Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Die erforderliche Fachkunde umfasst sowohl das allgemeine Grundwissen hinsichtlich des Datenschutzrechts sowie über Verfahren und Techniken der automatisierten Datenverarbeitung, als auch die Kenntnis über betriebswirtschaftliche Zusammenhänge. Darüber hinaus muss der oder die bDSB mit der Organisation und den Funktionen seines Betriebes vertraut sein, einen guten Überblick über alle Fachaufgaben haben, zu deren Erfüllung personenbezogene Daten verarbeitet werden. Der Begriff der Zuverlässigkeit umfasst sowohl sorgfältige und gründliche Arbeitsweise, Belastbarkeit, Lernfähigkeit, Loyalität und Gewissenhaftigkeit als auch Inkompatibilität der Aufgabe des Datenschutzbeauftragten mit anderen hauptamtlichen Aufgaben des Datenschutzbeauftragten. Eine Interessenkollision kann bei nebenamtlich mit der Aufgabe des bDSB betrauten Personen entstehen. Darüber hinaus sollen auch Personen nicht zu bDSB berufen werden, die in dieser Funktion in Interessenkonflikte geraten würden, die über das unvermeindliche Maß hinausgehen. Unvereinbar wäre es zum Beispiel, den Inhaber, den Vorstand, den Geschäftsführer oder den sonstigen gesetzlichen oder verfassungsmäßig berufenen Leiter zu bestellen, da sie sich nicht wirksam selbst kontrollieren können. Weiter ist zu vermeiden, Personen zu Datenschutzbeauftragten zu bestellen, die von ihrer Stellung im Betrieb für die Datenverarbeitung verantwortlich sind (Betriebsleiter, Leiter der EDV). Dagegen kommen als Datenschutzbeauftragte beispielsweise Mitarbeiter/-innen der Revision, der Rechtsabteilung und Organisation in Frage. [Quelle: Die Landesbeauftragte für den Datenschutz Niedersachsen]
Schriftliche Benennung
Eine bestimmte Form der Benennung des bDSB sehen die rechtlichen Regelungen nicht vor. Eine Benennung in Schriftform ist aus Nachweisgründen jedoch ratsam. Eine schriftliche Benennung zum bDSB könnte wie folgt formuliert werden:
Benennung zum/zur betrieblichen Datenschutzbeauftragten
Sehr geehrte(r) Frau/Herr _________________,
mit Wirkung vom _____________ benenne ich Sie auf unbestimmte Zeit zur/zum betrieblichen Datenschutzbeauftragten. In dieser Funktion sind Sie der Unternehmensleitung unmittelbar unterstellt.
Ihre Aufgabe ist es, unbeschadet der eigenen Datenschutzverantwortung der jeweiligen Organisationseinheiten, durch Beratung und jederzeitige auch unangemeldete Kontrolle auf die Einhaltung des Bundesdatenschutzgesetzes sowie anderer Rechtsvorschriften über den Datenschutz hinzuwirken. Im Einzelnen ergibt sich die Aufgabe aus dem BDSG und der DSGVO, insbesondere Art. 39 DSGVO.
Sie sind bei der Erfüllung Ihrer Aufgaben von allen Mitarbeiterinnen und Mitarbeitern zu unterstützen. Alle Mitarbeiterinnen und Mitarbeiter des Unternehmens können sich in Angelegenheiten des Datenschutzes an Sie wenden.
Mit freundlichen Grüßen
____________________________________
(Unterschrift)
Die Formulierung basiert auf einem aktuell von der Landesbeauftragten für den Datenschutz Niedersachsen angebotenen Musterschreiben. Dieses ist noch zum BDSG in der bis zum 24.05.2018 geltenden Fassung erstellt worden, woran sich zeigt, dass und auch die Aufsichtsbehörden noch im Anpassungsprozess auf die sich verändernde Rechtslage sind. Als Arbeitsgrundlage kann sicherlich aber erst einmal auf diesen Mustertext zurückgegriffen werden, wobei die Formulierungen von hier lediglich im Hinblick auf die geänderten Regelungsfundorte und die geänderten Begrifflichkeiten geändert wurden.
Befristung der Benennung
Ein bDSB kann gegen seinen Willen nur in entsprechender Anwendung des § 626 BGB abberufen werden, also nur unter sehr engen Voraussetzungen. Wer als verantwortliche Stelle (Unternehmer) eine solche ggf. nahezu dauerhafte Bindung vermeiden will, sollte darüber nachdenken, die Benennung zu befristen. Eine solche befristete Aufgabenübertragung wurde bisher als unkritisch angesehen, sofern die Befristung nicht zu kurz gewählt war. Ohne dass es hierfür Regelungen oder Anhaltspunkte im Gesetz gab, wurde eine Befristung von nicht unter zwei Jahren für rechtlich unkritisch erachtet. Auch kürzere Befristungen scheinen denkbar zu sein, wobei aktuell noch ungeklärt zu sein scheint, wo eine zeitliche Untergrenze liegen könnte. An einer solchen Befristungsmöglichkeit dürfte sich auch ab dem 25.05.2018 nichts ändern. Für eine solche Befristung könnte sich dann folgende zusätzliche Formulierung im Benennungsschreiben anbieten:
„Die Benennung ist befristet für die Dauer von zwei Jahren, mithin bis zum ……….. Sie endet mit Ablauf dieses Tages, ohne dass es einer weiteren Erklärung seitens der verantwortlichen Stelle (Unternehmensleitung) gegenüber dem/der hier benannten betrieblichen Datenschutzbeauftragten bedarf.“
Von Martin Pessara