Um eine Interessenskollision zu verhindern, rate ich daher grundsätzlich dazu, die Rollen des Datenschutzbeauftragten und des IT-Sicherheitsbeauftragten personell zu trennen.
Der Beauftragte für den Datenschutz - auch extern immer eine natürliche Person
Zum Beauftragten für den Datenschutz kann auch eine Person außerhalb der verantwortlichen Stelle bestellt
werden (§ 4f Abs. 2 Satz 3 erster Halbsatz BDSG). Dabei kann es sich nur um eine natürliche Person, nicht aber
eine juristische Person oder eine Partnerschaftsgesellschaft handeln.
Die an den Beauftragten für den Datenschutz zu stellenden Anforderungen an „Fachkunde“ und „Zuverlässigkeit (§ 4f Abs. 2 Satz 1 BDSG), sowie die in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes
bestehende Weisungsfreiheit (§ 4f Abs. 3 Satz 2 BDSG) sind von Gesetzes wegen - was auf der Hand liegt - auf
natürliche Personen hin formuliert und gelten ebenso für Beauftragte für den Datenschutz außerhalb der verantwortlichen Stelle. Betroffene, die sich vertraulich an die Person des Beauftragten für den Datenschutz wenden
möchten, könnten bei einer juristischen Person oder einer Partnergesellschaft als externem Datenschutzbeauftragten zudem nicht sicher sein, dass die Person, der das Anliegen vorgetragen wird, sie tatsächlich vertritt und
auch weiterhin als Organ der juristischen Person tätig sein wird, zumal sich die Zusammensetzung der natürlichen Personen als Organe einer juristischen Person ändern kann. Zuletzt ist eine juristische Person nicht in der
Lage, verschwiegen zu sein (§ 4f Abs. 4 BDSG); dies können nur natürliche Personen.
Auch die DSGVO geht grundsätzlich von dem Verständnis aus, dass nur natürliche Personen die Anforderungen
an Fachkunde und Eignung erfüllen können. In den Leitlinien der Artikel-29-Gruppe (s. oben Nr. 1.6) wird zwar
akzeptiert, dass externer Datenschutzbeauftragter auch eine juristische Person sein könne. Allerdings müsse
dann jede (natürliche) Person, die innerhalb dieser Organisation Funktionen des Datenschutzbeauftragten wahrnimmt, sämtliche Voraussetzungen für die Benennung eines Datenschutzbeauftragten erfüllen. Dabei sollten in
einem Team klare Verantwortlichkeiten festgelegt und eine Person als primärer Ansprechpartner festgelegt
werden.
Amtszeit des Beauftragten für den Datenschutz
Die Bestellung des Beauftragten für den Datenschutz erfolgt grundsätzlich ohne zeitliche Einschränkung auf
unbestimmte Zeit. Insbesondere enthält § 4f BDSG keine besonderen Regelungen für eine feste Amtszeit oder
die Möglichkeit zur befristeten Bestellung des Datenschutzbeauftragten.
Allerdings ist nach überwiegender Ansicht, die ich teile, eine befristete Bestellung trotzdem möglich. Dem gleichen Rechtsgedanken folgend enthalten beispielsweise die Landesdatenschutzgesetze Mecklenburg-Vorpommerns und Thüringens bereits ausdrückliche Regelungen zur Befristung bzw. zu einer festen
Amtszeit.
Eine Befristung ist allerdings dann rechtswidrig, wenn sie den Datenschutzbeauftragten an der ordnungsgemäßen Erfüllung seiner Aufgaben hindert oder mit den Schutzvorschriften des § 4f Absatz 3 BDSG kollidiert, was
insbesondere bei zu kurzen Befristungen der Fall wäre.
Eine zu knapp bemessene Befristung hindert den Datenschutzbeauftragten beispielsweise daran, intensive Prüfungen besonders schwieriger Sachverhalte durchzuführen und könnte gegebenenfalls auch zur Umgehung des
Abberufungsschutzes missbraucht werden. In der Regel kann daher erst eine Befristungsdauer von mindestens
vier Jahren als rechtmäßig anerkannt werden. Kürzere Befristungen müssten dagegen besonders begründet werden oder aufgrund der Eigenart der jeweiligen Dienststelle notwendig sein.
Die Befristung ist dabei stets frei von weiteren Bedingungen außerhalb des Zeitablaufs zu halten, da der Sinn
und Zweck der besonderen Schutzvorschriften nicht vereinbar mit auflösenden Bedingungen ist.
BfDI 26. Tätigkeitsbericht 2015-2016
– 51 –