Rechtslage: Vermeidung von Interessenskonflikten bei einem Datenschutzbeauftragten vorgeschrieben
Bereits im Anwendungsrahmen des alten BDSG (vor Mai 2018) galt es, Interessenskonflikte eines Datenschutzbeauftragten bei der Ausübung seiner Tätigkeit zu vermeiden. Art. 38 Abs. 6 DSGVO (externer Link) regelt das seit Mai 2018 nicht anders:
“Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.”
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit von Baden-Württemberg, Dr. Stefan Brink hat dies in seinem 38. Tätigkeitsbericht 2018 (externer Link) ausführlicher beleuchtet. “Der Verantwortliche bzw. Auftragsverarbeiter hat allerdings dafür Sorge zu tragen, dass […] keine Unvereinbarkeiten bzw. Befangenheit vorliegen.”
Wer darf bzw. darf die Funktion des Datenschutzbeauftragten in einem Unternehmen oder einer Behörde ausüben?
In Anbetracht der weiten Prüf- und Kontrollpflichten eines Datenschutzbeauftragten, zieht Brink hier eine deutliche Grenze:
“Für eine korrekte Erfüllung der Aufgaben des DSB ist vielmehr eine weitestgehende Distanz gegenüber der zu kontrollierenden Stelle unerlässlich, denn eine effektive Kontrolle ist dann zu bezweifeln, wenn der Kontrolleur sich selbst kontrollieren muss.”
Das mit der zu kontrollierenden Stelle die Organisation (Unternehmen, Behörde, Verein) gemeint ist, welche den Datenschutzbeauftragten zu bestellen hat, liegt auf der Hand. Generell soll der DSB keine andere Funktion ausüben, in der er oder sie über die Zwecke oder Mittel der Verarbeitung personenbezogener Daten selbst zu entscheiden hat. Doch was bedeutet das nun konkret (Seiten 28–30 des TB), wer scheidet für die Ausübung des Datenschutzbeauftragten generell aus:
- Leitungs‑, Chef- und Inhaberebene: Inhaber, Leiter, Partner, Vorstand, Geschäftsführer, Mitglied der Geschäftsleitung, Manager, Bürgermeister, Landrat oder anderweitig berufene Leitung der Organisation
- Nachgeordnete Positionen mit Führungsaufgaben und Entscheidungskompetenz über die Festlegung von Zwecken und Mitteln der Datenverarbeitung (IT): IT-Leiter, Leiter des operativen Geschäftsbereichs, Leiter Marketing, Leiter Personal, Betriebsleiter, Amts- bzw- Geschäftsleiter, aber durchaus auch nachgelagerte Funktionen, wenn diese ähnliche Interessenskonflikte mit sich bringen
- Bereiche mit hohem Verarbeitungsumfang: Mitarbeiter aus dem Personal‑, Vertriebs- oder Marketingbereich
- Beauftragte: Geheimschutzbeauftragte, Geldwäschebeauftragte
Bei der Prüfung auf mögliche Interessenskonflikte sind auch familiäre Verhältnisse zu berücksichtigen. So kann bei zu engen familiären Beziehungen zwischen Organisationsleitung bzw. Inhaber und dem zu bestellenden Datenschutzbeauftragten die notwendige Unabhängigkeit nach Art. 38 Abs. 3 DSGVO nicht mehr gewährleistet sein. Das gilt übrigens unabhängig davon, ob der oder die Verwandte bei der bestellenden Organisation beschäftigt ist oder nicht.
Dann bestellen wir doch einfach einen externen Datenschutzbeauftragten, der hat keine Interessenskonflikte
Vom Ansatz her gut, aber auch hier gilt es, vorhandene Interessenskonflikte zu vermeiden. So ist lt. Brink der genutzte IT-Dienstleister ebenfalls befangen und sollte daher nicht als externer Datenschutzbeauftragter bestellt werden. Das gilt auch für den Fall, dass der Dienstleister für die IT-Betreuung und den Datenschutz zwei unterschiedliche Mitarbeiter einsetzt. Sollte der externe Datenschutzbeauftragte die Organisation in datenschutzrechtlichen Sachen vor Gericht vertreten, ist ebenfalls ein Interessenskonflikt anzunehmen.
Durch unsere Fokussierung auf die beiden Themen Datenschutz und Informationssicherheit sind wir bei Ausübung der Funktion des externen Datenschutzbeauftragten frei von Interessenskonflikten. Wir sind in keinen anderen Bereichen für Sie tätig und bestimmen weiterhin nicht über Zweck und Mittel zur Verarbeitung personenbezogener Daten in Ihrer Organisation. Sprechen Sie uns an (interner Link).