Datenschutzbeauftragter – Vorsicht vor Interessenkollision!

Bei Bestellung eines Datenschutzbeauftragten (DSB) ist darauf zu achten, dass es innerhalb der Wahrnehmung unterschiedlicher Aufgaben nicht zu Interessenkonflikten kommt. Das ist insbesondere dann der Fall, wenn der DSB „nebenamtlich“, insbesondere als interner (betrieblicher) DSB (Mitarbeiter), noch weitere Aufgaben innerhalb des Unternehmens wahrnimmt, die mit der Tätigkeit des DSB nicht vereinbar sind bzw. an der Neutralität des DSB Zweifel lassen (Gola/Schomerus/Körffer, BDSG,§ 4f Rn. 26).

So beanstandete auch das Bayerische Landesamt für Datenschutzaufsicht (LDA) den Umstand in einem bayrischen Unternehmen, worin der Datenschutzbeauftragte zusätzlich die Position des „IT-Managers“ bekleidete. Das LDA ist der Ansicht, dass die Besetzung dieser Positionen die Gefahr von Interessenkonflikten mit sich führte.

Wann besteht eine Bestellpflicht?

Laut § 4f I 1 BDSG haben sowohl öffentliche als auch nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten, einen Beauftragten für den Datenschutz schriftlich zu bestellen. Bei der Bestellpflicht wird zwischen öffentlichen und nicht-öffentlichen Stellen unterschieden.

  • Öffentliche Stellen

Für öffentliche Stellen gilt gem. § 4f I 1 BDSG die Pflicht zur Bestellung, unabhängig der Anzahl der Mitarbeiter, sofern personenbezogene Daten automatisiert verarbeitet werden. Bei sonstigen Arten der Datenverarbeitung sind abhängig der Anzahl der Beschäftigten in der Verarbeitung der Daten von mindestens 20 Personen stets ein Datenschutzbeauftragter zu bestellen.

  • Nicht-öffentliche Stellen

Für nicht-öffentliche Stellen gilt die Bestellpflicht, wenn die automatisierte Verarbeitung einer Vorabkontrolle unterliegt (§ 4f I 6 Hs.1 BDSG) oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten (§ 4f I 6 Hs.2 BDSG). Ansonsten ist ab einer Beschäftigtenzahl von mehr als 9 Personen, die ständig mit der automatisierten Verarbeitung beschäftigt sind, ein Datenschutzbeauftragter zu bestellen (§ 4f I 3 BDSG). Findet die Verarbeitung allerdings nicht automatisiert statt, so müssen auch hier mindestens 20 Personen in der Verarbeitung der Daten tätig sein.

Welche Anforderungen muss der DSB mitbringen?

Bestellt werden dürfen nach § 4f II 1 BDSG nur, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Der Düsseldorfer Kreis hat im Jahr 2010 aus seiner Sicht die Mindestanforderungen an die Fachkunde und Zuverlässigkeit definiert.

  • Erforderliche Fachkunde

Die nötige Fachkunde beinhaltet sowohl das Grundlagenwissen über den Datenschutz, die Datensicherheit und technische Kenntnisse als auch betriebswirtschaftliches Verständnis. Mit steigender betriebsbedingten Komplexität der Aufgaben, steigen entsprechend auch die Anforderungen an das Fachwissen des DSB (Gola/Schomerus/Gola/Körffer/Klug, BDSG § 4f Rn. 20, 20b; Schefzig ZD 11/2015, 503, 504).

  • Erforderliche Zuverlässigkeit

Die Zuverlässigkeit wird auch in subjektive und objektive Zuverlässigkeit unterteilt. Die subjektive Zuverlässigkeit kann an persönlichen Kriterien wie beispielsweise Integrität und Verantwortungsbewusstsein festgelegt werden, was jedoch nicht immer leicht zu bestimmen ist.

Eindeutiger lässt sich die objektive Zuverlässigkeit bestimmen. Zahlreiche Landesdatenschutzgesetze wie z.B. das LDSG Baden-Württemberg (§ 10 II 1) oder das DSG Mecklenburg-Vorpommern (§ 20 I 3) verlangen ausdrücklich zusätzlich zu den genannten Tatbeständen, dass der Beauftragte durch die Bestellung keinem Interessenkonflikt ausgesetzt wird. Das kann ebenso auf das BDSG übertragen werden. Die Interessenkollision kann sich aus der(n) besetzten Position(en) ergeben (Schefzig ZD 11/2015, 503, 504). Dabei können sowohl externe als auch interne DSB betroffen sein. An der Zuverlässigkeit fehlt es, sobald sich der DSB in einer Lage befindet, in der er seine eigenen Tätigkeiten kontrollieren und überwachen muss (Schefzig ZD 11/2015, 503, 504), also einer Selbstkontrolle unterläge, was der Aufgabe des DSB widerspricht.

Interessenkollision interner DSB

Diese ergeben sich i.d.R im Falle der Beauftragung als DSB, wenn dieser zeitgleich als Leiter der EDV (IT-Manager), als Personalleiter oder als Vertriebsleiter tätig ist (Gola/Schomerus/Gola/Körffer/Klug, BDSG § 4f Rn. 26). Der Konflikt besteht, weil DSB als Interessenvertreter der verantwortlichen Stelle (verarbeitende Stelle) als auch der betroffenen Personen (deren Daten verarbeitet werden) verstanden werden.

