Welche Voraussetzungen müssen Datenschutzbeauftrage erfüllen?
von Freya Wolfenstaedter
In einem vorherigen Blogpost wurde bereits erklärt, wer alles einen Datenschutzbeauftragten benötigt bzw. benennen muss. Doch welche Voraussetzungen muss dieser erfüllen? Diese Frage wird in diesem Blogpost genauer erläutert.
Grundsätzlich gibt die DSGVO drei generelle Voraussetzungen vor (nach Art. 37 Abs. 5 DSGVO). Der benannte Datenschutzbeauftrage muss demnach…
…eine berufliche Qualifikation haben.
…über Fachwissen auf dem Gebiet des Datenschutzrechts und des Datenschutzfachrechts verfügen.
…in der Lage sein, die Aufgaben nach Artikel 39 DSGVO zu erfüllen.
Die ernannten Datenschutzbeauftragten sollten genügend Berufserfahrung im betreffenden Bereich gesammelt haben, um die verschiedenen Verarbeitungsprozesse zu kennen und zu erfassen. Für die Aufgaben des Datenschutzbeauftragen ist es auch wichtig, die internen Abläufe und Prozesse gut zu kennen und fundiertes Fachwissen im Bereich der Verwaltung vorweisen zu können, da es eine der Kernaufgaben ist, die Abläufe zu analysieren und hinsichtlich des Datenschutzes auch zu optimieren. Dazu ist es ebenfalls sinnvoll, über ein gutes Fachwissen im Bezug auf IT-Systeme und -Sicherheit zu verfügen, damit die dort auftretenden datenschutzrechtlichen Bedürfnisse erkannt und berücksichtigt werden können.
Das Niveau des Fachwissens auf dem Gebiet des Datenschutzrechts sollte den Arbeitsvorgängen und dem dadurch erforderlichen Schutz der Daten angepasst sein. Je komplexer die Datenverarbeitung ist, desto höher sind auch die Anforderungen an das Fachwissen.
Die DSGVO stellt keine direkten Vorgaben, auf welche Weise die Datenschutzbeauftragten ihre Qualifikationen erwerben sollen. Es gibt also keine verpflichtenden speziellen Schulungen oder Zertifikate, allerdings ist jede Fortbildung und Fortbildungsmaßnahme gern gesehen und der Aufrechterhaltung oder dem Erwerb des Fachwissens hilfreich, da dieses Fachwissen zur Erfüllung der Aufgaben nach Artikel 39 DSGVO notwendig ist.
Da nicht jedes Unternehmen oder jeder Verein diese Aufgabe stemmen kann, jemanden mit diesen Gesamtqualifikationen zu finden oder auszubilden, ist die Benennung von externen Datenschutzbeauftragen auch zulässig. Die externen Datenschutzbeauftragen können die Aufgaben dann auf Grundlage eines Dienstleistungsvertrags erfüllen und die verantwortliche Stelle kommt damit der Benennungspflicht eines Datenschutzbeauftragten nach.