[IITR – 05.12.22] In vielen – vermehrt kleineren und mittleren – Unternehmen stellt sich seit Einführung der Datenschutzgrundverordnung die Frage, ob man denn nun auch selbst einen Datenschutzbeauftragten benötigte. Vielerorts kam man auf das Ergebnis, dass das wohl notwendig sei – 20 „ständig mit der automatisierten Verarbeitung Beschäftigte“ finden sich eben doch recht häufig. In der Folge gilt es die passende Person zu finden: „Gibt es Freiwillige? Nein? Dann bestimme ich jemanden!“ – So könnte und wird es in einigen Unternehmen abgelaufen sein. Doch kann man theoretisch wirklich jeden Beschäftigten zum Datenschutzbeauftragten benennen?
„Der Datenschutzbeauftragte wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“ (Art. 37 Abs. 5 DSGVO)
Ein gewisses Fachwissen ist unbedingt vorausgesetzt – ein solches lässt sich aber durch Schulungen erlernen. Eine Anforderung also, die sich lösen ließe. Es gibt jedoch auch klare Ausschlusskriterien:
„Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“ (Art. 38 Abs. 6 DSGVO)
Keine “vermeidbare Interessenkollision” bei der Bestellung zum Datenschutzbeauftragten
Die Funktion des Datenschutzbeauftragten lässt sich zwar grundsätzlich mit anderen Funktionen vereinbaren. Dies gilt allerdings nicht grenzenlos. Sobald es zu vermeidbaren Konflikten zwischen den beiden Aufgaben- und Pflichtenbereichen kommt, ist eine Vereinbarkeit nicht mehr gegeben.
Müsste beispielsweise ein Mitarbeiter in seiner Funktion als Datenschutzbeauftragter eine Entscheidung überprüfen, die er selbst in anderer Funktion getroffen hat, so entstünde unvermeidlich ein Interessenskonflikt, der gesetzlich unbedingt vermieden werden müsste. – So geschehen vor kurzem bei einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns:
„Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte.“ (so die Berliner Beauftragte für Datenschutz und Informationssicherheit in einer Pressemitteilung)
Beispielsfall: Einerseits Datenschutzbeauftragter – andererseits Geschäftsführer
„So ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus. Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung.“ (so die Pressemitteilung weiter)
Unüberlegte Benennungen erfüllen die gesetzliche Anforderung nicht einfach so und verhindern somit auch keine Bußgelder der Aufsichtsbehörden:
„Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist: die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln (…) 37, 38, 39 (…).“ (Art. 83 Abs. 4 DSGVO)
…und wie mittlerweile bekannt sein sollte, können diese Bußgelder empfindliche Höhen erreichen.
Fazit: Alternativen prüfen
Bei vielen Unternehmen führen Personalmangel oder andere Kapazitätsgrenzen dazu, dass verschiedene Aufgaben in einer Person vereint werden. Dies birgt jedoch insbesondere bei Datenschutzbeauftragten ein gewisses Risiko. – Sollte es innerhalb des Unternehmens keine geeignete Person geben, sind die möglichen Alternativen zu prüfen. Neben einer internen Lösung gibt es auch externe Lösungen, bei denen derartige Probleme nicht auftreten.
Der Beitrag Datenschutzbeauftragter und Interessenkonflikt: nicht alles ist möglich erschien zuerst auf Das Datenschutz-Blog.