Zum Datenschutzbeauftragten (ob intern angestellt oder extern beauftragt) darf nach dem BDSG vom 01.09.2009 nur bestellt werden, wer zur Erfüllung der Aufgaben die erforderliche "Fachkunde und Zuverlässigkeit besitzt" und nachweist! Zum Nachweis gehören neben dem Berufszertifikat (s.u.) auch Belege für gesetzlich vorgeschriebene Weiterbildungen.
Des Weiteren ist der DSB in seiner Beratungs- und Kontrollfunktion weisungsfrei - in beide Richtungen. Er kann demnach weder zum Leitungskreis im Unternehmen gehören noch darf er Weisungen seine Funktion betreffend annehmen und ausführen. Somit ist er (in seiner Funktion) mit einer halb-amtlichen Stelle zu vergleichen (siehe "Ulmer Urteil").
Die/der Datenschutzbeauftragte eines Unternehmens (ob intern oder extern, s.u.) stellt somit eine innerbetriebliche Kontrollinstanz dar, die ihre Aufgaben nach BDSG in Vertretung für die Datenschutz-Aufsichtsbehörden wahrzunehmen hat. Da das Management die Verantwortung dafür trägt, sollte es den DSB entsprechend unterstützen.
FachkundeDer DSB muss Kenntnisse im Datenschutzrecht, in der Betriebswirtschaft und in der EDV (IT) nachweisen können. Branchenschwerpunkte sind nützlich für verkürzte Aufwände. Der DSB ist ein Beruf und unterliegt der Nachweispflicht des § 4f (2) BDSG. Solch ein Nachweis ist z.B. ein Zertifikat einer anerkannten Stelle (z.B. IHK, HWK, TÜV, Dekra etc.).
Leider sind auch so genannte "Billig-Datenschutzbeauftragte" unterwegs, die mit "supergünstigen Preisen" im Ergebnis die Rechtsunsicherheit bei der Mandantschaft durch vorformulierte Stangenware an Dokumentationen und Schulungen in das Unternehmen tragend noch erhöhen. Für die Bestellung selbst werden meist nur 12 Monate vereinbart.
Ein belastbarer rechtssicherer Status mit entsprechender Reputation ist dafür nicht zu bekommen. Meist wird dies erst dann festgestellt, wenn die Behörden die etablierten Billig-Maßnahmen nicht akzeptieren und trotz DSB peinliche Datenpannen passieren. Dann sind aber schon einige Gelder in den Sand gesetzt und das Ganze publik worden.
Ein angemessener Datenschutz kann dann nicht mehr im normalen Tagesbetrieb etabliert werden, sondern muss innerhalb der behördlich auferlegten Fristen erfolgen. Der Mehraufwand und die Kosten (Reputationsschäden inklusive) dafür sind dabei deutlich höher, als wenn es gleich richtig gemacht wird. Kostenersparnis sieht anders aus.
Zuverlässigkeit
Die gesetzlich vorgeschriebenen Anforderungen aus § 4f (2) BDSG an die Zuverlässigkeit sind dann erfüllt, wenn der DSB durch seine persönlichen Eigenschaften und sein Verhalten dazu "geeignet ist, die Aufgaben zu erfüllen". Was heißt das?
Zur persönlichen Zuverlässigkeit gehören u.a.: Gewissenhaftigkeit, Unbestechlichkeit, Verschwiegenheit.
Die fachliche Zuverlässigkeit wird durch durch eine sorgfältige und gründliche Arbeitsweise gewährleistet.
Beispiele für die Erbringung der Nachweise finden Sie hier in der Tabelle. Die / der DSB sollte die Dokumentation auf die jeweilige betriebliche Situation des Mandanten abstimmen. Stangenware hilft dem Mandanten nicht, denn die Verantwortung gegenüber Behörden und Betroffenen trägt die "Leitung der verantwortlichen Stelle", nicht der DSB! Vor diesem Hintergrund sollten die Haftungsausschlüsse im Bestellungsvertrag geprüft werden.
Früher konnte sich jeder "Datenschutzbeauftragter" (DSB) nennen - heute ist es ein Beruf und die Ausübung der Funktion ist an enge gesetzliche Vorschriften gebunden (§ 4 BDSG). Eine wirksame Bestellung bedingt die Erfüllung mehrerer Voraussetzungen, ansonsten können die Aufsichtsbehörden nach § 38 (5) BDSG die Abberufung des DSB verlangen!
Abberufung eines DSBErkennt die Aufsichtsbehörde z.B. im Rahmen einer Aussenprüfung, dass die o.g. Grundlagen ganz oder teilweise weggefallen sind, kann sie nach § 38 (5) BDSG die Abberufung des DSB vom Unternehmen verlangen. Dieses hat nach Fristablauf den Status, als wäre kein DSB bestellt! Als nächstes greifen die §§ 43 (Bußgeld) u. 44 (Strafvorschrift)!
Interner oder externer DSB?Dies ist eines der wenigen Dinge, die der Gesetzgeber den Unternehmen überlässt. Meist ist es ein Rechenexempel. Eine Faustregel besagt, je größer ein Unternehmen ist, kann es sich eher interne DSB leisten. Je kleiner, desto eher rechnet sich strategisch ein externer DSB. Dies zu verallgemeinern ist jedoch zu kurz gegriffen.
3rd Mind hilft Ihnen gerne vor Ort mit einer Wirtschaftlichkeitsberechnung. Sprechen Sie uns an.