Die Aufgaben des Datenschutzbeauftragten (DSB) ergeben sich aus dem Bundesdatenschutzgesetz (BDSG). In diesem Zusammenhang gibt es auch einige Pflichten des DSB.

Der Datenschutzbeauftragte soll auf die Einhaltung des Datenschutzes im Unternehmen hinwirken. Diese Aufgabe geht aus dem Bundesdatenschutzgesetz (§ 4g Abs. 1 BDSG) hervor. Verantwortlich ist er dafür jedoch nicht. In der Praxis weist der Datenschutzbeauftragte wahrscheinlich falls nötig regelmäßig auf Verbesserungspotentiale hinsichtlich des Datenschutzes hin und unterbreitet Vorschläge zur Verbesserung und Integration in Prozesse. Das hinwirken gilt für den internen DSB gleichermaßen wie für den externen.

So einfach das klingt, bedeutet es aber auch, dass der Datenschutzbeauftragte nicht für die Umsetzung oder Einhaltung der Vorschriften und Gesetze verantwortlich ist. Er nimmt eine beratende Position hinsichtlich der technischen und organisatorischen Maßnahmen ein und steht für Rückfragen zur Verfügung. Dabei werden mit den beteiligten Lösungen zur gesetzeskonformen Umsetzung des Datenschutzes erarbeitet und gestaltet.

EDV-Programme mit deren Hilfe personenbezogene Daten verarbeitet werden, müssen durch den DSB überwacht werden. Der Datenschutzbeauftragte muss daher über geplante Verarbeitungen von Daten im Vorfeld informiert werden damit er seine Aufgaben erfüllen kann (§ 4g | S.4 Nr. 2 BDSG).

Der betriebliche Datenschutzbeauftragte schult die Mitarbeiter des Unternehmens hinsichtliche der Erfordernisse des Datenschutzes, welche personenbezogene Daten verarbeiten (§ 4g | S.4 Nr. 2 BDSG). In welcher Form die Schulung zu erfolgen hat geht aus dem Bundesdatenschutzgesetz nicht hervor. Es ist durchaus möglich diese Schulungen online durchzuführen. Das Abhalten einer Schulung ist nicht Aufgabe des DSB. Diese muss nicht nicht vom Datenschutzbeauftragten selbst abgehalten werden, er kann auch jemanden damit beauftragten.

Alle Mitarbeiter eines Unternehmens die mit personenbezogenen Daten arbeiten müssen gemäß § 5 BDSG auf das Datengeheimnis verpflichtet werden. Ihnen ist untersagt Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen.

Bei automatisierten Verarbeitungen mit besonderen Risiken besteht für den Datenschutzbeauftragten die Pflicht zur Vorabkontrolle wie aus § 4 d Abs. 6 BDSG hervorgeht. Das bedeutet, die Kontrolle muss stattfinden, bevor der Prozess umgesetzt wird. Die besonderen Risiken ergeben sich aus der Verarbeitung besonderer personenbezogener Daten, oder wenn normale personenbezogene Daten dazu dienen sollen die Persönlichkeit eines Betroffenen, Fähigkeiten, Leistungen und Verhalten näher zu bewerten.
Die Vorabkontrolle durch den DSB ist immer notwendig wenn keine Ausnahmevorschrift oder die Einwilligung eines Betroffenen vorliegt.

Der Datenschutzbeauftragte erstellt ein öffentliches Verfahrensverzeichnis. Öffentlich bedeutet, dass es auf Antrag für jedermann verfügbar sein muss. Die im Verfahrensverzeichnis beinhalteten Details erhält der DSB von der verantwortlichen Stelle. Wichtig sind besonders die zugriffsberechtigten Personen.

Gemäß §3a BDSG muss der Datenschutzbeauftragte die Grundsätze der Datenminimierung wahren. Datensysteme sind dahingehend auszurichten, dass so wenig personenbezogene Daten wie möglich erhoben, verarbeitet oder genutzt werden.
Das BDSG Prinzip lautet: so wenige Daten wie möglich, und nur so viele Daten wie nötig zu erfassen um den vorgesehenen Zweck zu erfüllen.

Betroffene sollen sich jederzeit an den Datenschutzbeauftragten wenden und sich so gemäß § 4 f V S.2 BDSG über Details hinsichtlich der Daten informieren können.
Betraut mit dieser Aufgabe ist der DSB als der erste Ansprechpartner den das Unternehmen Betroffenen nennt. Diese Information sollte für Betroffene leicht und gut auffindbar sein. Die Unternehmenswebseite bietet sich hierfür an. Betroffene sind diejenigen Personen, deren Daten Verarbeitet werden.

Sollten Betroffene Auskunft ersuchen, wirkt der DSB bei der Beantwortung in datenschutzrechtlichen Angelegenheiten mit. Auch hat der Datenschutzbeauftragte die Betroffenen im Falle der Datenerhebung zu benachrichtigen.

Die vorgesehenen Datenschutz- und Datensicherungsmaßnahmen soll der Datenschutzbeauftragte im Rahmen des Bundesdatenschutzgesetzes regelmäßig und stichprobenartig auf Einhaltung überwachen sowie kontrollieren. Das Unternehmen sollte dem DSB dafür ausreichend Zeit zur Verfügung stellen, damit er dieser Aufgabe nachkommen kann.

Der DSB vertritt das Unternehmen in Datenschutzangelegenheiten. Bei datenschutzrechtlichen Fragen ist der Datenschutzbeauftragte die zuständige Stelle und daher der richtige Ansprechpartner innerhalb des Unternehmens.

Den Betroffenen gegenüber ist der Datenschutzbeauftragte über Identität und weitere personenbezogene Daten die Rückschlüsse auf den Betroffenen zulassen zur Verschwiegenheit gemäß § 4f Abs. 4 BDSG verpflichtet. Ein Verstoß ist sogar gemäß § 203 Abs. 2a StGB strafbar.
Betroffene können sich somit an einen Datenschutzbeauftragten wenden, ohne Konsequenzen fürchten zu müssen. Das stärkt das Vertrauen in die Person, Arbeit und Unabhängigkeit des DSB.
Die Verschwiegenheitspflicht des DSB gilt gegenüber Verantwortlichen Stellen, Geschäftsleitung, Personalvertretung unn sonstigen Dritten sowie den Aufsichtsbehörden.
Betroffene können den DSB von seiner Verschwiegenheitspflicht mittels einer Einwilligung entbinden. Sie muss sich auf einen bestimmten Vorgang beziehen und schriftlich erfolgen. Ohne eine umfassende Information der Konsequenzen seiner Handlung ist die Einwilligung jedoch ungültig. Für den DSB hätte das einen Verstoß gegen die Verschwiegenheitspflicht zur Folge.

Nach § 4f Abs. 4a BDSG bestehen für den Datenschutzbeauftragten und sein Hilfspersonal ein Zeugnisverweigerungsrecht. Es gilt aber nicht allgemein, sondern nur für Daten, für die dem Leiter oder einer anderen Stelle beschäftigten Person aus beruflichen Gründen ein Zeugnisverweigerungsrecht zusteht.