Jedes Unternehmen sollte einen Datenschutzbeauftragten haben. Für Unternehmen mit mindestens 20 Personen, die sich ständig mit personenbezogenen Daten am Computer auseinandersetzen ist dies nach § 38 BDSG sogar gesetzliche Pflicht.
Das Unternehmen hat dabei nach Art. 37 DSGVO die Wahl, ob es einen eigenen Beschäftigten zum Datenschutzbeauftragten benennt oder aber einen externen Dienstleister.
Anforderungen an den Datenschutzbeauftragten
Damit eine beim Unternehmen beschäftigte Person interner Datenschutzbeauftragter sein kann, muss diese Person einige Voraussetzungen erfüllen. So muss sie auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis qualifiziert sein und Fachwissen besitzen, um die gesetzlich genannten Aufgaben Unterrichtung und Beratung im Datenschutzrecht und Überwachung der Einhaltung der Vorschriften erfüllen zu können.
Der Datenschutzbeauftragte muss dazu datenschutzrechtliche Bestimmungen im Blick haben, die einschlägige Rechtsprechung oder auch Äußerungen von Aufsichtsbehörden zum Datenschutz auf nationaler und europäischer Ebene kennen.
Aufgrund der Komplexität der Aufgaben eines Datenschutzbeauftragten stellt sich die Frage, ob auch befristet Beschäftigte zum Datenschutzbeauftragten benannt werden können.
Befristet oder unbefristet? Beides ist möglich
Grundsätzlich kann eine Bestellung befristet oder unbefristet erfolgen. Die DSGVO macht hier keine Vorgaben. In den Verhandlungen zwischen den EU-Organen zur DSGVO hatte das Parlament in Art. 35 Abs. 7 den Vorschlag gemacht, dass eine beschäftigte Person als interner Datenschutzbeauftragter für mindestens vier Jahre benannt werden müsse, die Kommission schlug zwei Jahre vor. Am Ende wurde in den Verhandlungen keine Regelung zu Mindestlaufzeiten aufgenommen. Augenscheinlich wollte der Gesetzgeber hier keine Vorgaben einer Mindestlaufzeit machen.
Aber: Die Mindestdauer der Befristung ist wichtig
Dies bedeutet aber nicht, dass eine Mindestdauer einer Benennung nicht rechtlich geboten ist, auch wenn es sich nicht direkt aus dem Gesetzestext ergibt.
Zur alten Rechtslage, die ebenfalls keine Mindestdauer einer Bestellung vorsah, äußerte sich die hessische Datenschutzaufsichtsbehörde (vgl. Hessischer Landtag, Drucksache 15/4659, S. 47). Die Behörde sah hier durchaus eine Möglichkeit einer befristeten Bestellung aus wichtigem Grund, wenn etwa der ursprünglich bestellte Datenschutzbeauftragte wegen Krankheit ausfällt.
Allerdings ist aufgrund der Komplexität der Aufgabe nicht davon auszugehen, dass eine intern beschäftigte Person nur für einen kurzen Zeitraum von wenigen Monaten bestellt werden kann.
So muss die Person möglicherweise zunächst Schulungen durchlaufen, um die in Art. 37 Abs. 5 DSGVO geforderten Qualifikationen zu erhalten. Je nach Größe des Unternehmens muss die benannte Person sich erst in die Strukturen einarbeiten, um einen Überblick sowohl über die Datenflüsse innerhalb des Unternehmens als auch über die Datenflüsse nach außen zu erhalten. Weiter muss sie abschätzen, wo aus datenschutzrechtlicher Sicht Handlungsbedarf besteht und entsprechende Strategien entwickeln, die der Geschäftsführung vorgestellt und mit ihr besprochen werden müssen.
Dies kann sich bis zu einem Jahr hinziehen, insbesondere, wenn es um ein Unternehmen geht, das in eine Konzernstruktur eingebettet ist. Danach beginnt die eigentliche Arbeit der Überwachung der Umsetzung des identifizierten Handlungsbedarfs und der Einführung datenschutzrechtlicher Prozesse durch das Unternehmen, um die Einhaltung des Datenschutzes gewährleisten zu können. Auch dies kann sich wiederum mehrere Monate hinziehen, bis man auf einen Stand gelangt, von dem man sagen kann, dass das Unternehmen sich datenschutzrechtlich in einer guten Ausgangsposition befindet.
Mindestens zwei Jahre Bestelldauer
Ausgehend von dieser Überlegung ist davon auszugehen, dass eine Bestellung für mindestens zwei Jahre erfolgen sollte. So hat die benannte Person die Möglichkeit, ihre Aufgaben aus Art. 37 DSGVO zu erfüllen. Der Gesetzgeber verpflichtet die Unternehmen in Art. 39 Abs. 2 DSGVO dazu, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben die erforderlichen Ressourcen zur Verfügung stellt. Dies bezieht damit auch die Zeit ein, die eine benannte Person benötigt, um sich einzuarbeiten und effektiv Prozesse zu prüfen.
Eine kürzere Benennung ist nach Ansicht der Aufsichtsbehörde Hessen möglich bei Vertretung des Datenschutzbeauftragten wegen Krankheit, Elternzeit etc. Wie effektiv eine Vertretung dann aber sein kann, wenn die Vertretung kein entsprechendes Wissen besitzt, sei aber einmal dahingestellt. Aus praktischer Sicht wäre von vornherein die Planung einer Vertretung sinnvoll oder ggf. eine Bestellung eines externen Datenschutzbeauftragten für die Vertretungszeit. Dieser hätte den Vorteil, dass er die Fachkunde besitzt und sich schnell und routiniert in vorhandene Prozesse einarbeiten kann.