Datenschutzbeauftragter

Rechtliche und sonstige Grundlagen

• Bundesdatenschutzgesetz (BDSG); Stand: 22.11.2023
• Datenschutz-Grundverordnung (DSGVO, EU 2016/679); Stand: 2024
• Je nach Bundesland ggf. ergänzende Landesdatenschutzgesetze (insbesondere für öffentliche Stellen relevant)

Anforderungen an die Fachkunde des BA

Der Datenschutzbeauftragte wird gemäß Art. 37 Abs. 5 DSGVO „aufgrund seiner beruflichen Qualifikation, insbesondere des Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis, sowie seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben benannt“:

• Nachweisbare Fachkunde im Datenschutzrecht (DSGVO, BDSG, relevante Spezialgesetze)
• Kenntnis der technischen und organisatorischen Datenschutzmaßnahmen (z. B. Informationssicherheit)
• Erfahrung in der datenschutzrechtlichen Praxis (z. B. Durchführung von Datenschutz-Folgenabschätzungen, Erstellung von Verarbeitungsverzeichnissen, Beratung)
• Fähigkeit zur Kommunikation und Durchsetzung im Unternehmen

Wer ernennt/bestellt den BA?

Werden in einem Unternehmen mehr als 20 Mitarbeiter mit der automatisierten Verarbeitung, Nutzung und Erhebung von personenbezogenen Daten beschäftigt, muss ein Datenschutzbeauftragter spätestens innerhalb eines Monats nach Aufnahme der Tätigkeiten schriftlich bestellt werden (§ 38 BDSG). Die Bestellung erfolgt schriftlich durch den Verantwortlichen (Unternehmen/Behörde) und wird an die zuständige Aufsichtsbehörde (Landesdatenschutzbehörde) gemeldet.

Gesetzliche Pflicht zur Aus- und Fortbildung / Prüfungen / Wiederholungen – Fristen

• Die DSGVO verpflichtet zur Aufrechterhaltung der Fachkunde (ständige Fortbildung, Art. 38, Abs. 2)
• Empfehlung: Mindestens 1-2 Fortbildungen pro Jahr sowie laufende Fachlektüre
• Nachweispflicht: Qualifikations- und Fortbildungsnachweise sollten jederzeit aktuell vorliegen (wichtig bei Behördenprüfungen)

Kündigungsschutz

Die Kündigung eines Datenschutzbeauftragten ist unzulässig, es sei denn, es liegen Tatsachen vor, die für die Annahme eines wichtigen Grundes (§ 626 BGB) einer außerordentlichen Kündigung ausreichen. Nach Abberufung des Datenschutzbeauftragten ist die Kündigung innerhalb eines Jahres nach Beendigung der Bestellung unwirksam (§ 6 Abs. 4 BDSG).