Die Rolle des Datenschutzbeauftragten sowie die dazugehörigen Aufgaben sind in Art. 38 und Art. 39 DSGVO definiert. Demnach wirkt der (externe oder interne) Datenschutzbeauftragte darauf hin, dass der Verantwortliche die datenschutzrechtlichen Verpflichtungen einhält, unterstützt diesen bei der Umsetzung und fungiert zudem als weisungsfreie Kontrollinstanz. Wird ein Beschäftigter als interner Datenschutzbeauftragter benannt, kann dieser neben der Rolle als Datenschutzbeauftragter auch weitere Aufgaben im Rahmen des Beschäftigungsverhältnisses übernehmen. Voraussetzung ist allerdings, dass diese Aufgaben gemäß Art. 38 Abs. 6 DSGVO nicht im Konflikt zu den Aufgaben eines Datenschutzbeauftragten stehen. Diese Interessenkonflikte werden allerdings häufig unterschätzt.
So erhielt kürzlich eine Bank in Belgien ein Bußgeld in Höhe von 75.000 Euro (hier abrufbar), da das Unternehmen einen internen Datenschutzbeauftragten benannt hatte, der zugleich als Leiter von drei wichtigen Abteilungen fungierte. Es lohnt sich also vor der internen Bestellung der beauftragten Person für den Datenschutz zu prüfen, ob Interessenkonflikte bestehen könnten.
Tätigkeiten eines internen Datenschutzbeauftragten mit Konfliktpotenzial
Grundsätzlich sind dienstliche Aufgaben neben der Tätigkeit als interner Datenschutzbeauftragter immer dann problematisch, wenn diese die nötige Neutralität des Datenschutzbeauftragten beeinträchtigen. Kann der interne Datenschutzbeauftragte im Rahmen seiner zusätzlichen dienstlichen Aufgaben über die Mittel und Zwecke der Verarbeitung personenbezogener Daten entscheiden, sind Interessenkonflikte vorprogrammiert. Aber auch (mittelbare) Einflüsse auf die Verarbeitungstätigkeiten bzw. die Umsetzung technischer und organisatorischer Maßnahmen können Konfliktpotenzial generieren. Dies ist auch nachvollziehbar, würden derartige Funktionen dazu führen, dass der interne Datenschutzbeauftragte sich selbst kontrollieren müsste. Faktisch wäre also für die betroffenen Verarbeitungstätigkeiten kein unabhängiges Kontrollorgan mehr gegeben.
Aufsichtsbehörden, Gerichte sowie das Schrifttum sind sich dementsprechend einig darüber, dass die Funktionen der Datenschutzbeauftragten / des Datenschutzbeauftragten mit den Tätigkeiten der Managementebene (Geschäftsführung, Leitung der IT-Abteilung, Leitung des HR-Bereichs etc.) nicht vereinbar sind. Dies ergibt sich mithin deutlich aus dem adaptierten WP 243 des European Data Protection Board (hier abrufbar).
Vorlagefrage an den EuGH
Wird ein Geschäftsführer als Datenschutzbeauftragter des eigenen Unternehmens benannt, dürfte unzweifelhaft ein klarer Interessenkonflikt gegeben sein. Allerdings ist längst nicht abschließend geklärt, in welchen weiteren Konstellationen zwangsweise von einem Interessenkonflikt im Sinne des Art. 38 Abs. 6 DSGVO auszugehen ist. Dies veranlasste bspw. im vergangenen Jahr das BAG dem EuGH im Rahmen eines Vorabentscheidungsverfahrens u. a. die Frage vorzulegen, ob ein Betriebsratsvorsitzender aufgrund der mit diesem Amt zusammenhängenden Aufgaben gleichzeitig als interner Datenschutzbeauftragter agieren darf.
Die Antwort des EuGH darf mit Spannung erwartet werden, könnten sich hieraus doch Anhaltspunkte für die Beurteilung ähnlich gelagerter Konstellationen ergeben. Dies gilt insbesondere aufgrund der (in Deutschland) durch das Betriebsrätemodernisierungsgesetz in § 79a BetrVG verankerten Klarstellung bezüglich der Stellung des Betriebsrats (wir berichteten). Der Beschluss des BAG und die Vorabfragen sind hier abrufbar.
Fazit
Vor der Bestellung eines internen Datenschutzbeauftragten ist zunächst (ggf. durch entsprechende Fortbildungsmaßnahmen) sicherzustellen, dass diese Person über die ausreichende Fachkompetenz verfügt. Zudem muss geprüft werden, ob die Person weitere Tätigkeiten in der Organisation übernimmt, die zu Interessenkonflikten mit den Aufgaben in der Funktion als Datenschutzbeauftragte/ als Datenschutzbeauftragter führen können. Sofern Interessenskonflikte ersichtlich sind müssen die organisatorischen Rahmenbedingungen entsprechend gestaltet bzw. Aufgaben delegiert werden. Alternativ kann es auch sinnvoll sein, einen externen Datenschutzbeauftragten zu benennen, um derartige Konflikte zu vermeiden.
Anonymous
3. März 2022 @ 14:16
„Alternativ kann es auch sinnvoll sein, einen externen Datenschutzbeauftragten zu benennen, um derartige Konflikte zu vermeiden.“
Wenn das ein Unternehmen schreibt, das die Dienstleistung „externer Datenschutzbeauftragter“ anbietet ist der Artikel natürlich auch nicht ohne Interessenkonflikt?. Aber was soll’s: euer Blog ist super!