Unabhängig von der Anzahl der mit der Datenverarbeitung beschäftigten Personen sind Datenschutzbeauftragte zu bestellen, wenn besonders sensitive Daten wie Gesundheitsdaten geschäftsmäßig verarbeitet werden (§ 4f Abs. 1 S. 6 BDSG).
Bei einem Unternehmenskonzern mit verschiedenen Tochtergesellschaften muss für jedes einzelne Unternehmen ein Datenschutzbeauftragter bestellt wird.
Es kann sowohl ein interner als auch ein externer Datenschutzbeauftragter bestellt werden. Einem internen Datenschutzbeauftragten steht ein besonderer Kündigungsschutz (§ 4f Abs. 3 S. 5 BDSG) zu.
Ein Unternehmen, das einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, handelt ordnungswidrig und kann mit einer Geldbuße bis zu 50.000,00 € belegt werden (§ 43 Abs. 1 Nr. 2, Abs. 3 S. 1 BDSG).
Der Datenschutzbeauftragte muss die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzen (§ 4f Abs. 2 S. 1 BDSG). Wird jemand als betrieblicher Datenschutzbeauftragter bestellt, der diese Fachkunde bzw. Zuverlässigkeit nicht besitzt, steht dies einer Nichtbestellung gleich.
Aufgaben Der Datenschutzbeauftragte hat auf die Einhaltung des BDSG und anderer Vorschriften zum Datenschutz wie beispielsweise das TKG, das TMG, das EnWG, das UVPG (§ 10) und das GGBefG (§ 9a) hinzuwirken (§ 4g Abs. 1 S. 1 BDSG). Er analysiert und kontrolliert das Datenschutzniveau, überwacht die Datenverarbeitungsprogramme und den Einsatz präventiver Maßnahmen wie Schulungen, macht Vorschläge zur Verbesserung der Datenschutzorganisation im Unternehmen und führt das Verfahrensverzeichnis gemäß §4g Abs. 2 BDSG über die Art und Umfang der Datenverarbeitung im Unternehmen. Er selbst hat keine Entscheidungsgewalt, sondern ist organisatorisch der Geschäftsleitung unterstellt (§ 4f Abs. 3 S. 1 BDSG). Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden (§ 4f Absatz 3 S. 2,3 BDSG).
Fortbildung Zur Erhaltung der erforderlichen Fachkunde und Zuverlässigkeit muss dem Datenschutzbeauftragten die – kostenfreie – Teilnahme an Fort- und Weiterbildungsveranstaltungen ermöglicht werden (§ 4f Abs. 3 Satz 7, Abs. 2 BDSG). Das Virtuelle Datenschutzbüro listet regelmäßig Fortbildungsangebote im Bereich Datenschutz und Datensicherheit auf und nennt Institutionen/Anbieter, die Schulungen zu datenschutzrechtlichen Themen durchführen.
Zusätzlicher Hinweis Umfassende Informationen zum Datenschutzbeauftragen enthält die von der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit 2014 herausgegebene Broschüre BfDI – Info 4.