Datenschutz ist eines der zentralen Themen unserer Zeit, und öffentliche Stellen in Deutschland sind gemäß der Datenschutz-Grundverordnung (DSGVO) verpflichtet, Datenschutzbeauftragte zu bestellen. Diese übernehmen eine Schlüsselrolle bei der Sicherstellung der Einhaltung der datenschutzrechtlichen Vorschriften. Doch gerade in behördlichen Strukturen stellt sich oft die Frage, wie Datenschutzbeauftragte ihre Aufgaben wahrnehmen können, wenn sie zusätzlich andere Aufgaben innerhalb der öffentlichen Verwaltung übernehmen. Dies birgt das Risiko von Interessenkonflikten, die vermieden werden müssen, um die Unabhängigkeit und Effektivität der Datenschutzbeauftragten sicherzustellen.
Die rechtlichen Rahmenbedingungen
Die DSGVO räumt Datenschutzbeauftragten eine besondere Stellung ein, die ihre Unabhängigkeit und Neutralität gewährleistet soll. Es wird jedoch auch zugestanden, dass Datenschutzbeauftragte neben ihrer Hauptaufgabe andere Aufgaben übernehmen dürfen, solange diese nicht zu einem Interessenkonflikt führen. Dies ist in Art. 38 Abs. 6 DSGVO sowie den Landesdatenschutzgesetzen verankert.
Ein Interessenkonflikt entsteht insbesondere dann, wenn Datenschutzbeauftragte in ihrer Funktion nicht mehr objektiv handeln können, weil sie selbst in die Prozesse involviert sind, die sie überwachen sollen. Dies führt zu einem erheblichen Spannungsfeld, wenn andere Aufgaben auf Datenschutzbeauftragten übertragen werden, die die Verarbeitung personenbezogener Daten betreffen und Entscheidungsbefugnisse über diese Prozesse beinhalten.
Der Fall des Geheimschutzbeauftragten
Ein Beispiel für einen solchen Interessenkonflikt ist der Fall eines behördlichen Datenschutzbeauftragten, dem zusätzlich die Aufgabe als Geheimschutzbeauftragten übertragen werden sollte. Dies wurde dem Thüringer Landesbeauftragten für den Datenschutz und die Informationsfreiheit (TLfDI) im Rahmen einer Anfrage vorgelegt (vgl. Tätigkeitsbericht für den Berichtszeitraum 2023, S. 56 ff.). Nach eingehender Prüfung wurde festgestellt, dass die beiden Funktionen unvereinbar sind.
Der Geheimschutzbeauftragte ist für die Durchführung von Sicherheitsüberprüfungen zuständig, bei denen in erheblichem Umfang sensible personenbezogene Daten verarbeitet werden. Diese Tätigkeit birgt nicht nur hohe Risiken für die betroffenen Personen, sondern auch Entscheidungsspielräume für den Geheimschutzbeauftragten in Bezug auf die Verarbeitung der Daten. Wenn dieselbe Person sowohl die Rolle des Datenschutzbeauftragten als auch die des Geheimschutzbeauftragten innehätte, würde sie faktisch ihre eigenen datenschutzrechtlichen Handlungen überwachen müssen, was eine unabhängige Kontrolle unmöglich macht.
Ein solches Dilemma ist nicht nur theoretischer Natur, sondern wurde auch in anderen Bundesländern, wie etwa Baden-Württemberg, als Problem erkannt und diskutiert. Bereits im Tätigkeitsbericht für 2018 wurde betont, dass eine personelle Trennung dieser beiden Funktionen zwingend erforderlich ist, um Interessenkonflikte zu vermeiden (vgl. Tätigkeitsbericht für den Berichtszeitraum 2018, S. 29 f.).
Weitere potenzielle Interessenkonflikte
Neben der Funktion des Geheimschutzbeauftragten gibt es in der Praxis zahlreiche weitere Aufgabenbereiche, die nicht mit der Position des Datenschutzbeauftragten vereinbar sind. Dazu gehören insbesondere leitende Positionen innerhalb öffentlicher Stellen, wie etwa in der IT-Abteilung oder im Personalwesen. Diese Positionen sind häufig eng mit der Verarbeitung und Entscheidungsfindung in Bezug auf personenbezogene Daten verknüpft. Ein*e Datenschutzbeauftragte*r in einer solchen Rolle wäre in der Lage, die von ihm*ihr oder seiner*ihrer Abteilung verantworteten Prozesse zu beeinflussen und müsste gleichzeitig deren Einhaltung der Datenschutzvorschriften überwachen – ein klarer Interessenkonflikt.
Gleiches gilt für den Bereich der IT-Sicherheit und die Funktion des Geldwäschebeauftragten. Auch hier wird durch die operative Nähe zur Verarbeitung von Daten und der Einflussnahme auf deren Schutzmechanismen ein potenzieller Interessenkonflikt geschaffen. Es ist daher essenziell, dass diese Rollen personell getrennt werden, um die Unabhängigkeit der*des Datenschutzbeauftragten sicherzustellen.
Die Verantwortung der öffentlichen Stellen
Die Verantwortung, solche Interessenkonflikte zu vermeiden, liegt klar bei den öffentlichen Stellen. Sie sind nach Art. 38 Abs. 6 DSGVO sowie den Landesdatenschutzgesetzen verpflichtet, sicherzustellen, dass Datenschutzbeauftragten keine Aufgaben übertragen werden, die mit ihrer Funktion unvereinbar sind. Dies erfordert eine sorgfältige Einzelfallprüfung, bei der die jeweilige organisatorische Situation der öffentlichen Stelle und die konkreten Aufgaben der Datenschutzbeauftragten berücksichtigt werden müssen.
Neben der Vermeidung von Interessenkonflikten ist es zudem unerlässlich, dass den Datenschutzbeauftragten genügend Zeit und Ressourcen zur Verfügung stehen, um ihre Aufgaben effektiv erfüllen zu können. Dies ist ein weiterer Aspekt, den die öffentliche Stelle bei der Zuweisung von Aufgaben bedenken muss. Datenschutzbeauftragter, die durch andere Pflichten überlastet sind, werden ihren Kernaufgaben – der Überwachung und Beratung in Datenschutzfragen – nicht in ausreichendem Maße nachkommen können.
Externe Datenschutzbeauftragte als Lösung
Eine praktikable Lösung, um Interessenkonflikte zu vermeiden und die Unabhängigkeit von Datenschutzbeauftragten zu gewährleisten, kann die Benennung externer Datenschutzbeauftragter sein. Diese sind in der Regel nicht in die internen Abläufe der öffentlichen Stellen eingebunden und können daher eine objektivere Sicht auf die Prozesse und die Einhaltung der Datenschutzvorschriften einnehmen. Sie bieten den Vorteil, dass sie weder durch interne Machtstrukturen noch durch andere Verpflichtungen in der Organisation beeinflusst werden.
Zudem bringen externe Datenschutzbeauftragte häufig umfangreiche Fachkenntnisse und Erfahrungen aus unterschiedlichen Bereichen mit, was ihnen ermöglicht, komplexe datenschutzrechtliche Fragestellungen effizient zu bearbeiten und zugleich ihre Unabhängigkeit zu bewahren. Durch ihre klare Fokussierung auf die datenschutzrechtlichen Aufgaben können sie eine wertvolle Unterstützung für die öffentliche Stelle darstellen und helfen, die gesetzlichen Vorgaben zur Vermeidung von Interessenkonflikten effektiv umzusetzen.
Insgesamt zeigt sich, dass die Vermeidung von Interessenkonflikten bei behördlichen Datenschutzbeauftragten nicht nur eine rechtliche, sondern auch eine organisatorische Herausforderung darstellt. Öffentliche Stellen sind gefordert, verantwortungsvoll mit der Zuweisung von Aufgaben umzugehen und sicherzustellen, dass Datenschutzbeauftragte in ihrer Rolle uneingeschränkt und unabhängig arbeiten können.
Anonym
4. November 2024 @ 14:46
Sorry, diese Conclusio geht aber völlig daneben. Externe Datenschutzbeauftragte sind doch per se nicht unabhängig, denn sie werden ihren Auftrag behalten wollen. Diese Argumentation ist ein wenig zu viel zu oberflächlich. Man sollte den Begriff der Interessenkonflikte nicht überbewerten. Es soll noch Menschen geben, die wertfrei denken können und in der Lage sind zu differenzieren. Hier ist das Werberinteresse zu deutlich zu sehen!