Die Stellung des Datenschutzbeauftragten
8. Juli 20214. Mai 2022
1
In Compliance, Fakten

Die Stellung des Datenschutzbeauftragten

Mit der Datenschutzgrundverordnung ist die Stellung des Datenschutzbeauftragten (nachfolgend DSB) fest verankert worden. Die einschlägigen Regelungen im Hinblick auf die Stellung des DSB ergeben sich hierbei aus Art. 38 DSGVO und § 6 BDSG. Den Schwerpunkt wollen wir nachfolgend insbesondere auf die möglichen Interessenkonflikte des DSB legen.

Die Regelungen des Art. 38 DSGVO reichen von der frühzeitigen Einbindung des DSB bis hin zur Weisungsfreiheit. In Abs. 1 wird die ordnungsgemäße und frühzeitige Einbindung in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen geregelt. Hierdurch wird es dem DSB ermöglicht, bereits frühzeitig arbeitsorganisatorische Abläufe zu begleiten und diese datenschutzfreundlich zu gestalten.

Der Verantwortliche und der Auftragsverarbeiter unterstützen den DSB bei der Erfüllung seiner Aufgaben gemäß Abs. 2, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen. Im Rahmen der Aufgabenwahrnehmung mit Blick auf die notwendigen Ressourcen ist es erforderlich, dass dem DSB die notwendigen zeitlichen Kapazitäten zur Wahrnehmung der Aufgabe zur Verfügung gestellt werden, wobei das konkrete Maß der erforderlichen Unterstützung immer Einzelfallabhängig zu analysieren ist.
Eines der zentralen Elemente des Art. 38 DSGVO stellt die Weisungsfreiheit in Abs. 3 dar. Hiernach ist der DSB bei der datenschutzrechtlichen Beurteilung stattfindender Datenverarbeitungsvorgänge unabhängig und an keine Weisungen gebunden. Das bedeutet, dass er eigenständig entscheiden kann, wie er seine Aufgaben priorisiert und welche Systeme und Prozesse er einer Prüfung unterzieht.

Der DSB hat zusätzlich die Stellung inne, dass er Schutz vor Abberufung und/oder Benachteiligung genießt (Abs. 3, S. 2 DSGVO). Ebenfalls wird die Berichtspflicht des DSB geregelt, welche besagt, dass er an die höchste Managementebene des Verantwortlichen oder des Auftragsverarbeiters zu berichten hat (Abs. 3, S. 3 DSGVO). Gleichermaßen kommt dem DSB die Stellung als Ansprechpartner für Betroffene bei Fragen rund um die Verarbeitung personenbezogener Daten und die Wahrnehmung der Betroffenenrechte durch Abs. 4 DSGVO zu. Nach dem Recht der Union oder der Mitgliedsstaaten ist der DSB bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung bzw. der Vertraulichkeit gebunden (Abs. 5 DSGVO). Eine Spezifizierung der oben genannten Regelungen hat die DSGVO mit dem § 6 BDSG erfahren. 

Nachdem die grundsätzliche Stellung des DSB erläutert wurde, wird nachfolgend der Schwerpunkt auf einen möglichen Interessenkonflikt gelegt. Diese Problematik tritt vermehrt in kleineren bis mittleren Unternehmen auf, da diese häufig einen ihrer Mitarbeiter als betrieblichen DSB berufen. 
In der Regel ist es dem DSB möglich, neben seiner Tätigkeit als Datenschutzbeauftragter auch noch andere Aufgaben und Pflichten wahrzunehmen. Der Verantwortliche eines Unternehmens hat also die Möglichkeit, dem DSB noch weitere Aufgaben zu übertragen. Hierbei ist allerdings Art. 38 Abs. 6, S. 2 zu beachten, wobei der Verantwortliche sicherzustellen hat, dass durch die Übertragung weiterer Aufgaben keine Interessenskonflikte entstehen. 

