Baye­ri­sches Unter­neh­men kas­siert Buß­geld, weil IT-Mana­ger gleich­zei­tig als Daten­schutz­be­auf­trag­ter bestellt war.

“Eine der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten”, so das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) in Ansbach.

Wer muss einen Daten­schutz­be­auf­trag­ten bestellen?

Unter­neh­men und auch Ver­ei­ne müs­sen einen Daten­schutz­be­auf­trag­ten (DSB) bestel­len, wenn bei ihnen min­des­tens zehn Per­so­nen (“mehr als neun”, so das Bun­des­da­ten­schutz­ge­setz) mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten befasst sind. Dabei ist es uner­heb­lich, a) ob es sich dabei um inter­ne oder exter­ne per­so­nen­be­zo­ge­ne Daten han­delt und b) mit wel­chem Zeit­an­teil die Per­so­nen beschäf­tigt sind (Voll­zeit, Teil­zeit, Aus­hil­fe etc.). Es zählt hier allei­ne die Zahl der “Köp­fe”.

Zahl­rei­che Unter­neh­men und Ver­ei­ne erfül­len die­se Vor­aus­set­zun­gen. Das Gesetz stellt es dabei frei, ob die Funk­ti­on des Daten­schutz­be­auf­trag­ten an eine exter­ne Per­son ver­ge­ben wird („exter­ner Daten­schutz­be­auf­trag­ter“) oder aber durch einen Mit­ar­bei­ter („inter­ner Daten­schutz­be­auf­trag­ter“) erfüllt wird. Je nach Bun­des­land schrei­ben die Lan­des­da­ten­schutz­ge­set­ze einen Daten­schutz­be­auf­trag­ten eben­falls für Behör­den und kom­mu­na­le Ein­rich­tun­gen (sog. öffent­li­che Stel­len) ver­pflich­tend vor. In eini­gen Bun­des­län­dern besteht bereits heu­te die Mög­lich­keit einer exter­nen Bestel­lung des behörd­li­chen Daten­schutz­be­auf­trag­ten. Mit der EU-Daten­schutz­grund­ver­ord­nung (EU-DSGVO) wird die Bestell­pflicht für öffent­li­che Stel­len ver­ein­heit­licht. Eben­so soll dann eine gene­rel­le Mög­lich­keit der exter­nen Bestel­lung für Behör­den /​ Kom­mu­nen gege­ben sein.

Wann ist von einem Inter­es­sens­kon­flikt auszugehen?

Wird ein Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten bestellt, so darf er jedoch dane­ben nicht zusätz­lich /​ wei­ter­hin für sol­che Auf­ga­ben zustän­dig sein, wel­che die Gefahr von Inter­es­sens­kon­flik­ten mit sei­ner Funk­ti­on als Daten­schutz­be­auf­trag­ter mit sich brin­gen kön­nen. Der Gesetz­ge­ber ver­langt hier salopp, nicht “den Bock zum Gärt­ner zu machen”. Ähn­lich hat dies auch die EU-Daten­schutz­richt­li­nie (Art. 18) gefor­dert, völ­li­ge Unab­hän­gig­keit des DSB in sei­ner Funk­ti­on als Kon­troll­in­stanz. Mit Arti­kel 38 und 39 der EU-DSGVO wird dies in 2018 kei­ne Ände­rung erfahren.

In ein­schlä­gi­gen Kom­men­ta­ren zum Bun­des­da­ten­schutz­ge­setz (z.B. Gola /​ Schome­rus) wird expli­zit dar­auf ver­wie­sen, dass sich hier­aus bestimm­te Funk­tio­nen für die Tätig­keit des Daten­schutz­be­auf­trag­ten von vorn­her­ein aus­schlie­ßen. Dazu zäh­len auf jeden Fall

  • Inha­ber, Vor­stand, Geschäfts­füh­rer (aus­nahms­los),
  • Lei­ter der IT,
  • Per­so­nal­lei­ter,
  • Ver­triebs­lei­ter (zumin­dest im Direktvertrieb).

Für alle ande­ren Funk­tio­nen ist zu prü­fen, ob ein Inter­es­sens­kon­flikt aus­ge­schlos­sen wer­den kann und auch kei­ne wei­te­ren Beein­träch­ti­gun­gen für die Aus­übung der Funk­ti­on des Daten­schutz­be­auf­trag­ten bestehen. So ist es nicht unbe­dingt ziel­füh­rend, einen IT-Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten zu bestel­len, wenn der Kon­flikt mit dem Vor­ge­setz­ten — dem IT-Lei­ter — bereits vor­pro­gram­miert ist und der IT-Mit­ar­bei­ter sei­ne zusätz­li­che Auf­ga­be als DSB z.B. aus Angst vor Repres­sa­li­en nicht aus­üben kann /​ wird.

