Ein externer Datenschutzbeauftragter ist ebenso wie der interne nach den durch Art. 37 Abs. 5, 39 DS-GVO statuierten Voraussetzungen auszuwählen: Diese gesetzlichen Vorschriften zugrunde gelegt muss er bereits zum Zeitpunkt seiner Benennung die zur Erfüllung der Aufgaben erforderliche berufliche Qualifikation und das nötige Fachwissen haben, wobei sich das Maß des erforderlichen Wissens grundsätzlich nach dem Umfang der Datenverarbeitung des Verantwortlichen und dem Schutzbedarf der verarbeiteten personenbezogenen Daten bestimmen sollte.

Im Vorfeld gesammelte praktische Erfahrung, technische Kenntnisse, eine erfolgte Aus- und Weiterbildung und ein Nachweis über spezielle datenschutzrechtliche Schulungen könnten erforderlich sein. IT-Qualifikationen sollten vom Kandidaten ebenfalls erwartet werden, damit er die zum Teil technisch komplexen Abläufe versteht. Zudem sollte er ein (zumindest grundlegendes) rechtliches Verständnis mitbringen, um die Vielzahl der Regelungen, die sich sowohl aus der Datenschutz-Grundverordnung, der ePrivacy-Verordnung als auch aus dem nationalen Recht ergeben, durchdringen zu können sowie die dazu ergangenen Urteile anwenden zu können.

Die Mindestaufgaben des Datenschutzbeauftragten ergeben sich aus Art. 39 DS-GVO, wobei die Aufgaben durch den mit ihm geschlossenen Arbeits- oder Dienstvertrag konkretisiert oder erweitert werden können.

Zu den primären Aufgaben des externen DSB gehört es, auf eine Einhaltung sämtlicher (datenschutzrechtlicher) Vorschriften durch den Verantwortlichen bzw. den Auftragsverarbeiter sowie seine Mitarbeiter (mittels Unterrichtung und Beratung) hinzuarbeiten, Art. 39 Abs. 1 lit. a DS-GVO. Zu diesem Zweck ist er sowohl in die Abläufe der datenverarbeitenden Softwareprogramme als auch in die genutzte Computertechnik einzuweisen. Deren Überprüfung sollte im Folgenden regelmäßig von ihm übernommen werden. Zudem muss der externe Datenschutzbeauftragte dafür Sorge tragen, dass Personen, die mit personenbezogenen Daten umgehen, mit den datenschutzrechtlichen Bestimmungen und ihren Sorgfaltspflichten vertraut gemacht werden. Dies sollte im Rahmen regelmäßiger Schulungen und (ggf. mehrmaliger) Fortbildungen erfolgen.

Ein DSB überprüft regelmäßig die technischen und organisatorischen Maßnahmen des Unternehmens, sofern ihm diese Aufgabe vom Verantwortlichen oder Auftragsverarbeiter vertraglich übertragen wurde. Dazu sind zumindest Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle und die Verfügbarkeitskontrolle zu prüfen. Ferner führt er regelmäßige Audits durch.

Meist überwacht er auch die im Unternehmen eingesetzten automatisierten Verfahren, die er oftmals im Rahmen der Datenschutz-Folgenabschätzung überprüft, um zu gewährleisten, dass die Rechte der Betroffenen hinreichend gewahrt werden und diese zu Genüge informiert sind. Dies erscheint gerade im Hinblick auf das Auskunftsrecht, das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Einschränkung der Verarbeitung, das Recht auf Datenübertragbarkeit, das Widerspruchsrecht aber auch zur Beantwortung von Auskunftsersuchen dringend erforderlich.

Weiterhin kümmert er sich oftmals um die Führung der Verfahrensverzeichnisse, wobei anzumerken ist, dass hierzu ebenfalls keine rechtliche Verpflichtung besteht. Zudem könnte dem DSB vertraglich auferlegt werden, ein Datenschutz-Handbuch mit den notwendigen Konzepten, Richtlinien, Leitlinien und Mitarbeiterinformationen zu erarbeiten.

