Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, dürfen nur solche Personen bestellen, die in der Lage sind, diese Aufgabe frei von sachfremden Zwängen auszuüben.
Wenn diese Anforderungen nicht berücksichtigt werden, kann das betreffende Unternehmen notfalls mit einer Geldbuße dazu gezwungen werden, meint Thomas Kranig, Präsident des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA).
Mit der Frage des Interessenskonflikts haben wir uns mehrfach in unserem Blog bereits im letzten Jahr beschäftigt. Hintergrund war die Bestellung eines Datenschutzbeauftragten, der gleichzeitig Personalchef bzw. Betriebsratsmitglied war.
Im aktuellen Fall hat der Präsident des BayLDA sich auf eine causa bezogen, bei der der Datenschutzbeauftragte gleichzeitig IT-Manager des Unternehmens war. Hierin sah er einen Interessenskonflikt, denn diese Doppelfunktion liefe darauf hinaus, dass der Datenschutzbeauftragte sich selbst in seiner anderen Funktion als IT-Manager kontrolliere. Als IT-Manager habe er maßgebliche operative Verantwortung für Datenverarbeitungsprozesse, die er als Datenschutzbeauftragter schwerlich selbst kontrollieren dürfe.
Auf den ersten Blick gibt das Datenschutzrecht im Gegensatz zu anderen Rechtsgebieten nur bedingt Auskunft zur Frage der Interessenskollision. Im Strafrecht kennen wir die Frage der Interessenskollision, auch Prävarikation genannt, aus § 146 StPO (Fall der Doppelverteidigung) oder aus § 68b Abs. 1 S. 3 StPO (Ausschluss als Zeugenbeistand wegen befürchteter Beeinträchtigung der Beweisaufnahme). Auch aus dem Rechtsgebiet des Betreuungs- und Vormundschaftsrechts ist die Interessenskollision geregelt. So regelt § 1795 BGB in Ergänzung zum In-Sich-Geschäfts gem. § 181 BGB den Ausschluss des Vormunds bei Rechtsgeschäften zwischen dem Vormund als natürliche Person und dem Mündel, gesetzlich vertreten durch den Vormund. Soweit der Betreuer aus rechtlichen Gründen, wegen der Möglichkeit der Interessenskollision, gehindert ist, ist mindestens ein Ergänzungsbetreuer eben für diesen Rechtskreis gem. §§ 1899 Abs. 4, 1908i, 1795 BGB zu bestellen. Und Mitarbeiter in einer stationären Einrichtung dürfen a priori nicht zu Betreuern der Bewohner gem. § 1897 Abs. 3 BGB bestellt werden.
Das BDSG hingegen stellt § 4f Abs. 2 S. 1 BDSG lediglich auf die Fachkunde und Zuverlässigkeit ab, während § 4f Abs. 3 S. 2 BDSG Weisungsfreiheit des Datenschutzbeauftragten vorschreibt.
Während andere Rechtsgebiete die Frage der Zuverlässigkeit ausschließlich nach subjektiven Kriterien, also der konkreten charakterlichen Eignung des Betroffenen, beurteilt, hat die Zuverlässigkeit i. S. d. § 4f Abs. 2 BDSG subjektive, aber auch objektive Faktoren. Subjektive Faktoren sind auch hier die der persönlichen Eigenschaften. Objektive Faktoren lassen sich auf mögliche Interessenskollisionen reduzieren. Dieser drängt sich stets dann auf, wenn es an der klaren Trennung zwischen der verantwortlichen Stelle und dem Beauftragten fehlt. Die klare Trennung muss in organisatorischer, inhaltlicher, hierarchischer, aber auch wirtschaftlicher Hinsicht erfolgen. Der Datenschutzbeauftragte darf sich in der jeweils anderen Funktion nicht mit den personenbezogenen Daten befassen, sei es als EDV-Abteilungsleiter, sei es Leiter der Marketing-Abteilung, weil er ansonsten der Kontrolle durch sich selbst unterläge.
Ein wirtschaftlicher Interessenskonflikt ergibt sich zwangsläufig, wenn der Datenschutzbeauftragte selbst Anteilseigner des Unternehmens ist oder zumindest ein eigenes Interesse an der wirtschaftlichen Entwicklung des Unternehmens hat.
Ein hierarchischer Interessenskonflikt besteht, wenn der Datenschutzbeauftragte selbst in Entscheidungsprozesse eingebunden ist, die den Datenschutz betreffend, er aber aus dem Subordinationsverhältnis in seiner Funktion als Datenschutzbeauftragter frei in seinen Entscheidungen ist. Diese Konstellation kollidiert in jedem Falle mit dem Weisungsfreiheitsgebot aus § 4f Abs. 3 BDSG.
