- Nachweisbare Fachkunde
- Juristische Kenntnisse
- IT-Kenntnisse
- Betriebswirtschaftliche Kenntnisse
- Zuverlässigkeit
- Neutralität
Zum Datenschutzbeauftragten eines Unternehmens darf also nur bestellt werden, wer die erforderliche Sachkunde und Zuverlässigkeit besitzt (§ 4f BDSG). Ob ein Arbeitnehmer des Unternehmens diese Voraussetzungen erfüllt, bestimmt sich nach dem individuellen Einzelfall und hängt davon ab, um welche Daten es sich im bestimmten Fall handelt. Je größer der Kreis der von den Daten betroffenen Personen ist und je sensibler die Daten, desto höhere Anforderungen sind an die Fähigkeiten des internen Arbeitnehmers zu stellen. Merkmale für die Beurteilung der Zuverlässigkeit können beispielsweise persönliche Eigenschaften wie Verschwiegenheit, Verantwortungsbewusstsein und Integrität sein.
Die Zuverlässigkeit und Integrität eines Mitarbeiters sollte vor allem dann in Frage gestellt werden, wenn dem Datenschutzbeauftragten auch andere Tätigkeiten anvertraut sind und es dadurch zu Interessenkonflikten kommt. Sobald also ein Arbeitnehmer in seiner Tätigkeit als Datenschutzbeauftragter regelmäßig auch sich selbst kontrollieren müsste, scheidet dieser als adäquater Datenschutzbeauftragter aus. In diesem Fall muss ein externer Datenschutzbeauftragter bestellt werden. Es muss zusammenfassend gewährleistet sein, dass der Arbeitnehmer in der Funktion als Datenschutzbeauftragter jederzeit unabhängig agieren und eventuelle Verstöße des Unternehmens gegen gesetzliche Datenschutzbestimmungen beanstanden kann.
Neben den bereits erläuterten persönlichen Anforderungen sollte der Beauftragte auch fachliche Kenntnisse vorweisen können. Diese sind bei einem externen Datenschutzbeauftragten meist umfassender und tiefgehender vorhanden als bei einem innerbetrieblichen. Was unter der gesetzlich vorgeschriebenen „Sachkunde“ im Einzelnen gemeint ist, ergibt sich aber mit Blick auf die zu erfüllenden Aufgaben. Der Beauftragte muss zunächst umfassende IT-Kenntnisse vorweisen, um die fachgerechte Verwendung der Datenverarbeitungsprogramme sicherzustellen. Nur wenn er über den nötigen Sachverstand verfügt, um die technischen Vorgänge der Datenverarbeitung zu verstehen, kann er beurteilen, ob diese den datenschutzrechtlichen Vorgaben genügen. Darüber hinaus sind tiefergehende juristische und betrieblichswirtschaftliche Kenntnisse erforderlich. Insbesondere muss der Datenschutzbeauftragte fortlaufend über die gesetzlichen Bestimmungen und etwaige Änderungen im Bereich des Datenschutzrechts informiert sein. Vor allem zertifizierte externe Datenschutzbeauftragte können diese Fachkenntnisse vorweisen. Überdies verfügen sie aufgrund ihrer Tätigkeit Erfahrungswerte, aus denen sie schöpfen können.