Aufsätze : Betriebliche Datenschutzbeauftragte – wichtige Helfer oder praxisferne Bürokratiemonster? : aus der RDV 2/2025, Seite 69 bis 75

Unabhängig von der Zahl datenverarbeitender Personen verpflichtet § 38 Abs. 1 S. 2 BDSG außerdem Verantwortliche und Auftragsverarbeiter zur Benennung von Datenschutzbeauftragten, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz‑Folgenabschätzung unterliegen oder wenn personenbezogene Daten geschäftsmäßig verarbeitet werden zwecks Übermittlung oder Markt‑ bzw. Meinungsforschung.

Diese Benennungspflichten werden gem. Art. 37 Abs. 5 DS‑GVO nur dann erfüllt, wenn der Datenschutzbeauftragte ausreichend beruflich qualifiziert ist und insbesondere Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt sowie über die Fähigkeiten zur Erfüllung der in Art. 39 DS‑GVO genannten Aufgaben verfügt.

Unter dem erforderlichen „Fachwissen … auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis“ sind naheliegenderweise juristische und (wegen der zentralen Thematik der Datensicherheit) technische Kenntnisse zu verstehen. Außerdem werden (zur Erfüllung der Aufgaben gem. Art. 39 DS‑GVO) organisatorische und kommunikative Fähigkeiten benötigt.

In vielen kleineren Unternehmen sind intern (also im Kreis der eigenen Beschäftigten) weder die juristischen Kenntnisse verfügbar, noch Qualifikationen im Bereich der (technischen) Datensicherheit. Zurückgegriffen werden kann (Art. 37 Abs. 6 DS‑GVO) auf externe Dienstleister.

Wo die Funktion intern besetzt wird, verbraucht sie wegen der geforderten Qualifikationen wertvolle personelle, immer jedenfalls finanzielle Ressourcen. Umso näher liegt dann die Frage, ob entsprechend qualifizierte Personen neben den Aufgaben als Datenschutzbeauftragte auch andere Funktionen im Unternehmen noch ausüben können (anders gewendet: welche Funktionen sie nicht übernehmen dürfen).

Die Frage ist aber nicht allein (anders, als sehr oft gestellt) eine der Ressourcenauslastung, sondern gleichzeitig und ebenso wichtig eine Frage effizienter Abläufe und bestmöglicher Ergebnisse für den Datenschutz: Aufgabenerfüllung in Personalunion erspart interne Abstimmungen und Missverständnisse bis hin zur (aus Sicht der Unternehmensleitung extrem unerfreulichen) Situation der widersprüchlichen Äußerung verschiedener Beauftragter (also der fachkundigen Berater) zu ein und demselben Vorgang.

Für die verantwortliche Stelle ist es (sehr nachvollziehbar) ein erheblicher Vorteil (und nachdrücklich erwünscht), dass Datenschutzbeauftragte (1) die Umsetzbarkeit der von ihnen gestellten Anforderungen bedenken und sicherstellen bis hin (2) zur Konstellation, dass Datenschutzbeauftragte die von ihnen konkretisierten Anforderungen tatsächlich selbst umsetzen.

III. Ein Flickenteppich: Was darf der Datenschutzbeauftragte (vielleicht) nicht?

Während das erstgenannte Interesse – soweit ersichtlich – nirgends kritisiert ist, besteht beim zweitgenannten Punkt offener Streit und damit für die Verantwortlichen schwer erträgliche Rechtsunsicherheit.

Von Gerichten, Aufsichtsbehörden und in der Wissenschaft ist auch nach sieben Jahren nicht geklärt, was betriebliche Datenschutzbeauftragte dürfen, im Datenschutz und in anderen Funktionen.

