Stellung und Aufgabe des Datenschutzbeauftragten ist in §§ 4f und 4g BDSG (Bundesdatenschutzgesetz) geregelt.
Demnach müssen öffentliche Stellen (Behörden u.ä.) und nicht-öffentliche Stellen (Unternehmen, Vereine usw.) einen Datenschutzbeauftragten bestellen, wenn bestimmte Voraussetzungen erfüllt sind. Werden beispielsweise personenbezogene Daten (§ 3 Abs. 1 BDSG) in einer nicht-öffentlichen Stelle durch neun oder mehr Mitarbeiter automatisiert erhoben, verarbeitet oder genutzt, ist ein Datenschutzbeauftragter zu bestellen (Wird ein Datenschutzbeauftragter benötigt?).
In § 4f Abs. 2 Satz 1 BDSG werden bestimmte Anforderungen an die Person des Datenschutzbeauftragten gestellt:
- Er muss die "erforderliche Fachkunde" besitzen, das heißt vertiefte Kenntnisse der Informationstechnik, der (Datenschutz-) Gesetze und Einblick in die betriebliche Organisation.
- Zum anderen muss er die "erforderliche Zuverlässigkeit" besitzen.
Nach herrschender Meinung darf ein leitender Beschäftigter nicht zum Datenschutzbeauftragten bestellt werden, weil sonst eine Interessenkollision zwischen den Interessen des Unternehmens und des Datenschutzes eintreten könnte. Ob ein Betriebsratsmitglied bestellt werden darf, ist in Rechtsprechung und Literatur umstritten.
Der Datenschutzbeauftragte muss kein Mitarbeiter sein. Nach § 4f Abs. 2 Satz 3 BDSG ist ausdrücklich auch ein externer Datenschutzbeauftragter zulässig.
Die größten Interessenvertretungen der Datenschutzbeauftragten in Deutschland werden durch den Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. und die Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. abgebildet.
Neben betrieblichen Datenschutzbeauftragten gibt es auch Datenschutzbeauftragte der Bundesländer. Deren genaue Zuständigkeit ist nicht einheitlich, denn sie bestimmt sich nach LandesRecht.
So ist etwa der Datenschutzbeauftragte in Berlin für die Überwachung öffentlicher und privater Stellen zuständig.
Der in Sachsen hingegen nur für öffentliche Stellen. Für die Überwachung privater Stellen hingegen das Innenministerium (weiss ich zufällig, habe aber keine Fundstelle zur Hand).
Es gibt eine entsprechende Ermächtigung in § 38 Abs 6 BDSG: "(6) Die Landesregierungen oder die von ihnen ermächtigten Stellen bestimmen die für die Kontrolle der Durchführung des Datenschutzes im Anwendungsbereich dieses Abschnittes zuständigen Aufsichtsbehörden."
Von dieser Ermächtigung hat die sächsische Lnadesregierung Gebrauch gemacht und die "Verordnung der Sächsischen Staatsregierung über die Regelung der Zuständigkeit der Aufsichtsbehörden nach § 38 Abs. 6 des Bundesdatenschutzgesetzes vom 27.08.1991 (SächsGVBl. 1991, S. 324)" erlassen. Leider ist das Ding nicht online...
Auf der Homepage des Bundesdatenschutzbeauftragten gibt es eine Liste der Landesdatenschutzbeauftragten sowie der Aufsichtsbehörden für den nicht-öffentlichen Bereich.
Siehe die Linkliste unter DatenSchutz.
siehe auch: DatenSchutz