Bayerisches Unternehmen kassiert Bußgeld, weil IT-Manager gleichzeitig als Datenschutzbeauftragter bestellt war.
“Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten”, so das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in Ansbach.
Wer muss einen Datenschutzbeauftragten bestellen?
Unternehmen und auch Vereine müssen einen Datenschutzbeauftragten (DSB) bestellen, wenn bei ihnen mindestens zehn Personen (“mehr als neun”, so das Bundesdatenschutzgesetz) mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dabei ist es unerheblich, a) ob es sich dabei um interne oder externe personenbezogene Daten handelt und b) mit welchem Zeitanteil die Personen beschäftigt sind (Vollzeit, Teilzeit, Aushilfe etc.). Es zählt hier alleine die Zahl der “Köpfe”.
Zahlreiche Unternehmen und Vereine erfüllen diese Voraussetzungen. Das Gesetz stellt es dabei frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird („externer Datenschutzbeauftragter“) oder aber durch einen Mitarbeiter („interner Datenschutzbeauftragter“) erfüllt wird. Je nach Bundesland schreiben die Landesdatenschutzgesetze einen Datenschutzbeauftragten ebenfalls für Behörden und kommunale Einrichtungen (sog. öffentliche Stellen) verpflichtend vor. In einigen Bundesländern besteht bereits heute die Möglichkeit einer externen Bestellung des behördlichen Datenschutzbeauftragten. Mit der EU-Datenschutzgrundverordnung (EU-DSGVO) wird die Bestellpflicht für öffentliche Stellen vereinheitlicht. Ebenso soll dann eine generelle Möglichkeit der externen Bestellung für Behörden / Kommunen gegeben sein.
Wann ist von einem Interessenskonflikt auszugehen?
Wird ein Mitarbeiter zum Datenschutzbeauftragten bestellt, so darf er jedoch daneben nicht zusätzlich / weiterhin für solche Aufgaben zuständig sein, welche die Gefahr von Interessenskonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können. Der Gesetzgeber verlangt hier salopp, nicht “den Bock zum Gärtner zu machen”. Ähnlich hat dies auch die EU-Datenschutzrichtlinie (Art. 18) gefordert, völlige Unabhängigkeit des DSB in seiner Funktion als Kontrollinstanz. Mit Artikel 38 und 39 der EU-DSGVO wird dies in 2018 keine Änderung erfahren.
In einschlägigen Kommentaren zum Bundesdatenschutzgesetz (z.B. Gola / Schomerus) wird explizit darauf verwiesen, dass sich hieraus bestimmte Funktionen für die Tätigkeit des Datenschutzbeauftragten von vornherein ausschließen. Dazu zählen auf jeden Fall
- Inhaber, Vorstand, Geschäftsführer (ausnahmslos),
- Leiter der IT,
- Personalleiter,
- Vertriebsleiter (zumindest im Direktvertrieb).
Für alle anderen Funktionen ist zu prüfen, ob ein Interessenskonflikt ausgeschlossen werden kann und auch keine weiteren Beeinträchtigungen für die Ausübung der Funktion des Datenschutzbeauftragten bestehen. So ist es nicht unbedingt zielführend, einen IT-Mitarbeiter zum Datenschutzbeauftragten zu bestellen, wenn der Konflikt mit dem Vorgesetzten — dem IT-Leiter — bereits vorprogrammiert ist und der IT-Mitarbeiter seine zusätzliche Aufgabe als DSB z.B. aus Angst vor Repressalien nicht ausüben kann / wird.
Wie kam es jetzt zu diesem Bußgeld aufgrund eines Interessenskonflikts?
Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) berichtet in seiner Pressmitteilung davon, dass im Rahmen der Überprüfung eines bayerischen Unternehmens die Bestellung des IT-Leiters zum internen Datenschutzbeauftragten festgestellt wurde. Dies liefe nach Meinung der Behörde “letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus”. Aus Sicht der Behörde (und der einschlägigen Rechtskommentare) widerspricht dies der Funktion des Datenschutzbeauftragten, als unabhängige Instanz im Unternehmen auf die Einhaltung des Datenschutzes hinzuwirken (eine der Kernaufgaben des DSB).
Nachdem das Landesamt das Unternehmen mehrfach über Monate aufgefordert hat, eine Bestellung ohne Interessenskonflikt herbeizuführen und dies seitens des Unternehmens zugesagt, jedoch nicht umgesetzt wurde, verhängte die Behörde ein Bußgeld. Die Geldbuße ist mittlerweile bestandskräftig.
„Der betriebliche Datenschutzbeauftragte ist ein Erfolgsmodell und ein sehr wichtiges Element der Datenschutzorganisation in Deutschland. Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben. Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“, betont Thomas Kranig, der Präsident des BayLDA.
Was können Sie als Unternehmen tun, um solches Bußgelder zu vermeiden?
Entweder Sie vermeiden solche Interessenskonflikte oder Sie greifen zu einer transparenten und kostengünstigen externen Bestellung des Datenschutzbeauftragten, wie sie beispielsweise a.s.k. Datenschutz anbietet. Ein Angebot erhalten Sie zeitnah mittels unserer Online-Anfrage.
Übrigens gilt das Thema Interessenskonflikt auch für behördliche Datenschutzbeauftragte!!
Quelle: Pressemitteilung des BayLDA