Datenverarbeitende Stellen, die personenbezogene Daten automatisiert verarbeiten müssen einen Beauftragten für den Datenschutz bestellen. Die Bestellung muss schriftlich erfolgen. Schriftform bedeutet, dass sie im Original von den jeweils Vertretungsberechtigten unterzeichnet werden muss. Die Bestellung hat bei nicht öffentlichen Stellen binnen eines Monats nach Aufnahme der Tätigkeit (also der Verarbeitung der personenbezogenen Daten) zu erfolgen. Die Pflicht zur Bestellung eines Datenschutzbeauftragten entfällt lediglich dann, wenn in der Regel höchstens neun Personen ständig mit der automatisierten Verarbeitung der personenbezogenen Daten beschäftigt sind. Diese Ausnahme greift dort nicht, wo in der betroffenen Stelle Adresshandel bzw. Markt- und Meinungsforschung betrieben werden.
Wer darf nun zum Datenschutzbeauftragten bestellt werden? Hierfür sind zwei Kriterien maßgeblich. Die entsprechende Person muss zum einen die für die Erfüllung der Aufgaben erforderliche Fachkunde besitzen. Zum anderen muss sie die entsprechende Zuverlässigkeit aufweisen. Die Anforderungen an die erforderliche Fachkunde bestimmen sich nach den konkreten Gegebenheiten, insbesondere nach dem Umfang der Datenverarbeitung in der verantwortlichen Stelle und dem Schutz bedachte personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet.
Damit kommen sowohl einer Bestellung eines internen (Arbeitnehmers) als auch eines externen (eines Unternehmens oder sonstigen einzelnen Menschen) in Betracht.
Bei der Auswahl eines Datenschutzbeauftragten hat der Gesetzgeber vorgesehen, dass den Datenschutzbeauftragten Weisungsfreiheit und ein erhöhter Schutz gewährt werden muss. So ist der Datenschutzbeauftragte unmittelbar der Geschäftsleitung zu unterstellen. Er ist zudem in Bezug auf die Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes völlig Weisungsfrei. Es besteht zu seinen Gunsten ein Benachteiligungsverbot wegen der Erfüllung seiner Aufgaben. Bei internen Datenschutzbeauftragten besteht zudem ein Sonderkündigungsschutz vergleichbar mit dem Sonderkündigungsschutz von Schwangeren oder schwerbehinderten Menschen. Zudem sehen Gesetzgeber und Rechtssprechung es als erforderlich an, dass eine Person ausgewählt wird, die auch innerhalb der Betriebsorganisation organisatorisch nicht dem durch sie zur kontrollierenden Bereich zugeordnet ist. So ist zum Beispiel die Bestellung eines IT-Leiters zum Datenschutzbeauftragen unzulässig – der IT-Leiter müsste sich und seinem von ihm geleiteten Bereich sonst praktisch selbst kontrollieren.
Da dem Datenschutzbeauftragten trifft eine besondere Verschwiegenheitspflicht hinsichtlich Identität von Betroffenen und solchen Umständen, die Rückschlüsse auf die Betroffenen zulassen.
Der Datenschutzbeauftragte hat auf die Einhaltung der Datenschutzgesetze hinzuwirken. Das heißt, dass er sämtliche von ihm festgestellte Verstöße bei der Geschäftsleitung anzusprechen und deren Beseitigung anzumahnen hat. Ihn trifft insoweit eine Überwachungspflicht. Zudem hat er die innerhalb der verantwortlichen Stelle mit der Bearbeitung der personenbezogenen Daten tätigen Personen in geeigneter Weise mit den Erfordernissen des Datenschutzes vertraut zu machen. Diese Aufgaben machen ihn „unbequem“.
Nietzer&Häusler bietet Vorträge zu diesem Thema an, Herr Prof. Nietzer kann zudem als Datenschutzbeauftragter fungieren.
