Kundenservice Veranstaltungen: 02234-9894940
Kundenservice Bücher: 089-21837921
Aboservice Zeitschriften: 089-21837110

Fragen aus den Erfa-Kreisen: Datenschutzbeauftragter und Compliance-Beauftragter?

Frage des GDD Erfa-Kreises Würzburg

Ich bin Datenschutzbeauftragter in einem Unternehmen. Immer wieder stellen sich hierbei Fragen bezüglich der Unternehmensstruktur, ob der Datenschutzbeauftragte im Compliance-Bereich eingegliedert und hierarchisch dem Compliance-Beauftragten unterstellt werden könnte oder ob er direkt unter der Geschäftsleitung anzusiedeln wäre.

Nach neuer Rechtslage gemäß Art 38 Abs. 3 DSGVO müsste der Datenschutzbeauftragte an die "höchste Managementebene" des Verantwortlichen berichten. Als Anlage ist eine Zitatensammlung mit Stimmen aus der Literatur und von Aufsichtsbehörden beigefügt.

Es bestehen daher folgende Fragen:

  • Kann der Datenschutzbeauftragte dem Compliance-Beauftragten unterstellt werden oder ist dieser direkt der Geschäftsleitung zu unterstellen?
  • Führen die neuen gesetzlichen Regelungen ab Mai 2018 zu einem anderen Ergebnis als nach alter Rechtslage?

 

Antwort des BayLDA:

In unserem Tätigkeitsbericht 2009/2010 haben wir unter Nr. 3.1 zur bisherigen BDSG-Rechtslage u. a. folgendes geschrieben:

Nach dem Bundesdatenschutzgesetz ist der Beauftragte für den Datenschutz dem Leiter  der nicht-öffentlichen Stelle - ohne Zwischenebenen- unmittelbar zu unterstellen.

  • Der Leiter muss die Vorgesetztenfunktion in vollem Umfang wahrnehmen, so zum Beispiel die Personalaufsicht und die disziplinarische Zuständigkeit ebenso wie die Zuteilung des erforderlichen Budgets. Der Datenschutzbeauftragte darf nicht mehreren  Personen unterstellt sein.
  • Zwischen dem Datenschutzbeauftragten und der Unternehmensleitung dürfen sich keine Zwischenebenen befinden. Sinn der gesetzlich vorgeschriebenen unmittelbaren Unterstellung des Datenschutzbeauftragten unter den Leiter der nicht-öffentlichen Stelle ist, dass der Datenschutzbeauftragte seine Aufgaben unbeeinflusst, unabhängig und weisungsfrei wahrnehmen kann und einen „ungefilterten" Zugang zum Leiter hat. Damit wäre nicht vereinbar, wenn er in seiner Funktion in eine weitere Organisationseinheit eingegliedert ist. Denn bei dieser vorgesetzten Stelle können leicht Interessenkonflikte  zwischen dem Datenschutz und den weiteren Aufgaben auftreten, die das Gesetz mit der unmittelbaren Unterstellung des Datenschutzbeauftragten unter den Leiter der nicht-öffentlichen Stelle vermeiden wollte.
  • Die Zuordnung des Datenschutzbeauftragten zur Unternehmensleitung muss im Organigramm klar erkennbar sein. Das ist weiterhin unsere Idealvorstellung von der besten Einordnung eines DSB in ein Unternehmen, damit dieser möglichst effektiv und unabhängig tätig werden kann.Die DS-GVO legt in Art. 38 Abs. 3 Satz 3 fest, dass der DSB unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters berichtet. Was daraus genau für die Stellung des DSB abgeleitet werden kann, über die rein formale direkte Berichtslinie an die Unternehmensleitung hinaus, wird im Moment noch  unterschiedlich diskutiert. Wir drängen jedenfalls bei unseren Kontakten mit Unternehmen darauf, die DSB-Funktion möglichst effektiv auszugestalten.

 

GDD Erfa-Kreise

Die GDD hat zur Durchführung ihrer Aufgaben regionale Erfahrungsaustauschkreise (Erfa-Kreise) gebildet. In den über das ganze Bundesgebiet verteilten, z.Z. 30 Erfa-Kreisen werden aktuelle Datenschutz- und Datensicherheitsprobleme diskutiert.

>> weitere Infos