Wie kam es jetzt zu die­sem Buß­geld auf­grund eines Interessenskonflikts?

Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) berich­tet in sei­ner Press­mit­tei­lung davon, dass im Rah­men der Über­prü­fung eines baye­ri­schen Unter­neh­mens die Bestel­lung des IT-Lei­ters zum inter­nen Daten­schutz­be­auf­trag­ten fest­ge­stellt wur­de. Dies lie­fe nach Mei­nung der Behör­de “letzt­lich auf eine Daten­schutz­kon­trol­le eines der maß­geb­li­chen zu kon­trol­lie­ren­den Funk­ti­ons­trä­ger im Unter­neh­men durch sich selbst hin­aus”. Aus Sicht der Behör­de (und der ein­schlä­gi­gen Rechts­kom­men­ta­re) wider­spricht dies der Funk­ti­on des Daten­schutz­be­auf­trag­ten, als unab­hän­gi­ge Instanz im Unter­neh­men auf die Ein­hal­tung des Daten­schut­zes hin­zu­wir­ken (eine der Kern­auf­ga­ben des DSB).

Nach­dem das Lan­des­amt das Unter­neh­men mehr­fach über Mona­te auf­ge­for­dert hat, eine Bestel­lung ohne Inter­es­sens­kon­flikt her­bei­zu­füh­ren und dies sei­tens des Unter­neh­mens zuge­sagt, jedoch nicht umge­setzt wur­de, ver­häng­te die Behör­de ein Buß­geld. Die Geld­bu­ße ist mitt­ler­wei­le bestandskräftig.

„Der betrieb­li­che Daten­schutz­be­auf­trag­te ist ein Erfolgs­mo­dell und ein sehr wich­ti­ges Ele­ment der Daten­schutz­or­ga­ni­sa­ti­on in Deutsch­land. Die Funk­ti­on des Daten­schutz­be­auf­trag­ten kann aber nicht durch eine Per­son wahr­ge­nom­men wer­den, die dane­ben im Unter­neh­men noch Auf­ga­ben inne­hat, die in einem Span­nungs­ver­hält­nis mit einer unab­hän­gi­gen, effek­ti­ven inter­nen Auf­sicht über den Daten­schutz ste­hen. Unter­neh­men, die gesetz­lich zur Bestel­lung eines Daten­schutz­be­auf­trag­ten ver­pflich­tet sind, kön­nen daher nur eine sol­che Per­son zum Daten­schutz­be­auf­trag­ten bestel­len, die in der Lage ist, die­se Auf­ga­be frei von sach­frem­den Zwän­gen aus­zu­üben. Und wenn sie das trotz wie­der­hol­ter Auf­for­de­rung nicht machen, müs­sen sie not­falls mit Buß­geld dazu gezwun­gen wer­den.“, betont Tho­mas Kra­nig, der Prä­si­dent des BayLDA.

Was kön­nen Sie als Unter­neh­men tun, um sol­ches Buß­gel­der zu vermeiden?

Ent­we­der Sie ver­mei­den sol­che Inter­es­sens­kon­flik­te oder Sie grei­fen zu einer trans­pa­ren­ten und kos­ten­güns­ti­gen exter­nen Bestel­lung des Daten­schutz­be­auf­trag­ten, wie sie bei­spiels­wei­se a.s.k. Daten­schutz anbie­tet. Ein Ange­bot erhal­ten Sie zeit­nah mit­tels unse­rer Online-Anfra­ge.

Übri­gens gilt das The­ma Inter­es­sens­kon­flikt auch für behörd­li­che Datenschutzbeauftragte!!

Quel­le: Pres­se­mit­tei­lung des BayLDA

 

3 Responses

  1. Guten Tag,
    habe ich durch mei­ne Funk­ti­on als Daten­schutz­be­auf­trag­ter irgend­ei­ne Ein­schrän­kung um in mei­nem Unter­neh­men auf­zu­stei­gen, ggf. der Geschäfts­füh­rer des Unter­neh­mens zu werden?
    Bzw. fra­gen wir anders, soll­te ich der Geschäfts­füh­rer wer­den, wür­de dann jemand anders mei­ne Tätig­keit ausüben?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Über a.s.k. Daten­schutz e.K.
Nächs­te Termine
  • Keine Termine
Mit­glied­schaf­ten