Datenschutzbeauftragter – Vorsicht vor Interessenkollision!

Bei Bestellung eines Datenschutzbeauftragten (DSB) ist darauf zu achten, dass es innerhalb der Wahrnehmung unterschiedlicher Aufgaben nicht zu Interessenkonflikten kommt. Das ist insbesondere dann der Fall, wenn der DSB „nebenamtlich“, insbesondere als interner (betrieblicher) DSB (Mitarbeiter), noch weitere Aufgaben innerhalb des Unternehmens wahrnimmt, die mit der Tätigkeit des DSB nicht vereinbar sind bzw. an der Neutralität des DSB Zweifel lassen (Gola /Klug DSGVO Art. 38 Rn. 7 mwN). So beanstandete auch das Bayerische Landesamt für Datenschutzaufsicht (LDA) den Umstand in einem bayrischen Unternehmen, worin der Datenschutzbeauftragte zusätzlich die Position des „IT-Managers“ bekleidete. Das LDA ist der Ansicht, dass die Besetzung dieser Positionen die Gefahr von Interessenkonflikten mit sich führte.

Wann besteht eine Bestellpflicht?

Laut Art. 37 I lit. a) DSGVO, § 38 BDSG haben sowohl öffentliche als auch nicht-öffentliche Stellen, die personenbezogene Daten automatisiert verarbeiten einen Beauftragten für den Datenschutz schriftlich zu bestellen, wenn eine umfangreiche oder systematische Überwachung von Personen (Art. 37 I lit b DSGVO) oder die umfangreichen Verarbeitung besonders sensibler Daten vorliegt. Daneben wird bei der Bestellpflicht zwischen öffentlichen und nicht-öffentlichen Stellen unterschieden.

Öffentliche Stellen

Für öffentliche Stellen gilt gem. Art. 37 I lit. a) DSGVO die Pflicht zur Bestellung, unabhängig der Anzahl der Mitarbeiter, da die Verarbeitung von einer Behörde durchgeführt wird.

Nicht-öffentliche Stellen

Für nicht-öffentliche Stellen gilt die Bestellpflicht, wenn die automatisierte Verarbeitung einer Datenschutz-Folgeabschätzung nach Art. 35 DSGVO unterliegt (§ 38 I S. 2, 1. Alt. BDSG) oder personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung automatisiert verarbeiten (§ 38 I S. 2, 2. Alt. BDSG). Ansonsten ist ab einer Beschäftigtenzahl von mehr als 10 Personen, die ständig mit der automatisierten Verarbeitung beschäftigt sind, ein Datenschutzbeauftragter zu bestellen (§ 38 I S. 1 BDSG).

Welche Anforderungen muss der DSB mitbringen?

Bestellt werden dürfen nach Art. 37 V DSGVO nur, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Der Düsseldorfer Kreis hat im Jahr 2010 aus seiner Sicht die Mindestanforderungen an die Fachkunde und Zuverlässigkeit definiert.

Erforderliche Fachkunde

Die nötige Fachkunde beinhaltet sowohl das Grundlagenwissen über den Datenschutz, die Datensicherheit und technische Kenntnisse als auch betriebswirtschaftliches Verständnis. Mit steigender betriebsbedingten Komplexität der Aufgaben, steigen entsprechend auch die Anforderungen an das Fachwissen des DSB (Gola/Klug DSGVO Art. 37 Rn. 18; Schefzig ZD 11/2015, 503, 504).

Erforderliche Zuverlässigkeit

Die Zuverlässigkeit wird auch in subjektive und objektive Zuverlässigkeit unterteilt. Die subjektive Zuverlässigkeit kann an persönlichen Kriterien wie beispielsweise Integrität und Verantwortungsbewusstsein festgelegt werden, was jedoch nicht immer leicht zu bestimmen ist.

Eindeutiger lässt sich die objektive Zuverlässigkeit bestimmen. Zahlreiche Landesdatenschutzgesetze wie z.B. das LDSG Baden-Württemberg (§ 24 I 1) oder das DSG Mecklenburg-Vorpommern (§ 29 VI) verlangen ausdrücklich zusätzlich zu den genannten Tatbeständen, dass der Beauftragte durch die Bestellung keinem Interessenkonflikt ausgesetzt wird. Das kann ebenso auf die DSGVO übertragen werden. Die Interessenkollision kann sich aus der(n) besetzten Position(en) ergeben (Schefzig ZD 11/2015, 503, 504). Dabei können sowohl externe als auch interne DSB betroffen sein. An der Zuverlässigkeit fehlt es, sobald sich der DSB in einer Lage befindet, in der er seine eigenen Tätigkeiten kontrollieren und überwachen muss (Schefzig ZD 11/2015, 503, 504), also einer Selbstkontrolle unterläge, was der Aufgabe des DSB widerspricht.

Interessenkollision interner DSB

Diese ergeben sich i.d.R im Falle der Beauftragung als DSB, wenn dieser zeitgleich als Leiter der IT- oder Marketing-Abteilung, als Personalleiter oder als Geschäftsführer tätig ist (Ehmann/Selmayr/Heberlein, DSGVO Art. 38 Rn. 22). Der Konflikt besteht, weil DSB als Interessenvertreter der verantwortlichen Stelle (verarbeitende Stelle) als auch der betroffenen Personen (deren Daten verarbeitet werden) verstanden werden.

