Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz

Die obersten Aufsichtsbehörden für den Datenschutz haben einen umfangreichen Kriterienkatalog zur Bestimmung der Mindestanforderungen an Fachkunde und Unabhängigkeit für den Datenschutzbeauftragten nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG) beschlossen, welcher die in der Praxis oftmals schwierige Bewertung der persönlichen Eignung und Unabhängigkeit auf eine hilfreiche Bewertungsgrundlage stellt.

Die Aufsichtsbehörden für den Datenschutz haben insbesondere nachfolgend skizzierte Mindestanforderungen herausgestellt:

1. Erforderliche Fachkunde

§ 4 f Abs. 2 Satz 1 BDSG legt fest, dass zum Beauftragten für den Datenschutz nur bestellt werden darf, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Vor dem Hintergrund der gestiegenen Anforderungen an die Funktion des Datenschutzbeauftragten müssten diese nach den Vorgaben der Aufsichtsbehörden für den Datenschutz mindestens über folgende datenschutzrechtliche und technisch-organisatorische Kenntnisse verfügen:

Grundkenntnisse zu verfassungsrechtlich garantierten Persönlichkeitsrechten der Betroffenen und Mitarbeiter der verantwortlichen Stelle;
umfassende Kenntnisse zum Inhalt und zur rechtlichen Anwendung der für die verantwortlichen Stellen einschlägigen Regelungen des BDSG, auch technischer und organisatorischer Art;
Kenntnisse des Anwendungsbereiches datenschutzrechtlicher und einschlägiger technischer Vorschriften, der Datenschutzprinzipien und der Datensicherheitsanforderungen insbesondere nach § 9 BDSG;
Umfassende Kenntnisse der spezialgesetzlichen datenschutzrelevanten Vorschriften, die für das eigene Unternehmen relevant sind;
Kenntnisse der Informations- und Telekommunikationstechnologie und der Datensicherheit;
betriebswirtschaftliche Grundkompetenz;
Kenntnisse der technischen und organisatorischen Struktur sowie deren Wechselwirkung in der zu betreuenden verantwortlichen Stelle;Kenntnisse im praktischen Datenschutzmanagement einer verantwortlichen Stelle.

Grundsätzlich müssen die erforderlichen rechtlichen, technischen sowie organisatorischen Mindestkenntnisse nach den Vorgaben der Aufsichtsbehörden für den Datenschutz bereits zum Zeitpunkt der Bestellung zum Datenschutzbeauftragten im ausreichenden Maße vorliegen. Sie könnten insbesondere auch durch den Besuch geeigneter Aus- und Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt werden.

2. Unabhängigkeit

Gemäß § 4f Abs. 3 Satz 2 BDSG sind Datenschutzbeauftragte in Ausübung ihrer Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Um die Unabhängigkeit der Datenschutzbeauftragten zu gewährleisten, seien eine Reihe betriebsinterner organisatorischer Maßnahmen erforderlich:

Datenschutzbeauftragte sind dem Leiter/der Leiterin der verantwortlichen Stelle organisatorisch unmittelbar zu unterstellen

Ausschluss von lnteressenkonflikten
unmittelbares Vortragsrecht beim Leiter der Stelle

Sicherstellung einer unabhängigen Aufgabenerfüllung

Kündigungsfristen
Zahlungsmodalitäten
Haftungsfreistellungen
Dokumentationspflichten
Empfohlene Mindestvertragslaufzeit grundsätzlich 4 Jahre, bei Erstverträgen 1 bis 2 Jahre

Verschwiegenheitspflicht über die Identität des Betroffenen sowie über Umstände, die Rückschlüsse auf den Betroffenen zulassen, auch gegenüber der verantwortlichen Stelle und deren Leiter

3. Weitergehende Vorgaben

Der Beschluss der obersten Aufsichtsbehörden für den Datenschutz enthält über die vorstehend skizzierten Grundlagen detaillierte Vorgaben mit beispielhaften Aufzählungen. Ergänzend werden in dem Beschluss auch erforderliche Rahmenbedingungen innerhalb der verantwortlichen Stelle zur Fachkunde und Unabhängigkeit des Datenschutzbeauftragten skizziert.

Der Volltext des Beschluss ist abrufbar unter: Quelle: Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich (Düsseldorfer Kreis am 24./25. November 2010)

Erscheinungsdatum: 04.08.2011

News