So auch im Falle der Tätigkeit als Betriebsratsmitglied. Die Frage, ob hier ein Interessenkonflikt besteht, wird kontrovers diskutiert (Gola/Schomerus/Gola/Körffer/Klug, BDSG § 4f Rn. 28), wobei das BAG hierin keinen Konflikt sieht (BAG NZA 2011, 1036 Leitsatz Nr. 3). Für einen Konflikt spricht, dass der Betriebsrat im Interesse von Arbeitnehmern handelt und in Kombination mit der Tätigkeit als DSB nicht vollständig objektiv und unbeeinflusst und damit zuverlässig auch andere den Datenschutz betreffende Bereiche wie den Kundendatenschutz ausführen bzw. vernachlässigen könnte (Dzipa/Kröpelin NZA 2011, 1018). Zudem folge eine Unvereinbarkeit der Tätigkeit als DSB bereits aus der allgemeinen Kontrollfunktion des Betriebsrats nach § 80 I Nr. 1 BetrVG (Plath/von dem Bussche, BDSG/DSGVO, § 4f BDSG Rn. 32). Das BAG argumentiert damit, dass die Ausübung beider Ämter nicht generell unvereinbar ist und einer solchen keine Gründe entgegenstehen (BAG NZA 2011, 1036). Die Wahrnehmung einer anderen Aufgabe oder anderer Interessen genügt nicht für eine generelle Unvereinbarkeit mit der Tätigkeit als DSB und ist letztlich einzelfallabhängig zu entscheiden. Aufgrund fehlender Gründe würde eine generelle Ablehnung zu einer Benachteiligung wegen Ausübung der Tätigkeit als Betriebsratsmitglied i.S.d. § 78 (2) BetrVG führen (Plath/von dem Bussche, BDSG/DSGVO, § 4f BDSG Rn. 34).

Die gesamte Geschäftsführung ist jedoch unstreitig für den Posten des DSB nicht geeignet. Unternehmensinhaber, Marketingleiter, aber auch sonstige IT-Mitarbeiter oder leitende Angestellte unterliegen der Gefahr einer Interessenkollision (Schefzig ZD 11/2015, 503, 504). Insgesamt werden gleichzeitige Tätigkeiten als Leiter der Rechts-, Revisions- oder der Compliance-Abteilung (sowie auch Personalvertretung) als weniger konfliktträchtig gesehen (jedoch streitig, Grobys/Panzer/Mengel, SWK Arbeitsrecht, Datenschutzbeauftragter Rn. 18). Für eine gleichzeitige Tätigkeit als Compliancebeauftragter spricht vor allem die Gemeinsamkeit, die in der Überwachung der Einhaltung des Datenschutzrechts besteht (Plath/von dem Bussche, BDSG/DSGVO, § 4f Rn. 34c).

Interessenkollision externer DSB

Im Falle externer DSB liegt die Situation anders. In der Regel soll durch deren Beauftragung gerade jene Konfliktsituation vermieden werden. Dennoch gibt es auch hier Konfliktpotenzial, wenn derjenige gleichzeitig für dasselbe Unternehmen als Rechtsanwalt oder Wirtschaftsprüfer tätig ist oder innerhalb eines Konzerns als DSB für mehrere Unternehmen arbeitet (Groby/Panzer/Mengel, SWK Arbeitsrecht, Datenschutzbeauftragter Rn. 19).

Sofern keine parallelen Tätigkeiten im selben Unternehmen seitens DSB vorliegen, gibt es soweit keine ersichtlichen Interessenkonflikte sowohl für interne als auch externe DSB (Grobys/Panzer/Mengel, SWK Arbeitsrecht, Datenschutzbeauftragter Rn. 17).

Folgen mangelnder/mangelhafter Bestellung eines DSB

Wer nach § 43 I Nr. 2 BDSG einen Beauftragten für den Datenschutz nicht, nicht in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, handelt ordnungswidrig. Bei Nichtbeachtung drohen Geldbußen.

So auch im anfänglichen Fall. Da verhängte das LDA dem Unternehmen eine Geldbuße, die mittlerweile rechtskräftig ist.

Aussichten nach DSGVO

Ab Mai 2018 kommen mit der DSGVO härtere Sanktionen bei mangelhaftem Verhalten im datenschutzrechtlichen Bereich auf die Unternehmen zu, Art. 83 IV, V DSGVO i.V.m. § 39 BDSG-neu Art. 37 I a), b), c) DSGVO i.V.m. §§ 5, 36 Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung EU/2016/679 und zur Umsetzung der Richtlinie EU/2016/680-neu nennt Fälle, in denen ein DSB auf jeden Fall zu benennen ist.

Darüber hinaus sind in Art. 37 IV DSGVO zwei Öffnungsklauseln genannt. Einerseits können Verantwortlicher und Auftragsverarbeiter freiwillig einen Datenschutzbeauftragten bestellen. Andererseits besteht die Möglichkeit weitere nationale Regelungen hinsichtlich der Bestellpflicht aufzuführen, d.h. Verantwortlicher oder Auftragsverarbeiter müssen einen DSB benennen, sofern dies das Recht des jeweiligen Mitgliedstaates vorschreibt (Gola/Klug NJW 2016, 2786, 2787; Schantz NJW 2016, 1841, 1846).

Daher ist anzuraten, sich mit den datenschutzrechtlichen Gegebenheiten auseinanderzusetzen, rechtzeitig einen DSB zu bestellen und neben der Kompetenz des DSB auch auf die mit der Zuverlässigkeit verbundenen eventuellen Interessenkollisionen zu achten.

 

Haben Sie Fragen? Kontaktieren Sie gerne: RA Nicole Schmidt, LL.M.
Leistung: Externer Datenschutzbeauftragter

Tags: , , , , , , , ,

Comments are closed.