Abs. 3 BDSG die Vertragsfreiheit der Parteien insoweit einschränkt. Die Aufsichtsbehörden empfehlen damit grundsätzlich eine Mindestvertragslaufzeit von vier Jahren. Bei Erstverträgen wird – wegen der Notwendigkeit der Überprüfung der Eignung – grundsätzlich eine Vertragslaufzeit von ein bis zwei Jahren empfohlen.

Der Beschluss des Düsseldorfer Kreises gibt den Unternehmen mehr Klarheit hinsichtlich der Anforderungen, die an die Eignung eines internen oder externen Datenschutzbeauftragten zu stellen sind. Hervorzuheben ist, dass Unternehmen einen Beschäftigten erst dann zum internen Datenschutzbeauftragten bestellen dürfen, wenn dieser bereits die erforderliche Fachkunde zum Beispiel im Rahmen von Schulungen erworben hat.

(Autoren: Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter, und Rechtsanwältin Alma Lena Fritz, externe Datenschutzbeauftragte)

Info: http://www.iitr.de, https://www.bvdnet.de/fileadmin/BvD_eV/pdf_und_bilder/leitbild/bvd_leitbild.pdf

Zum Thema „Unabhängigkeit des Datenschutzbeauftragten“: http://www.iitr.de/datenschutz-wer-kann-die-position-des-datenschutzbeauftragten-bekleiden.html

 

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

Andere Leser haben sich auch für die folgenden Artikel interessiert

Unternehmen haben mittlerweile mehr Kenntnis über die Regelungen der DSGVO und anderer Datenschutzbestimmungen weltweit. Da jeden Tag neue Verstöße in die Schlagzeilen geraten, werden Kunden 2020 mehr Fragen stellen und mehr Kontrolle darüber verlangen, wo ihre Daten gespeichert und wie sie diese geschützt werden.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Das sind die Trends im e-commerce

Trends 2021

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.