Die Funktion des Datenschutzbeauftragten umfasst sämtliche Tätigkeiten im Zusammenhang mit der Nutzung personenbezogener Daten und deren angemessenem Schutz. Dazu gehören neben laufender Überwachung der Einhaltung der gesetzlichen Bestimmungen und innerbetrieblichen Regeln auch die Verbreitung und Festigung datenschutzrechtlichen Bewusstseins und Wissens. Durch den Datenschutzbeauftragten gibt es einen zentralen Ansprechpartner und Verantwortlichen für alle datenschutzrelevanten Themen eines Unternehmens bzw Organisation. Dieser verfügt durch eine entsprechende Aus- und laufende einschlägige Weiterbildung über das erforderliche Fachwissen. Um seine Aufgabe wirksam wahrnehmen zu können, muss der Datenschutzbeauftragte in seiner Rolle unabhängig und weisungsfrei agieren können und mit entsprechenden Kompetenzen ausgestattet sein. Nur bei Vorliegen dieser Voraussetzungen kann der Datenschutzbeauftragte auch seine Verantwortung wahrnehmen und seine Rolle wirksam ausfüllen. In größeren Unternehmen und auch Organisationen hat sich die Installation eines „IT & Datenschutz-Beirates“ (kurz IDB; © O.P.P.) bewährt. Als Mitglieder des IDB sind Personen in leitender Funktion zu berufen, in deren Verantwortungsbereich personenbezogene Daten anfallen bzw. verarbeitet werden. In diesem Gremium werden einschlägige Themen behandelt, diskutiert und einer Entscheidung zugeführt. Der betriebliche Datenschutzbeauftragte steht diesem Gremium beratend zur Seite und ist für die Umsetzung bzw. fachliche Begleitung erforderlicher Maßnahmen verantwortlich.

Benennung eines Datenschutzbeauftragten (Artikel 37 DSGVO):

Der Verantwortliche und der Auftragsverarbeiter müssen einen Datenschutzbeauftragten (kurz DSBa) benennen, wenn

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird […]

b) die Kerntätigkeit in der Durchführung von Verarbeitungs­vorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Eine Unternehmensgruppe darf einen gemeinsamen DBSa benennen.

Der DSBa wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben. Der DSBa kann Beschäftigter sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. Die Kontaktdaten des DSBa sind der Aufsichtsbehörde mitzuteilen.

Artikel 38 DSGVO normiert die Stellung des Datenschutzbeauftragten: Der DSBa ist frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Dem DSBa sind die erforderlichen Ressourcen zur Verfügung zu stellen (inkl. Weiterbildung). Der DSBa ist bei der Erfüllung seiner Aufgaben weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Er berichtet unmittelbar an die höchste Managementebene. Betroffene können den DSBa zur Verarbeitung ihrer Daten befragen und im Zusammenhang mit der Wahrnehmung ihrer Rechte zu Rate ziehen. Der DSBa ist bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung gebunden. Der DSBa kann andere Aufgaben und Pflichten wahrnehmen, soweit dies nicht zu einem Interessenkonflikt führt.

Artikel 39 DSGVO normiert die Aufgaben des Datenschutzbeauftragter: a) Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, hinsichtlich ihrer Pflichten; b) Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien für den Schutz personenbezogener Daten (Zuweisung von Zuständigkeiten; Sensibilisierung und Schulung der an den Verarbeitungs­vorgängen beteiligten Mitarbeiter und diesbezügliche Überprüfungen); c) Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung; d) Zusammenarbeit mit der Aufsichtsbehörde; e) Anlaufstelle für die Aufsichtsbehörde (einschließlich der vorherigen Konsultation)