Inter­es­sens­kon­flik­te bei Daten­schutz­be­auf­trag­ten vermeiden

Rechts­la­ge: Ver­mei­dung von Inter­es­sens­kon­flik­ten bei einem Daten­schutz­be­auf­trag­ten vorgeschrieben

Bereits im Anwen­dungs­rah­men des alten BDSG (vor Mai 2018) galt es, Inter­es­sens­kon­flik­te eines Daten­schutz­be­auf­trag­ten bei der Aus­übung sei­ner Tätig­keit zu ver­mei­den. Art. 38 Abs. 6 DSGVO (exter­ner Link) regelt das seit Mai 2018 nicht anders:

“Der Daten­schutz­be­auf­trag­te kann ande­re Auf­ga­ben und Pflich­ten wahr­neh­men. Der Ver­ant­wort­li­che oder der Auf­trags­ver­ar­bei­ter stellt sicher, dass der­ar­ti­ge Auf­ga­ben und Pflich­ten nicht zu einem Inter­es­sen­kon­flikt führen.”

Der Lan­des­be­auf­trag­te für den Daten­schutz und die Infor­ma­ti­ons­frei­heit von Baden-Würt­tem­berg, Dr. Ste­fan Brink hat dies in sei­nem 38. Tätig­keits­be­richt 2018 (exter­ner Link) aus­führ­li­cher beleuch­tet. “Der Ver­ant­wort­li­che bzw. Auf­trags­ver­ar­bei­ter hat aller­dings dafür Sor­ge zu tra­gen, dass […] kei­ne Unver­ein­bar­kei­ten bzw. Befan­gen­heit vorliegen.”

Wer darf bzw. darf die Funk­ti­on des Daten­schutz­be­auf­trag­ten in einem Unter­neh­men oder einer Behör­de ausüben?

In Anbe­tracht der wei­ten Prüf- und Kon­troll­pflich­ten eines Daten­schutz­be­auf­trag­ten, zieht Brink hier eine deut­li­che Grenze:

“Für eine kor­rek­te Erfül­lung der Auf­ga­ben des DSB ist viel­mehr eine wei­test­ge­hen­de Distanz gegen­über der zu kon­trol­lie­ren­den Stel­le uner­läss­lich, denn eine effek­ti­ve Kon­trol­le ist dann zu bezwei­feln, wenn der Kon­trol­leur sich selbst kon­trol­lie­ren muss.”

Das mit der zu kon­trol­lie­ren­den Stel­le die Orga­ni­sa­ti­on (Unter­neh­men, Behör­de, Ver­ein) gemeint ist, wel­che den Daten­schutz­be­auf­trag­ten zu bestel­len hat, liegt auf der Hand. Gene­rell soll der DSB kei­ne ande­re Funk­ti­on aus­üben, in der er oder sie über die Zwe­cke oder Mit­tel der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten selbst zu ent­schei­den hat. Doch was bedeu­tet das nun kon­kret (Sei­ten 28–30 des TB), wer schei­det für die Aus­übung des Daten­schutz­be­auf­trag­ten gene­rell aus:

  1. Leitungs‑, Chef- und Inha­ber­ebe­ne: Inha­ber, Lei­ter, Part­ner, Vor­stand, Geschäfts­füh­rer, Mit­glied der Geschäfts­lei­tung, Mana­ger, Bür­ger­meis­ter, Land­rat oder ander­wei­tig beru­fe­ne Lei­tung der Organisation
  2. Nach­ge­ord­ne­te Posi­tio­nen mit Füh­rungs­auf­ga­ben und Ent­schei­dungs­kom­pe­tenz über die Fest­le­gung von Zwe­cken und Mit­teln der Daten­ver­ar­bei­tung (IT): IT-Lei­ter, Lei­ter des ope­ra­ti­ven Geschäfts­be­reichs, Lei­ter Mar­ke­ting, Lei­ter Per­so­nal, Betriebs­lei­ter, Amts- bzw- Geschäfts­lei­ter, aber durch­aus auch nach­ge­la­ger­te Funk­tio­nen, wenn die­se ähn­li­che Inter­es­sens­kon­flik­te mit sich bringen
  3. Berei­che mit hohem Ver­ar­bei­tungs­um­fang: Mit­ar­bei­ter aus dem Personal‑, Ver­triebs- oder Marketingbereich
  4. Beauf­trag­te: Geheim­schutz­be­auf­trag­te, Geldwäschebeauftragte

Bei der Prü­fung auf mög­li­che Inter­es­sens­kon­flik­te sind auch fami­liä­re Ver­hält­nis­se zu berück­sich­ti­gen. So kann bei zu engen fami­liä­ren Bezie­hun­gen zwi­schen Orga­ni­sa­ti­ons­lei­tung bzw. Inha­ber und dem zu bestel­len­den Daten­schutz­be­auf­trag­ten die not­wen­di­ge Unab­hän­gig­keit nach Art. 38 Abs. 3 DSGVO nicht mehr gewähr­leis­tet sein. Das gilt übri­gens unab­hän­gig davon, ob der oder die Ver­wand­te bei der bestel­len­den Orga­ni­sa­ti­on beschäf­tigt ist oder nicht.

Dann bestel­len wir doch ein­fach einen exter­nen Daten­schutz­be­auf­trag­ten, der hat kei­ne Interessenskonflikte

Vom Ansatz her gut, aber auch hier gilt es, vor­han­de­ne Inter­es­sens­kon­flik­te zu ver­mei­den. So ist lt. Brink der genutz­te IT-Dienst­leis­ter eben­falls befan­gen und soll­te daher nicht als exter­ner Daten­schutz­be­auf­trag­ter bestellt wer­den. Das gilt auch für den Fall, dass der Dienst­leis­ter für die IT-Betreu­ung und den Daten­schutz zwei unter­schied­li­che Mit­ar­bei­ter ein­setzt. Soll­te der exter­ne Daten­schutz­be­auf­trag­te die Orga­ni­sa­ti­on in daten­schutz­recht­li­chen Sachen vor Gericht ver­tre­ten, ist eben­falls ein Inter­es­sens­kon­flikt anzunehmen.

Durch unse­re Fokus­sie­rung auf die bei­den The­men Daten­schutz und Infor­ma­ti­ons­si­cher­heit sind wir bei Aus­übung der Funk­ti­on des exter­nen Daten­schutz­be­auf­trag­ten frei von Inter­es­sens­kon­flik­ten. Wir sind in kei­nen ande­ren Berei­chen für Sie tätig und bestim­men wei­ter­hin nicht über Zweck und Mit­tel zur Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten in Ihrer Orga­ni­sa­ti­on. Spre­chen Sie uns an (inter­ner Link).

 

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.