Wenn Unternehmen einen Datenschutzbeauftragten bestellen müssen, scheint es günstig, einen Mitarbeiter mit dieser Aufgabe zu betrauen. Für die Auswahl eines geeigneten Datenschutzbeauftragten gelten jedoch einige wichtige Regeln. Zu diesen zählt auch, dass der Datenschutzbeauftragte keinen Interessenkonflikten ausgesetzt sein darf. Gerade in kleinen Betrieben kann dies schnell zur Herausforderung werden.
Die Problematik bei betrieblichen Datenschutzbeauftragten
Grundsätzlich muss ein Datenschutzbeauftragter laut Datenschutz-Grundverordnung (DSGVO) über eine entsprechende Qualifikation verfügen. Entsprechend empfiehlt es sich für Unternehmen, gemäß Art. 37 Abs. 5 DSGVO den Datenschutzbeauftragten auf Grundlage seiner beruflichen Qualifikation sowie insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benennen.
Vor allem in kleinen und mittleren Unternehmen wird häufig ein Mitarbeiter als betrieblicher Datenschutzbeauftragter in Teilzeit tätig. Art. 38 Abs. 6 DSGVO nennt diesen Fall explizit. Gleichzeitig schreibt die Regelung vor, dass dies nicht zu einem Interessenskonflikt führen darf.
Positionsbedingte Fälle von Interessenskonflikten
Doch wann besteht nun die Gefahr von Interessenskonflikten bei einem Datenschutzbeauftragten? Grundsätzlich gilt zunächst, dass eine Bestellung nicht erfolgen darf, sobald der Beauftragte sich in irgendeiner Weise selbst überwachen müsste.
In welchen weiteren Fällen ein Interessenskonflikt vorliegen könnte, hängt vom Einzelfall ab. Grundsätzlich gilt, dass der Datenschutzbeauftragte seine Tätigkeit unabhängig ausüben muss. Nicht möglich ist dies zum Beispiel bei Personen mit einer leitenden Position im Unternehmen. Ein Geschäftsführer etwa ist niemals unabhängig. Auch der Leiter einer IT-Abteilung kommt nicht als interner Datenschutzbeauftragter in Frage. Als Faustregel lässt sich festhalten: Da sich Überwachung und Entscheidung grundsätzlich ausschließen, kann der für den entsprechenden Fachbereich verantwortliche Mitarbeiter die datenschutzrechtliche Kontrolle im Unternehmen (etwa bei der Sicherheit der Verarbeitung) nicht gewährleisten. Ebenso wenig unabhängig wäre beispielsweise der Personal- oder Marketingleiter.
Persönliche Interessenskonflikte von Datenschutzbeauftragten
Aber auch unabhängig von der Position im Betrieb kann es Interessenskollisionen geben. Dies ist zum Beispiel dann der Fall, wenn zwischen dem Verantwortlichen und dem Datenschutzbeauftragten ein besonderes Beziehungsverhältnis – etwa eine enge Verwandtschaft – besteht. Aufgrund der emotionalen Nähe kann der Datenschutzbeauftragte dann gegebenenfalls nicht mehr unabhängig agieren.
Leitlinien zum Datenschutzbeauftragten
Die Artikel-29-Datenschutzgruppe hat in einem Working-Paper (WP 243 rev.01, 16/DE, S.19) Leitlinien für die Auswahl des Datenschutzbeauftragten aufgestellt. Danach kann es ratsam sein, im Unternehmen entsprechende Compliance-Regeln in Bezug auf den Datenschutzschutzbeauftragten festzulegen. Konkret sollten diese folgende Punkte enthalten:
- die Jobpositionen, die mit der Funktion des Datenschutzbeauftragten unvereinbar sind
- Richtlinien zur Vermeidung von Interessenskonflikten
- allgemeine Erläuterungen potenzieller Interessenkonflikte
- die Regel, eine Erklärung des Datenschutzbeauftragen einzuholen, nach der er sich in Bezug auf seine Funktion in keinem Interessenskonflikt befindet
- interne Sicherheitsvorkehrungen, um sicherzustellen, dass die Stellenbeschreibung des Datenschutzbeauftragen in Bezug auf die Vermeidung von Interessenskonflikten hinreichend genau und präzise formuliert ist
Drohende Sanktionen bei Interessenskonflikten des Datenschutzbeauftragten
Bestellt ein Unternehmen einen betrieblichen Datenschutzbeauftragten trotz bestehender Interessenskonflikte, kann die Aufsichtsbehörde den Beauftragten abberufen und außerdem unter bestimmten Umständen ein Bußgeld verhängen. In einer Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 20. Oktober 2016 betonte dessen Präsident:
„Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben. Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“
Der externe Datenschutzbeauftragte als Alternative
Sollte es im Einzelfall nicht möglich sein, Interessenskonflikte zu verhindern oder aufzulösen, besteht auch die Option, einen externen Datenschutzbeauftragten zu bestellen. Dies kann etwa dann erforderlich sein, wenn andere Mitarbeiter im Unternehmen aus diversen Gründen nicht zur Disposition stehen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!