Interessenkonflikte sind insbesondere dann anzunehmen, wenn Tätigkeiten dazu führen, dass der DSB sich selbst überwachen müsste. Dies gilt insbesondere in solchen Fällen, in denen neben der Tätigkeit als DSB gleichzeitig eine Position des leitenden Managements ausgeübt wird oder aber die Tätigkeitsfelder das Festlegen von Zwecken und Mitteln der Datenverarbeitung mit sich bringen. Hierbei kann eine Unabhängigkeit von betrieblichen Belangen nicht sichergestellt werden.
Nachfolgende Tätigkeitsfelder in Unternehmen können zu einem Interessenkonflikt führen:

  • Leitung eines Unternehmens oder einer Behörde (z.B. Geschäftsführer/in)
  • Leitung der IT-Abteilung
  • Leitung der Personalabteilung
  • Beschäftigte der IT-Abteilung und Personalabteilung, sofern sie Datenverarbeitungsprozesse bestimmen oder wesentlich beeinflussen können 

Als Faustformel im Hinblick auf einen möglichen Interessenkonflikt kann vermerkt werden, dass Überwachung und Entscheidung sich ausschließen. Festzuhalten ist mithin, dass die Bestellung eines Mitarbeiters zum betrieblichen DSB nicht erfolgen darf, sofern der Beauftragte sich in irgendeiner Weise selbst überwachen müsste. Dies verdeutlicht ebenfalls die oben erläuterte Unabhängigkeit des DSB im Rahmen seiner Stellung. 
Neben positionellen Interessenskonflikten können auch persönliche Interessenskonflikte bei der Benennung eines DSB bestehen. Dies wäre der Fall, wenn zwischen Verantwortlichen und DSB ein besonderes Beziehungsverhältnis (Verwandtschaftsverhältnis o.ä.) besteht. Im Zweifel kann aufgrund der emotionalen Nähe ein unabhängiges Agieren des DSB nicht mehr gewährleistet werden.
Ratsam ist es, innerhalb des Unternehmens entsprechende Compliance-Regeln zu erstellen, welche elementare Inhalte im Rahmen der Tätigkeit als betrieblicher DSB festlegen. Nachfolgende Punkte sollten bei der Erstellung bedacht werden: 

  • Auflisten der Tätigkeits- bzw. Berufsfelder, die mit der Funktion des DSB unvereinbar sind
  • Erstellen einer Richtlinie zur Vermeidung von Interessenskonflikten
  • Auflisten allgemeiner Erläuterungen potenzieller Interessenkonflikte
  • Definition einer Regelung, welcher zu entnehmen ist, dass der DSB eine Erklärung zu unterzeichnen hat, um mögliche Interessenskonflikte im vornherein zu vermeiden
  • Erstellen von internen Sicherheitsvorkehrungen 
  • Auflisten von drohenden Sanktionen im Falle eines Interessenkonfliktes

    Sofern es nicht möglich erscheint, Interessenskonflikte zu verhindern oder aufzulösen, empfiehlt es sich, mit einem externen DSB zusammenzuarbeiten. Sofern der externe DSB keine weiteren Tätigkeiten im selben Unternehmen ausübt und keine besonderen Beziehungsverhältnisse mit ihm bestehen, ist das Risiko eines Interessenskonfliktes eliminiert
  • Gesetzliche Regelung des Datenschutzbeauftragten (DSB) in Art. 38 DSGVO und § 6 BDSG 
  • Problematik der Unabhängigkeit und des Interessenkonfliktes bei internen DSB


Essenz

  • Gesetzliche Regelung des Datenschutzbeauftragten (DSB) in Art. 38 DSGVO und § 6 BDSG 
  • Problematik der Unabhängigkeit und des Interessenkonfliktes bei internen DSB
  • Unterscheidung zwischen positionellen und persönlichen Interessenskonflikten 
  • Überwachung und Entscheidung schließen sich aus
  • Erstellen von Compliance-Regeln zwecks Definition elementarer Inhalte der Tätigkeiten des internen DSB
  • Empfehlung der Bestellung eines externen DSB zur Vermeidung von Interessenkonflikten