Stellvertreter des Datenschutzbeauftragten – Pflicht oder Kür?

Die Datenschutz-Grundverordnung (DSGVO) regelt in Art. 37, in welchen Fällen der Verantwortliche und der Auftragsverarbeiter einen Datenschutzbeauftragten (DSB) zu benennen haben.

Deutschland hat mit § 38 des neuen Bundesdatenschutzgesetzes (BDSG) von der Möglichkeit Gebrauch gemacht, weitere Verarbeitungsvorgänge zu definieren, die zur Benennung eines DSB verpflichten.

Eine ausdrückliche Formulierung, ob, und wenn ja, wer als Stellvertretung eines DSB benannt werden kann oder muss, findet sich weder in der DS-GVO noch im BDSG.

Wer kann benannt werden?

Auch wenn dies noch nicht alle so sehen: Die DSGVO hat die Frage, wer zum DSB benannt werden kann – nur eine natürliche oder auch eine juristische Person – ziemlich eindeutig beantwortet.

Die klare Antwort auf diese Frage ergibt sich weniger aus der deutschen Sprachfassung, die durchgehend von „dem Datenschutzbeauftragten“ spricht, als vielmehr aus der englischen Sprachfassung von Art. 38 Abs. 2 („to maintain his or her expert knowlegde“), Abs. 3 Satz 2 („he or she shall not be dismissed“) und von Abs. 5 sowie von Art 39 Abs. 2 („his or her tasks“).

Diese genderfreundliche Bezeichnung kann sich nur auf natürliche Personen beziehen.

Wie kann und muss der DSB seine Aufgabe erfüllen?

Art. 37 Abs. 5 DSGVO beschreibt, welche persönlichen Voraussetzungen der DSB haben muss, um die Aufgaben, die ihm Art. 39 DSGVO zuweist, ordentlich erfüllen zu können.

Es ist davon auszugehen, dass dem Gesetzgeber der DSGVO bekannt war, dass es Verantwortliche in einer Größenordnung gibt, in der eine einzelne natürliche Person …