Können juristische Personen als Datenschutzbeauftragte benannt werden?

 

Die Benennung juristischer Personen als Datenschutzbeauftragte ist unzulässig, da Wortlaut und Systematik der DS-GVO nur natürliche Personen als Datenschutzbeauftragte vorsehen.

 

So heißt es in Erwägungsgrund 97:
„In Fällen, in denen die Verarbeitung (…) im privaten Sektor durch einen Verantwortlichen erfolgt, (…) sollte der Verantwortliche oder der Auftragsverarbeiter bei der Überwachung der internen Einhaltung der Bestimmungen dieser Verordnung von einer weiteren Person, die über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügt, unterstützt werden. (…) Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“

 

Des Weiteren werden nach Artikel 37 Absatz 5 DS-GVO Datenschutzbeauftragte auf Grundlage ihrer beruflichen Qualifikation und ihres Fachwissens benannt. Nur natürliche Personen können die nötige „berufliche“ Fachkunde und Zuverlässigkeit aufweisen und nur zu diesen ist eine vertrauliche Beziehung der Beteiligten möglich. Die zu Datenschutzbeauftragten benannten natürlichen Personen dürfen jedoch Hilfspersonal einsetzen, wie etwa Vertreter, Datenschutzansprechpartner und Koordinatoren.

 

Die Artikel-29-Gruppe hält die Benennung einer juristischen Person in ihrer unverbindlichen Auslegungshilfe für zulässig. Wie sie hierzu im Working Paper 243 rev. 0.1 aber ausgeführt setzt die Benennung einer juristischen Person voraus, dass jedes Mitglied der Einrichtung, das die Funktion eines Datenschutzbeauftragten wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt.

Dies macht die Benennung einer juristischen Person als Datenschutzbeauftragte schon per se unattraktiv und ist unserer Einschätzung zufolge auch nicht zulässig.

 

zurück zur Übersicht