Beschäftigen Sie mehr als 9 Mitarbeiter, die bei Ihrer Tätigkeit personenbezogene Daten automatisiert verarbeiten, sind Sie in Ihrer Apotheke zur Bestellung eines Datenschutzbeauftragten verpflichtet. (Art. 37 Abs. 5 DSGVO).
Der Datenschutzbeauftragte (DSB) eines Unternehmens stellt eine innerbetriebliche Kontrollinstanz dar, die die Aufgaben im Sinne der DSGVO in Vertretung für die Datenschutz-Aufsichtsbehörde wahrnimmt.
Das Gesetz stellt deshalb an die Person des DSB besondere Anforderungen. So heißt es in Art. 37 Abs. 5 DSGVO: „Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“.
Ein ungeeigneter Datenschutzbeauftragter gilt als „nicht bestellt“. Dies kann für die verantwortliche Stelle, in der Regel die Unternehmensleitung, ernsthafte Konsequenzen bedeuten. Neben Bußgeldern aufgrund des formalen Versäumnisses ergeben sich auch aus etwaigen fachlichen Mängeln weitere Verstöße, die geahndet werden können.
Bisher wurden bereits mehrere Prozesse zu den Themen Fachkunde und zu bestellende Personen geführt. Besonders hervorzuheben ist die als sogenanntes „Ulmer Beschluss“ (auch „Ulmer Urteil“) bekannte Entscheidung zur Fachkunde des Landgerichts Ulm (Az.: 5T 153/90-01 LG Ulm). Die hierin genannten Anforderungen gelten in Datenschutz als richtungsweisend.
Neben der grundsätzlichen Feststellung, dass die Tätigkeit eines Datenschutzbeauftragten de facto einem Berufsbild entspricht, wurden besondere Anforderungen an den Inhaber dieser Stelle formuliert:
Um den Themenbereich der automatisierten Datenverarbeitung und deren technisch-organisatorische Maßnahmen eingängig beurteilen zu können, soll bzw. muss der Beauftragte ein Computerexperte sein. Er muss weiterhin die Vorschriften der Datenschutzgesetze des Bundes und der Länder und alle anderen den Datenschutz betreffenden Rechtsvorschriften anwenden können,
Diese Anforderungen können zwar oft von betriebsinternen Kräften, z.B. höheren Angestellten erfüllt werden, jedoch entsteht dabei häufig auch ein Interessenskonflikt. Wenn z.B. der Leiter der Personal- oder EDV-Abteilung zum DSB bestellt ist, muss er (teilweise unangekündigt!) auch seine eigenen Maßgaben und Entscheidungen prüfen und in ihrer Tätigkeit als Datenschutzbeauftragter weisungsfrei gestellt werden.
Da dies in der Regel objektiv nicht möglich ist, scheiden Geschäftsführer und leitende Angestellte als Datenschutzbeauftragte aus.
Ein weiteres Kriterium zur Auswahl eines internen Datenschutzbeauftragten ist die zeitliche Verfügbarkeit. Neben dem Schulungsaufwand zur grundlegenden Ausbildung und Prüfung ist eine regelmäßige Fortbildung obligatorisch. Beauftragte, die diese anspruchsvolle Tätigkeit neben ihrem eigentlichen Aufgabenbereich wahrnehmen, geraten häufig in zeitliche Engpässe, wenn diese im Hauptberuf bereits stark eingebunden sind.
In vielen Fällen bieten sich externe Berater an, die die geeignete Erfahrung und Fachkunde von Beginn an einbringen können. Auch entfallen zusätzlicher Zeit- und Schulungsaufwand sowie der bei Angestellten übliche besondere Kündigungsschutz. Externe Berater müssen neben der Fachkunde und persönlichen Eignung zudem in der Lage sein, sich in die Organisationsstruktur einzudenken.