Nach § 4f des Bundesdatenschutzgesetzes (BDSG) ist ein Datenschutzbeauftragter in jedem Unternehmen zu bestellen, in dem mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Unabhängig von der Anzahl der Mitarbeiter ist die Bestellung bei bestimmten Arten der Verarbeitungstätigkeit erforderlich, etwa bei der geschäftsmäßigen Übermittlung von personenbezogenen Daten, wie es bei Auskunfteien, Adressmaklern oder Markt- und Meinungsforschungsinstituten der Fall ist.
In seiner fachlichen Tätigkeit ist der DSB weisungsfrei. Er ist der Leitung der verantwortlichen Stelle unmittelbar zu unterstellen und darf auch bei unpopulären Stellungnahmen oder Vorschlägen nicht benachteiligt werden.
Durch die Umgehung jeglicher Hierarchiestufen soll er Fragen zum betrieblichen Datenschutz direkt bei der Leitung platzieren können. Die Weisungsfreiheit bietet ihm die ausdrücklich geforderte Unabhängigkeit. Das Benachteiligungsverbot sichert ihm die neutrale Ausübung seiner Tätigkeit.
Der DSB trägt erhebliche Verantwortung, und mit der zunehmenden Komplexität der gesetzlichen Regelungen vergrößert sich sein Aufgabenbereich ständig. Die klassischen Aufgabenschwerpunkte des Datenschutzbeauftragten nach BDSG sind:
§ 4f Abs. 2 Satz 1 BDSG regelt, dass zum Beauftragten für den Datenschutz nur bestellt werden darf, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Das heißt, er muss bereits bei Aufnahme seiner Tätigkeit über genügend rechtliche, technische und organisatorische Kenntnisse verfügen. Das Maß der Fachkunde bestimmt sich nach dem Umfang der Datenverarbeitung und nach dem Schutzbedarf der personenbezogenen Daten die erhoben und verwendet werden. Das in der Ausbildung vermittelte Wissen bildet auf Jahre hinaus eine solide Grundlage für den Erfolg des Datenschutzbeauftragten.
Zuverlässig im Sinne des Gesetzes ist, wer aufgrund seiner Eigenschaften und seines Verhaltens geeignet ist, die Aufgaben des DSB ordnungsgemäß zu erfüllen. Zu den Eigenschaften zählen Verschwiegenheit und Integrität. Daneben muss der DSB die Bereitschaft haben, mit der Leitung und den Schnittstellen vertrauensvoll zusammenzuarbeiten, und fähig sein, in Konfliktsituationen neutral zu urteilen und zu handeln.
„Zur Erhaltung der […] Fachkunde hat die verantwortliche Stelle dem Beauftragten für den Datenschutz die Teilnahme an Fort- und Weiterbildungsveranstaltungen zu ermöglichen und deren Kosten zu übernehmen.“ So legt es § 4f Abs. 3 Satz 7 BDSG fest. Der Hinweis auf die Fachkunde bezieht sich auf den oben erwähnten § 4f Abs. 2 Satz 1 BDSG, wonach zum DSB nur bestellt werden darf, wer im erforderlichen Umfang fachkundig ist. Das heißt umgekehrt: Besitzt ein Datenschutzbeauftragter diese Fachkunde nicht mehr, muss er von der Unternehmensleitung abberufen und ersetzt werden. Es ist auch schon vorgekommen, dass die Aufsichtsbehörde die Abberufung eines nicht ausreichend fachkundigen DSB gefordert hat.
Deshalb ist die Verpflichtung zur Weiterbildung sehr ernst zu nehmen. Der DSB muss selbst feststellen, welche Veranstaltungen für den Erhalt seiner Fachkunde notwendig sind. Themenbeispiele sind die ISO 27001:2013 als Basis für die Zusammenarbeit mit den IT-Sicherheitsverantwortlichen hinsichtlich Datensicherheit oder die Auftragsdatenverarbeitung. In jedem Fall sollte der DSB die Teilnahme schriftlich beantragen. So kann er belegen, dass er seine Fortbildung verlangt hat. Zertifikate und Belege über die Teilnahme an Aus- und Weiterbildungsveranstaltungen lässt er am besten in seine Personalakte aufnehmen, damit er seine Fachkunde jederzeit nachweisen kann.