Branchenspezifische Besonderheiten müssen bekannt sein
Daneben muss der Datenschutzbeauftragte mit den branchenspezifischen Besonderheiten vertraut sein. Dies umfasst das Wissen über spezialgesetzliche Datenschutz-Vorschriften, Kenntnisse der Informations- und Telekommunikationstechnologie sowie der Datensicherheit. Der Düsseldorfer Kreis betont, dass insbesondere auch praktische Kenntnisse im Datenschutzmanagement von den Datenschutzbeauftragten erwartet werden müssen.
Kenntnisse müssen bereits bei Bestellung vorliegen
Die aufgezählten Mindestkenntnisse müssen bereits zum Zeitpunkt der Bestellung als Datenschutzbeauftragter in ausreichendem Maße vorliegen. Sie können insbesondere auch durch den Besuch geeigneter Aus- und Fortbildungsveranstaltungen und das Ablegen einer Prüfung erlangt werden. Der in vielen Unternehmen gängigen Praxis, einen Datenschutzbeauftragten erst zu bestellen und dann auszubilden, ist damit offiziell eine Absage erteilt.
Erforderliche Rahmenbedingungen innerhalb der verantwortlichen Stelle
Daneben stellt das Gremium der Aufsichtsbehörden heraus, dass dem Datenschutzbeauftragten die erforderlichen Zutritts- und Einsichtsrechte in alle betrieblichen Bereiche eingeräumt werden müssen und der Datenschutzbeauftragte in alle relevanten betrieblichen Planungs- und Entscheidungsabläufe eingebunden sein soll. Zur Erhaltung der zur Erfüllung seiner Aufgaben erforderlichen Fachkunde haben die verantwortlichen Stellen den Datenschutzbeauftragten stets auch die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen. Bei der Bestellung von externen Datenschutzbeauftragten kann die Fortbildung jedoch auch Bestandteil der vereinbarten Vergütung sein und muss in diesem Fall nicht zusätzlich bezahlt werden.
Neben Fachkunde muss der Datenschutzbeauftragte auch die nötige Zuverlässigkeit besitzen
Gemäß § 4f Abs. 3 S. 2 BDSG ist der Datenschutzbeauftragte in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er muss in der Lage sein, seine Verpflichtungen ohne Interessenkonflikte erfüllen zu können.
Düsseldorfer Kreis bestimmt für die Bestellung eines externen Datenschutzbeauftragten eine längere Vertragsdauer
Bei der Bestellung von externen Datenschutzbeauftragten muss der Dienstvertrag so ausgestaltet sein, dass eine unabhängige Erfüllung der gesetzlichen Aufgaben durch entsprechende Kündigungsfristen, Zahlungsmodalitäten, Haftungsfreistellungen und Dokumentationspflichten gewährleistet wird, so dass § 4f Abs. 3 BDSG die Vertragsfreiheit der Parteien insoweit einschränkt. Die Aufsichtsbehörden empfehlen damit grundsätzlich eine Mindestvertragslaufzeit von vier Jahren. Bei Erstverträgen wird - wegen der Notwendigkeit der Überprüfung der Eignung - grundsätzlich eine Vertragslaufzeit von ein bis zwei Jahren empfohlen.
Zum Thema "Unabhängigkeit des Datenschutzbeauftragten" finden Sie hier vertiefende Informationen www.iitr.de/datenschutz-wer-kann-die-position-des-datenschutzbeauftragten-bekleiden.html.