Der Datenschutzbeauftragte in der DS-GVO
Kommission und Parlament möchten, unter gewissen Voraussetzungen, die Pflicht für verantwortliche Stellen und Auftragsverarbeiter vorsehen, einen Datenschutzbeauftragten zu benennen (Art. 35 DS-GVO). Der Ratsentwurf möchte eine solche Pflicht auf europäischer Ebene nicht vorgeben bzw. überlässt dies den nationalen Rechtsvorschriften.
Die Kommission möchte die Bestellungspflicht unter anderem davon abhängig machen, ob eine öffentliche Einrichtung personenbezogene Daten verarbeitet oder aber ein Unternehmen, welches 250 oder mehr Mitarbeiter beschäftigt. Abweichend hiervon verlangt das Parlament eine Bestellung, wenn eine Datenverarbeitung von einer juristischen Person durchgeführt wird und sich diese Datenverarbeitung auf mehr als 5000 betroffene Personen innerhalb von zwölf Monaten bezieht.
Alle drei Entwürfe sehen explizit die Möglichkeit vor, dass eine Gruppe von Unternehmen einen gemeinsamen bzw. Hauptdatenschutzbeauftragten ernennen kann.
Kommission und Parlament möchten zudem verpflichtend vorschreiben, für welchen Mindestzeitraum ein Datenschutzbeauftragter zu bestellen ist. Die Kommission verlangt eine Bestellung für mindestens zwei Jahre (Art. 35 Abs. 7 DS-GVO). Das Parlament sogar eine Bestellung für vier Jahre, wenn es sich um einen Beschäftigten des für die Verarbeitung Verantwortlichen handelt oder auch für zwei Jahre, wenn die Tätigkeit durch einen externen Dienstleister erfüllt wird.
Auch wenn die drei Entwürfe die Pflicht zur Bestellung des Datenschutzbeauftragten unterschiedlich regeln, so stellen sie doch gewisse Anforderungen an die Qualifikation des Datenschutzbeauftragten (Art. 35 Abs. 5 DS-GVO). So ist die jeweilige Person nach Maßgabe ihrer beruflichen Qualifikation und insbesondere ihres Fachwissens, dass sie auf dem Gebiet des Datenschutzrechts und der einschlägigen Praktiken (so Kommission und Parlament) bzw. der Datenschutzpraxis (so der Rat) besitzt, auszuwählen. Zudem muss die Fähigkeit zur Erfüllung der in Art. 37 DS-GVO gesetzlich vorgegebenen Aufgaben gegeben sein.
Zu diesen Aufgaben gehören unter anderem: Unterrichtung und Beratung des für die Verarbeitung Verantwortlichen oder des Auftragsverarbeiters zu bestehenden rechtlichen Pflichten, sowohl nach der DS-GVO als auch nach nationalen Datenschutzvorschriften; Überwachung der Umsetzung (so Kommission und Parlament) bzw. der Einhaltung (so der Rat) der Strategien für den Schutz personenbezogener Daten und der Vorgaben der DS-GVO und anderer Datenschutzvorschriften der Union oder der Mitgliedstaaten (so der Rat); Tätigkeit als Ansprechpartner für die jeweils zuständige Aufsichtsbehörde.
Selbst wenn es also am Ende zu der vom Rat präferierten Lösung kommen sollte, dass auf europäischer Ebene keine Pflicht zur Bestellung besteht, sondern dies den Mitgliedstaaten in ihrem nationalen Recht überlassen bleibt, müssen dennoch die Anforderungen an die Fähigkeiten der Person des Datenschutzbeauftragten und ihren Aufgabenumfang in der DS-GVO berücksichtigt werden.