Der interne oder externe Datenschutzbeauftragte hat den Verantwortlichen oder Auftragsverarbeiter zudem in seinen Angelegenheiten gegenüber der Aufsichtsbehörde als Ansprechpartner zu vertreten. Hinzuweisen ist jedoch darauf, dass dem externen Datenschutzbeauftragten generell keine Entscheidungsbefugnis zukommen kann; diese liegt alleine beim Verantwortlichen und damit in der Regel bei der Unternehmensleitung seines Auftraggebers.

Ein DSB ist in den Fällen des Art. 37 DS-GVO bzw. § 38 BDSG n.F. zu benennen. Die Benennung sollte in Schriftform erfolgen; sie ist nach Art. 37 Abs. 7 DS-GVO sowohl zu veröffentlichen als auch gegenüber der Aufsichtsbehörde bekannt zu machen (Mitteilungspflicht). Die Benennungsurkunde sollte sowohl die Unterschrift des DSB als auch die der Leitung des Verantwortlichen enthalten.

Der externe Datenschutzbeauftragte ist gem. § 38 Abs. 3 BDSG n.F. in seinem Tätigkeitsfeld nicht den Weisungen der Unternehmensleitung unterworfen. Er kann frei innerhalb der rechtlichen Grenzen agieren. Gerade deshalb sollte im Vorfeld betrachtet werden, inwiefern ein interner Mitarbeiter unabhängig tätig sein kann: Er darf zwar grundsätzlich weitere Aufgaben und Pflichten im Betrieb übernehmen, § 38 Abs. 6 Satz 1 BDSG; jedoch sollte er keine andere Position innehaben, die seine Entscheidungsfreiheit beeinträchtigen könnte (z.B. HR- oder IT-Leitung, Geschäftsführung etc.).

Nach § 38 Abs. 4 BDSG n.F. ist eine Abberufung des DSB nur in entsprechender Anwendung des § 626 BGB zulässig. Sein Arbeitsverhältnis kann nur gekündigt werden sofern Tatsachen gegeben sind, die eine fristlose Kündigung aus wichtigem Grund gestatten. Ist die Tätigkeit beendet, so ist die Kündigung während des folgenden Jahres unzulässig, sofern kein wichtiger Grund nachgewiesen werden kann, der eine fristlose Beendigung des Arbeitsverhältnisses rechtfertigen würde. Nicht abschließend geklärt ist die Frage, inwiefern dieses Weiterbeschäftigungsrecht auf den externen Datenschutzbeauftragten übertragbar ist. Die Kündigungsmöglichkeit für eine externe Person die im Rahmen eines Dienstverhältnisses tätig ist, könnte sich daher entweder nach § 621 BGB oder nach § 627 BGB richten. Alternativ wäre eine analoge Anwendung von § 626 BGB denkbar. Letzteres könnte Sinn machen und den Willen des Gesetzgebers vermutlich am nächsten kommen.

Somit stellt sich die Frage, ob die Rolle des Datenschutzbeauftragten von einer internen oder einer externen Person besetzt werden sollte. Während, wie bereits ausgeführt, die Zusammenarbeit mit einem internen Mitarbeiter aufgrund der persönlichen Vertrautheit sowie der bereits bestehenden Kenntnisse hinsichtlich des Unternehmens und der damit verbundenen Strukturen regelmäßig harmonisch ablaufen kann, besteht damit, wie in der Praxis feststellbar ist, einerseits die Gefahr, dass schlicht ganze Aufgabenbereiche „übersehen“ werden oder andererseits das Risiko zu tragen ist, dass dem Kandidaten entweder technische Sachkenntnisse oder rechtliche Fähigkeiten fehlen. Die jedoch gewichtigsten Gründe gegen die Wahl eines internen Mitarbeiters sind dessen Haftung und die (vermutlich auch bei Anwendbarkeit der DS-GVO fortbestehende) schnellere Kündbarkeit des externen Beauftragten für den Datenschutz. Während der interne DSB gegenüber dem Unternehmen nur nach den Gesichtspunkten der Arbeitnehmerhaftung haftet, haftet der externe Datenschutzbeauftragte regelmäßig aus §§ 280, 611 BGB sowie aus § 823 BGB.

Je nach den Zielen des Verantwortlichen oder Auftragsverarbeiters sprechen die besseren Argumente entweder für die Wahl eines internen oder eines externen DSB. Ein gutes Argument für den externen Dienstleister ist, dass er sich in der Regel hauptberuflich mit Datenschutz beschäftigt.