Im Grunde kann jeder zum Datenschutzbeauftragten benannt werden. In Artikel 37 Absätze 5 und 6 DSGVO stehen jedoch einige Punkte, die zu beachten sind.

Artikel 37 Absätze 5 und 6 DSGVO

(5) Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.

(6)Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.

Den Absatz 5 muss man so interpretieren, dass ein Datenschutzbeauftragter eine gute Ausbildung mindestens im Datenschutzrecht absolviert hat und genau weiß, wie man dieses theoretische Wissen in den Arbeitsalltag des Unternehmens einbringt.

Ich bin zum Beispiel Volljurist und habe viele Jahre als Rechtsanwalt im IT- und Datenschutzrecht beraten. Meine Expertenerfahrungen bringe ich seit 2011 als externer Datenschutzbeauftragter* und Datenschutzauditor* für mittelständische nationale und internationale Unternehmen ein und habe in dieser Zeit weit über 100 Firmen der unterschiedlichsten Branchen betreuen dürfen.

*TÜV® Rheinland geprüfte Qualifikation

Absatz 6 zeigt auf, dass ein Datenschutzbeauftragter intern oder extern bestellt werden kann. Ist er intern bestellt, dann handelt es sich eben um einen Beschäftigten bzw. Mitarbeiter des Verantwortlichen. In diesem Fall sind bestimmte rechtliche Aspekte zu beachten, die ich an anderer Stelle behandeln werde. An dieser Stelle nur der Hinweis, dass die unterschiedlichen Aufgaben und Pflichten des internen Datenschutzbeauftragten nicht zu einem Interessenkonflikt führen dürfen. Aus diesem Grunde kann z.B. der Leiter der IT-Abteilung nicht interner Datenschutzbeauftragter sein, da er sich dann ja quasi selbst überwachen müsste. Auch der Geschäftsführer kann nicht Datenschutzbeauftragter im eigenen Unternehmen sein.

Im Gegensatz zum internen Datenschutzbeauftragten gehört der externe nicht zur Organisation des Verantwortlichen; er wird aufgrund eines gesonderten Dienstleistungsvertrages verpflichtet und in einem gesonderten Dokument benannt.