So auch im Falle der Tätigkeit als Betriebsratsmitglied. Die Frage, ob hier ein Interessenkonflikt besteht, wird kontrovers diskutiert (Gola/Schomerus/Gola/Körffer/Klug, BDSG § 4f Rn. 28; Kort, NZA 2015, 1345; Dzida/Kröpelin, NZA 2011, 1018), wobei das BAG hierin keinen Konflikt sieht (BAG NZA 2011, 1036 Leitsatz Nr. 3). Für einen Konflikt spricht, dass der Betriebsrat im Interesse von Arbeitnehmern handelt und in Kombination mit der Tätigkeit als DSB nicht vollständig objektiv und unbeeinflusst und damit zuverlässig auch andere den Datenschutz betreffende Bereiche wie den Kundendatenschutz ausführen bzw. vernachlässigen könnte (Dzipa/Kröpelin NZA 2011, 1018). Zudem folge eine Unvereinbarkeit der Tätigkeit als DSB bereits aus der allgemeinen Kontrollfunktion des Betriebsrats nach § 80 I Nr. 1 BetrVG (Plath/von dem Bussche, BDSG/DSGVO, § 4f BDSG Rn. 32). Das BAG argumentiert damit, dass die Ausübung beider Ämter nicht generell unvereinbar ist und einer solchen keine Gründe entgegenstehen (BAG NZA 2011, 1036). Die Wahrnehmung einer anderen Aufgabe oder anderer Interessen genügt nicht für eine generelle Unvereinbarkeit mit der Tätigkeit als DSB und ist letztlich einzelfallabhängig zu entscheiden. Aufgrund fehlender Gründe würde eine generelle Ablehnung zu einer Benachteiligung wegen Ausübung der Tätigkeit als Betriebsratsmitglied i.S.d. § 78 (2) BetrVG führen (Plath/von dem Bussche, BDSG/DSGVO, § 4f BDSG Rn. 34).

Die gesamte Geschäftsführung ist jedoch unstreitig für den Posten des DSB nicht geeignet. Unternehmensinhaber, Marketingleiter, aber auch sonstige IT-Mitarbeiter oder leitende Angestellte unterliegen der Gefahr einer Interessenkollision (Schefzig ZD 11/2015, 503, 504). Insgesamt werden gleichzeitige Tätigkeiten als Leiter der Rechts-, Revisions- oder der Compliance-Abteilung (sowie auch Personalvertretung) als weniger konfliktträchtig gesehen (Ehmann/Selmayr/Heberlein, DSGVO Art. 38 Rn. 23). Für eine gleichzeitige Tätigkeit als Compliancebeauftragter spricht vor allem die Gemeinsamkeit, die in der Überwachung der Einhaltung des Datenschutzrechts besteht (Ehmann/Selmayr/Heberlein, DSGVO Art. 38 Rn. 23).

Interessenkollision externer DSB

Im Falle externer DSB liegt die Situation anders. In der Regel soll durch deren Beauftragung gerade jene Konfliktsituation vermieden werden. Sofern keine parallelen Tätigkeiten im selben Unternehmen seitens DSB vorliegen, gibt es soweit keine ersichtlichen Interessenkonflikte sowohl für interne als auch externe DSB

Folgen mangelnder/mangelhafter Bestellung eines DSB

Wer keinen Datenschutzbeauftragten in der vorgeschriebenen Weise oder nicht rechtzeitig bestellt, handelt ordnungswidrig. Sanktionen bei mangelhaftem Verhalten im datenschutzrechtlichen Bereich sind zu erwarten, vgl. Art. 83 IV, V DSGVO i.V.m. § 39 BDSG.

Es ist anzuraten, sich mit den datenschutzrechtlichen Gegebenheiten auseinanderzusetzen, rechtzeitig einen DSB zu bestellen und neben der Kompetenz des DSB auch auf die mit der Zuverlässigkeit verbundenen eventuellen Interessenkollisionen zu achten.

 

Tags: , , , , , , , ,

Comments are closed.
Kontaktieren Sie uns

1. Unternehmensangaben

Name Firma *
Name Ansprechpartner
Straße, Hausnummer
PLZ
Ort *
Telefonnummer
E-Mail *
Branche AutomotiveBanken / FinanzdienstleistungenBildungseinrichtungenDienstleisterEnergieGemeinnützige OrganisationenGesundheits- und SozialwesenHandelHotelsIngenieurbürosIT-DienstleisterKirchliche EinrichtungenKommunale Unternehmen (privatrechtliche GmbH)Körperschaften des öffentlichen RechtsMarketingagenturenMaschinen- / AnlagenbauPharmaforschungRechtsanwaltskanzleienSteuerkanzleienTextilindustrieVereineVerlageVersicherungsmakler
Tätigkeitsbereich B2BB2C

2. Standorte und Mitarbeiter

Anzahl Beschäftigte
Anzahl der Standorte

3. Allgemeine Fragen

Betriebsrat JaNein
Konzernzugehörigkeit JaNein
Videoüberwachung JaNein
Datenübermittlung in Drittstaaten JaNein
ISO 9001 Zertifikat JaNein
Datenschutzkonzept JaNein
Anzahl der Applikationen
Anzahl der Verträge zur Auftragsverarbeitung

4. Leistungsauswahl

Leistungen * externer DatenschutzbeauftragterDatenschutz AuditRechtsberatungSonstiges:
* Pflichtfeld
X
Angebotsanfrage