Wer darf Datenschutzbeauftragter werden? – Anforderungen nach Art. 37 Abs. 5 DSGVO  

Die Datenschutz-Grundverordnung (DSGVO) verpflichtet viele Unternehmen und Behörden zur Benennung eines Datenschutzbeauftragten (DSB). Doch wer darf diese Rolle eigentlich übernehmen? Die Antwort darauf gibt Art. 37 Abs. 5 DSGVO. In diesem Beitrag erfahren Sie, welche Qualifikationen ein Datenschutzbeauftragter mitbringen muss und worauf es bei der Auswahl ankommt. 

1. Gesetzliche Grundlage: Art. 37 Abs. 5 DSGVO 

Art. 37 Abs. 5 DSGVO lautet: 

„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“ 

Daraus lassen sich drei zentrale Anforderungen ableiten: 

• Berufliche Qualifikation 

• Fachwissen im Datenschutzrecht und in der Datenschutzpraxis 

• Fähigkeit zur Aufgabenwahrnehmung gemäß Art. 39 DSGVO 

Diese Anforderungen gelten unabhängig davon, ob es sich um einen internen oder externen Datenschutzbeauftragten handelt. 

2. Erwägungsgrund 97 DSGVO: Weitere Konkretisierung 

Erwägungsgrund Nr. 97 ergänzt die Vorschrift des Art. 37 Abs. 5 DSGVO um wichtige inhaltliche Aspekte. Dort heißt es u. a.: 

„Der Datenschutzbeauftragte sollte aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benannt werden. […] Die erforderliche Fachkunde sollte sich an den durchgeführten Datenverarbeitungsvorgängen und dem Schutzbedarf der personenbezogenen Daten orientieren. Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können. Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“ 

Was bedeutet das konkret? 

• Branchenspezifische Kenntnisse sind entscheidend: Die DSGVO verlangt kein abstraktes Mindestmaß an Datenschutzwissen. Vielmehr muss das Know-how zur konkreten Verarbeitungstätigkeit passen. Ein DSB in einem Krankenhaus muss andere Anforderungen erfüllen als einer bei einem Software-Anbieter. 

• Recht und Praxis im Fokus: Neben rechtlichen Kenntnissen (z. B. DSGVO, BDSG, ePrivacy-Verordnung) sind auch technische und organisatorische Aspekte relevant – insbesondere die Fähigkeit, datenschutzkonforme Prozesse zu entwickeln und zu bewerten. 

• Stetige Weiterbildung: Datenschutz ist ein dynamisches Rechtsgebiet. Ein DSB muss sich kontinuierlich fortbilden, um wirksam agieren zu können. 

• Unabhängigkeit muss gewährleistet bleiben: Es muss eine Person ausgewählt werden, welche die Aufgaben in „vollständiger Unabhängigkeit“ erledigen kann. Das heißt, dass es insbesondere keinen internen Interessenskonflikte geben darf. 

• Stetige Weiterbildung: Datenschutz ist ein dynamisches Rechtsgebiet. Neue gesetzliche Anforderungen, technische Entwicklungen, Rechtsprechung und aufsichtsbehördliche Leitlinien verändern regelmäßig die Anforderungen an ein wirksames Datenschutzmanagement. Um dieser Entwicklung gerecht zu werden, ist eine kontinuierliche Fortbildung des Datenschutzbeauftragten unerlässlich. Schulungen, Fachliteratur, Zertifikatskurse oder der Austausch in Fachkreisen sind geeignete Mittel, um die Fachkunde dauerhaft sicherzustellen und gegenüber der Aufsichtsbehörde nachweisen zu können. 

3. Wer darf konkret Datenschutzbeauftragter sein? 

Auf Grundlage der DSGVO dürfen folgende Personen Datenschutzbeauftragte werden: 

• Interne Mitarbeitende: Angestellte des Unternehmens können benannt werden, sofern sie die fachlichen Voraussetzungen erfüllen und keine Interessenkonflikte bestehen. 

• Externe Dienstleister: Auch Berater oder spezialisierte Kanzleien können die Rolle übernehmen – ein Modell, das insbesondere für KMU attraktiv ist. 

Geschäftsführer, IT-Leiter oder HR-Leiter sind oft nicht geeignet, da hier ein Interessenkonflikt mit anderen Aufgaben bestehen kann. 

4. Interessenkonflikte vermeiden 

Ein oft übersehener Punkt ist der Interessenkonflikt. Der Datenschutzbeauftragte muss unabhängig agieren können. Das bedeutet: 

• Er darf keine Position innehaben, die über die Zwecke oder Mittel der Datenverarbeitung entscheidet. 

• Es besteht ein Konflikt, wenn der DSB seine eigenen Entscheidungen überwachen müsste. 

Daher ist bei internen Benennungen besondere Sorgfalt geboten. Auch die Bestellung eines aufgrund seines Interessenkonfliktes ungeeigneten DSB ist bußgeldbewährt! 

Fazit: Die richtige Auswahl zählt 

Nicht jeder darf Datenschutzbeauftragter werden und nicht jeder sollte es werden. Art. 37 Abs. 5 DSGVO und Erwägungsgrund 97 zeigen klar: Es kommt auf Fachkunde, Praxiserfahrung und Unabhängigkeit an. Unternehmen sollten daher bei der Auswahl sorgfältig prüfen, ob die benannte Person tatsächlich alle Anforderungen erfüllt. 

Unser Tipp:

Stellen Sie sicher, dass Ihr Datenschutzbeauftragter keine Interessenskonflikte hat. Dokumentieren Sie seine Fachkunde und regelmäßige Weiterbildungen.