Art. 37 Abs. 5 DSGVO legt fest, dass zum Beauftragten für den Datenschutz nur benannt werden darf, wer die erforderliche Fachkunde und Zuverlässigkeit besitzt. Die Anforderungen, die an den Datenschutzbeauftragten zu stellen sind, hängen auch von der Kanzleigröße, der Zahl der Mitarbeiter, dem Umfang und der Art der Datenverarbeitung ab.
Grundsätzlich ist ein Mitarbeiter aus dem EDV-Bereich besser geeignet als Mitarbeiter ohne ausreichende EDV-Kenntnisse, soweit es nicht zur Selbstkontrolle kommt. Der Datenschutzbeauftragte und der Administrator sind grundsätzlich personenverschieden. Der Datenschutzbeauftragte muss aber auf jeden Fall fachkundig und zuverlässig sein, um die Aufgaben gem. Art. 39 DSGVO erfüllen zu können. Ein beliebiger Mitarbeiter scheidet damit aus.
4.1 Fachkunde
Einen einheitlichen Nachweis der Fachkunde gibt es nicht. Fachkundig ist jemand, der
- die Vorschriften des Bundes und der Länder und sonstige den Datenschutz betreffende Rechtsvorschriften kennt und anwenden kann;
- Computerexperte ist;
- die betriebliche Organisation kennt;
- didaktische Fähigkeiten hat;
- psychologisches Einfühlungsvermögen, Organisationstalent besitzt etc.;
- mit Konflikten um seine Position, seine Funktion und Aufgabe angemessen umgehen kann.
Da das Gesetz selbst keine näheren Ausführungen zum Umfang der Fachkunde macht, kommt derjenige Mitarbeiter in Betracht, der PC-Anwender ist, Freude am Umgang mit dem PC hat und bereit ist, sich mit dem BDSG und den vorgeschriebenen Aufgaben zu befassen.
Externer Lehrgang ist sinnvoll
Der Besuch eines externen Lehrgangs, der gesetzlich nicht vorgeschrieben ist, ist sinnvoll.
4.2 Zuverlässigkeit
Die Zuverlässigkeit ist eng verbunden mit der persönlichen Integrität des Menschen. Ungeeignet ist z. B. ein Mitarbeiter, der in der Vergangenheit bereits seine Verschwiegenheitspflicht verletzt hat. Der Steuerberater sollte daher einen "Freiwilligen" benennen, dessen Kenntnisse fördern, ihn unabhängig der gesetzlichen Vorschriften umfassend unterstützen und v. a. die Aufgabe des Datenschutzbeauftragten innerhalb der regulären Arbeitszeit ausüben lassen ohne zusätzliche Belastung. Der Datenschutzbeauftragte sollte daher in sinnvoller Weise von anderen Aufgaben entlastet werden. Er muss sorgfältiges, gewissenhaftes und gründliches Arbeiten gewohnt sein.
Widerruf der Bestellung
Es besteht die Möglichkeit, die Bestellung analog § 626 BGB aus schwerwiegenden Gründen zu widerrufen (§ 6 Abs. 4 BDSG). Weder die Entscheidung des Arbeitgebers, zukünftig die Aufgaben eines Beauftragten für den Datenschutz durch einen externen Dritten wahrnehmen zu lassen, noch die Mitgliedschaft im Betriebsrat stellen einen wichtigen Grund für den Widerruf dar.