Das Amt eines Datenschutzbeauftragten (DSB) darf nicht jeder ausüben. An die Benennung als DSB sind – aus guten Gründen – bestimmte fachliche, aber auch persönliche Voraussetzungen geknüpft, die erfüllt sein müssen. Eine davon besagt, dass er oder sie  als unabhängige Kontrollinstanz bei der Wahrnehmung der Aufgaben keinem Interessenkonflikt unterliegen darf.

Ein solcher Konflikt kann sich in der Praxis aus ganz verschiedenen Gründen ergeben und noch dazu teuer werden, wie ein Fall aus Österreich zeigt: Dort hat die zuständige Datenschutzaufsichtsbehörde gegen eine ansässige GmbH eine Geldstrafe von insgesamt 5.500 Euro verhängt. Ursächlich war der Umstand, dass das Unternehmen einen seiner Geschäftsführer und Mitgesellschafter zum DSB ernannt hatte.

Ähnlich wie auch bei anderen Personen auf Leitungsebene kommt hier eine Doppelrolle zum Vorschein, in welcher sich die Person bzw. ihre als Führungskraft getroffenen Entscheidungen selbst zu kontrollieren hat – ein „Klassiker“ bei potenziellen Interessenkonflikten darf man hier konstatieren, wie auch die Aufsichtsbehörde mit Blick auf die insofern eindeutige Fachliteratur verweist.

Obacht bei Prüfungen

Als Tageslicht treten kann eine solche unangenehme Konstellation etwa im Rahmen einer Beschwerde durch eine Einzelperson, wenn dadurch direkt die Datenschutzaufsichtsbehörde involviert ist. Doch auch ohne behördliche Intervention kann die Benennung der Person des DSB zum Problem werden; etwa dann, wenn das Unternehmen Dienstleistungen (als Auftragsverarbeiter) erbringt. Gerade bei Betrieben mit geringer Mitarbeiter-Anzahl kann es schwierig sein, jemanden Passendes zu finden; in solchen Fällen wird dann gerne mal – „damit man halt was vorzuweisen hat“ – auf einem Formular oder Vertragsmuster der Geschäftsführer als DSB eingetragen.

Wenn es aber im Zuge der Auftragsverarbeitung von Seiten des Aufraggebers (als Verantwortlichem) zu prüfen gilt, ob der betreffende Anbieter datenschutzrechtlich zuverlässig ist und ein ordnungsgemäßes Datenschutz-Management betreibt, kann die Luft schnell dünn werden, und das soeben noch freudig bestückte Formular zur Vergabe eines neuen Auftrags verschwindet auf der anderen Seite des Schreibtisches in der Versenkung.

Was hilft dagegen?

Wie es besser zu machen ist, beschreibt auch die Datenschutzaufsicht selbst in ihrer Entscheidung. Sie verweist dazu auf die Leitlinien des Europäischen Datenschutzausschuss (EDSA) zum Datenschutzbeauftragten – was übrigens auch ein Externer sein kann. Dort werde unter anderem ausführlich erklärt, wann von einem Interessenskonflikt auszugehen ist und welche Maßnahmen zur Begegnung eines Interessenskonflikts (z. B. durch Aufstellen eigener interner Richtlinien und einzelfallbezogene Prüfung der konkreten Sachlage beim Verantwortlichen) herangezogen werden können. Zusätzlich hat der EDSA u. a. einen Leitfaden speziell für kleine und mittlere Unternehmen (KMUs) mit einer Reihe an Empfehlungen veröffentlicht, in welchem unter anderem konkret zur Rolle des Datenschutzbeauftragten ausgeführt wird (abrufbar hier).

Es genügt also nicht, mehr oder weniger passiv den Status quo geschehen zu lassen, bis sich ein Sachverhalt ereignet, in welchem ein solcher Konflikt hervortreten könnte. Denn, so die Behörde weiter, „schließlich ist jedoch auch festzuhalten, dass sich bereits aus dem Wortlaut des Art. 38 Abs. 6 DSGVO unmissverständlich ergibt, dass der Verantwortliche sicherstellen muss, dass kein Interessenkonflikt in dieser Rolle vorliegt.“ Rausreden ist hier also nicht, vielmehr muss das Unternehmen – darum die Bezeichnung – etwas dafür unternehmen.

| | | , , , , , , , | 1 Kommentar