Der Düsseldorfer Kreis, also die obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, hat Ende November 2010 einen Beschluss gefasst, indem die gesetzlichen Vorschriften aus dem Bundesdatenschutzgesetz (§ 4f Abs. 2 und 3 BDSG) hinsichtlich der Mindestanforderungen an die Qualifikation und die Unabhängigkeit des Datenschutzbeauftragten konkretisiert werden.
Dies wurde notwendig, da der Düsseldorfer Kreis bei Kontrollen verantwortlicher Stellen festgestellt hat, dass Fachkunde und Rahmenbedingungen für die Arbeit der Beauftragten für den Datenschutz (DSB) in den verantwortlichen Stellen angesichts zunehmender Komplexität automatisierter Verfahren zum Umgang mit personenbezogenen Daten nicht durchgängig den Anforderungen des BDSG genügen.
Somit gibt dieser Beschluss den Unternehmen mehr Klarheit welche Anforderungen an die Eignung eines internen oder externen Datenschutzbeauftragten zu stellen sind. Zu beachten ist, dass ein Beschäftigter vom Unternehmen erst dann zum internen Datenschutzbeauftragten bestellt werden darf, wenn dieser bereits die erforderliche Fachkunde erworben hat.
Die Behörden weisen darauf hin, dass die Aus- und Belastung der DSB maßgeblich beeinflusst wird durch die Größe der verantwortlichen Stelle, die Anzahl der zu betreuenden verantwortlichen Stellen, Besonderheiten branchenspezifischer Datenverarbeitung und den Grad der Schutzbedürftigkeit der zu verarbeitenden personenbezogenen Daten. Veränderungen bei den vorgenannten Faktoren führen regelmäßig zu einer proportionalen Mehrbelastung der DSB.
Die zu gewährleistenden Mindestanforderungen sind in drei Teile untergliedert: