Vor kurzem sind wir beim NDR auf folgende Schlagzeile gestoßen: „Uni-Klinik Greifswald: Ärger mit dem Datenschutz“. Laut des NDR soll der für die Uni-Klinik intern bestellte Datenschutzbeauftragte innerhalb der Klinik noch weitere Aufgaben, wie die des Leiters der Personalabteilung, ausüben. Doch ist dies allein aus datenschutzrechtlicher Sicht bereits kritisch? Der Landesbeauftrage für Datenschutz und Datensicherheit Mecklenburg-Vorpommern, Reinhard Dankert, findet schon. Er hat sich im vorliegenden Fall eingeschaltet und spricht sich deutlich gegen eine derartige Doppelfunktion beim bestellten Datenschutzbeauftragten aus. Wesentliche Argumentation dabei ist, dass es aufgrund der gleichzeitigen Tätigkeit als Personalchef der Uni-Klinik (laut NDR für etwa 4.700 Mitarbeiter) hinsichtlich der Ausübung seines Amtes als behördlicher Datenschutzbeauftragter zu einem Interessenkonflikt kommen würde.
Wann liegt ein Interessenkonflikt denn vor?
Wie eine Person befähigt sein muss, um als Datenschutzbeauftragter bestellt werden zu können, findet sich für den betrieblichen Datenschutzbeauftragten in § 4f Abs. 2 des Bundesdatenschutzgesetzes und für den behördlichen Datenschutzbeauftragten in den jeweiligen Landesgesetzen (beispielsweise § 8 a Abs. 2 Niedersächsisches Datenschutzgesetz, § 10 a Abs. 2 Hamburgisches Datenschutzgesetz etc.) wieder. Die entscheidende Gemeinsamkeit all dieser Regelungen: Zum Beauftragten für den Datenschutz darf nur derjenige bestellt werden, der neben der notwendigen Fachkunde auch die zur Erfüllung seiner Aufgaben erforderliche Zuverlässigkeit besitzt. Kann man sich insofern zumindest etwas unter Fachkunde vorstellen, ist der Begriff Zuverlässigkeit doch ziemlich abstrakt.
Im Allgemeinen setzt Zuverlässigkeit neben den entsprechenden persönlichen Eigenschaften, wie etwa Integrität und Verschwiegenheit, ebenfalls voraus, dass bei der jeweiligen Person kein Interessenkonflikt zu ihrer bereits einnehmenden Stellung im Unternehmen entsteht. Ein Interessenkonflikt liegt immer dann nahe, wenn eine Person, die für die datenverarbeitende Stelle verantwortlich ist oder einzuhaltende Grundsätze in diesem Zusammenhang festlegt, sich dabei zeitgleich selbst kontrollieren soll. Aus diesem Grund wird vertreten, dass der Datenschutzbeauftragte nicht auch noch gleichzeitig Leiter der IT-, Personal- oder Marketingabteilung sein darf.
Blick nach Europa
Nachdem nun auf europarechtlicher Ebene die Pläne für ein europaweit einheitliches Datenschutzrecht, die Datenschutzgrundverordnung, konkreter werden (wir berichteten), kommt die mehr als berechtigte Frage auf, was dann mit den derzeit nationalen Befähigungsvoraussetzungen eines Datenschutzbeauftragten passiert. Neben Art. 35 Nr. 5 des aktuellen EU-Ministerratentwurfes, der klare Vorgaben zu den fachlichen Fähigkeiten eines Datenschutzbeauftragten enthält, sieht Art. 36 Nr. 4 dieses Entwurfes zudem folgende Regelung vor:
“The data protection officer may fulfil other tasks and duties. The controller or processor shall ensure that any such tasks and duties do not result in a conflict of interests.”
Sinnbildlich übersetzt, darf danach der bestellte Datenschutzbeauftragte mit seinen Aufgaben ebenfalls nicht in einem Interessenkonflikt zu möglichen anderen, von ihm ausgeübten, Tätigkeiten geraten. Damit scheint zumindest bezüglich des Punktes „Zuverlässigkeit“ das derzeitige Datenschutzniveau beibehalten zu werden. Dies ist jedoch nur ein Trend. Wie die einzelnen Regelungen der Datenschutzgrundverordnung letztendlich aussehen werden, bleibt daher weiter abzuwarten.
Im vorliegenden Fall drängt sich jedoch noch eine ganz andere praktische Frage auf: Wie viel Zeit mag einem Personalleiter einer großen Uni-Klinik eigentlich überhaupt noch für andere Tätigkeiten zur Verfügung stehen?