Auf europäischer Ebene wurde diese Frage dankenswerter Weise eindeutig beantwortet, denn Art. 36 Nr. 4 des Ministerratsentwurfs zur DGSVO wurde wörtlich übernommen: Art. 38 Abs. 6 S. 2 DSGVO regelt nunmehr, dass Verantwortliche oder Auftragsverarbeiter sicherstellen, dass Aufgaben und Pflichten (des Datenschutzbeauftragten) nicht zu einem Interessenskonflikt führen.
Die Entscheidung des BayLDA verdeutlicht, wie wichtig die tatsächliche Unabhängigkeit des Datenschutzbeauftragten ist und dass eine Unterschätzung des Datenschutzes zu mitunter schmerzlichen Sanktionen führt.
26. Oktober 2016 @ 16:15
Interessanter Beitrag.
26. Oktober 2016 @ 14:00
Guten Tag,
mit Interesse habe ich Ihren Beitrag gelesen. Wenn ich das richtig gelesen habe können Betriebsräte nicht das ´´Amt ´´des Datenschutzbeauftragten in einem Betrieb übernehmen !? In unserem Betrieb sind zwei Damen des Betriebsrates auch Datenschutzbeauftragte des Betriebsrates, dazu kommt noch die Datenschutzbeauftrage des betreffenden Unternehmens.
27. Oktober 2016 @ 10:35
Vielen Dank für Ihren Kommentar. Ihre Anfrage möchte ich wie folgt beantworten:
Das Bundesarbeitsgericht hat in dem Urteil vom 23.03.2011 – 10 AZR 562/ 09 klargestellt, dass allein aus dem Umstand, dass der Datenschutzbeauftragte gleichzeitig Betriebsratsmitglied ist, seine Zuverlässigkeit nicht nicht infrage gestellt werden kann. In Fragen des Datenschutzes sollen Betriebsrat und Datenschutzbeauftragter die Kontrolle faktisch verdoppeln, denn der Betriebsrat hat nicht nur darüber zu wachen, dass bei Erfüllung der gesetzlichen Vorschriften ein Datenschutzbeauftragter bestellt wird, sondern darüber hinaus seine Überwachungspflicht auch auf den Datenschutz zu erstrecken. Dies folgt aus § 80 Abs. 1 Nr. 1 BetrVG und § 68 Abs. 1 Nr. 2 BPersVG.
Allerdings kann sich durchaus eine Interessenskollision ergeben, wenn der Datenschutzbeauftragter auch Mitglied des Betriebsrates ist. Dies ergibt sich aus den grundsätzlich unterschiedlichen Aufgaben: Während der Datenschutzbeauftragte sich nahezu ausschließlich mit dem Datenschutz in dem jeweiligen Unternehmen umfassend beschäftigt, hierbei nicht nur den Datenschutz für die Arbeitnehmerinnen und Arbeitnehmer überwacht, sondern den Datenschutz auch betreffend der Daten betreffend Kunden, Geschäfts- und Vertriebspartnern, Subunternehmen usw., also sämtlicher „Stakeholder“, vertritt der Betriebsrat die Interessen der Arbeitnehmer insgesamt. Der Interessenskonflikt ergibt sich dann, wenn der Betriebsrat Konzessionen bei der Verwendung von Arbeitnehmerdaten um den Preis anderer von ihm angestrebter Regelungen macht. Auch bringt diese Doppelfunktion Belastungen, zeitlicher und inhaltlicher Natur, welche leicht zu Zugeständnissen zwingen, die sich mit einer konsequenten Anwendung des Datenschutzes nicht vertragen.
Aus diesem Grunde wird überwiegend diese Doppelfunktion abgelehnt, um etwaige Interessenskollision a priori auszuschließen.
Ganz kurz möchte ich auf die von Ihnen erwähnten Datenschutzbeauftragten des Betriebsrats eingehen. Hierbei handelt es sich um nicht im Gesetz vorgesehene Datenschutzbeauftragte i. S. d. § 4f BDSG, sondern um Berater im Bereich des Datenschutz. Nur öffentliche der nicht-öffentliche Stellen unterliegen dem BDSG gem. §§ 2 Abs. 4 i. V. m. § 1 Abs. 2 Nr. 3, 4f Abs. 1 BDSG. Der Betriebsrat ist wegen fehlender Rechtsfähigkeit Teil des Unternehmens i. S. d. § 3 Abs. 7 BDSG, ist daher nicht selbständige (öffentliche oder nicht-öffentliche) Stelle i. S. d. § 4f Abs. 1 S. 1 BDSG. Daher sind die Datenschutzbeauftragten des Betriebsrats nicht als Datenschutzbeauftragte i. S. d. § 4f BDSG zu bewerten. Aus diesem Grunde kann sich auch kein Interessenskonflikt ergeben, denn es handelt sich um Berater bzw. Betriebsratsmitglieder mit (nicht normierten) besonderem Aufgabenbereich.
Ich hoffe, Ihnen mit der Antwort geholfen zu haben.
i.A. von Herrn Bleckmann Ihre Blogredaktion