Nach Art. 38 Abs. 3 S. 1 und Abs. 6 DS-GVO verboten ist angeblich:

▪ Betriebsratstätigkeit des Datenschutzbeauftragten, jedenfalls als Vorsitzender des Betriebsrats,^[3]
▪ Leitende^[4] oder auch jede Tätigkeit im Compliance-Bereich,^[5] in Rechtsabteilungen, in der Personalverwaltung, im IT-Bereich, bei der IT- und/oder Informationssicherheit, im Marketing/Vertrieb und der Öffentlichkeitsarbeit,^[6]
▪ gleichzeitige Rechtsberatung oder -vertretung des Verantwortlichen durch den Datenschutzbeauftragten (z.B. in gerichtlichen Verfahren),^[7]
▪ gleichzeitige Tätigkeit als Datenschutzbeauftragter von Auftragsverarbeitern des Verantwortlichen (und vice versa),^[8]
▪ Tätigkeit des Datenschutzbeauftragten als Auftragsverarbeiter, z.B. IT-Dienstleister, für den Verantwortlichen,^[9]
▪ Tätigkeit im Datenschutz-Management, z.B. bei der Erstellung von Verarbeitungsverzeichnissen, Durchführung von Datenschutz-Folgenabschätzungen, Erstellung oder Verhandlung von Verträgen nach Art. 26 und 28 DS-GVO,
▪ Tätigkeit als KI-Beauftragter, Meldestelle nach dem HinSchG,^[10] Geldwäsche- oder Korruptionsbeauftragter.

Teils wird bereits als bedenklich bezeichnet, dass der Teilzeit-Datenschutzbeauftragte überhaupt noch andere Arbeitsaufgaben wahrnimmt, weil er dann die dortigen eigenen Datenverarbeitungen prüfen müsse.^[11]

Besonders erstaunlich und bedauerlich scheint:

▪ Der EuGH bietet Lösungen an, mit denen Datenschutzbeauftragte sehr viele Zusatzfunktionen ausüben könnten.^[12] „Gegenwind“ entsteht national, aus (wenigen, aber mit Signalwirkung versehenen) Gerichtsentscheidungen, bußgeldbewährten Abberufungsanordnungen der Aufsichtsbehörden und gelegentlich vielleicht auch fehlender Rückkopplung zur Praxis.
▪ Selten wird beachtet, dass gerade die deutsche Regelung zur Bestellpflicht für Kleinstunternehmen eine Überfrachtung des Arguments „Interessenkollision“ verbietet.^[13] Unternehmen mit 20 Beschäftigten können nicht ein dualistisches Modell von Datenschutzmanagement (umsetzende Funktion) und Datenschutzbeauftragten (prüfende Funktion) durchhalten. Wenn die DS-GVO eine solche Aufspaltung verlangen würde (quod non), dann wäre § 38 BDSG allerdings eine gesetzgeberische Fehlleistung.
▪ Durch puristische und überspannte Anforderungen verlieren die Datenschutzbeauftragten in KMU ihre Legitimation und ihren betrieblichen Nutzen. Abseits ganzheitlicher, integrierender Lösungen für betriebliche Abläufe geraten die Datenschutzbeauftragten in eine isolierte Position: Besserwisser ohne Umsetzungsverantwortung. Dies steht im Widerspruch (auch) zu ErwG 13 S. 4 DS-GVO.

IV. Isolationismus vorgeschrieben durch die DS-GVO? Anwendungsfall Betriebsrat

a) Gesetzliche Vorgaben

Relevant für die Fragestellung sind:

Art. 38 Abs. 3 S. 1 DS-GVO: „Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält.“ und Art. 38 Abs. 6 DS-GVO: „Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

In anderen Worten, inhaltlich aber übereinstimmend mit dem Gesetzestext erläutert ErwG 97 der DS-GVO in S. 4: „Derartige Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können.“

b) Rechtsprechung des Europäischen Gerichtshofs

Das Bundesarbeitsgericht hat in einer viel beachteten Entscheidung vom 06.06.2023 (Az. 9 AZR 383/19) geurteilt, die Aufgabe des betrieblichen Datenschutzbeauftragten sei jedenfalls nicht mit dem Vorsitz im Betriebsrat vereinbar. (Ob die Unvereinbarkeit auch für „gewöhnliche“ Betriebsratsmitglieder gilt, wurde ausdrücklich offengelassen.)

Das BAG-Verdikt der Interessenkollision (und deshalb Unvereinbarkeit) war umso überraschender, als der Europäische Gerichtshof die Vorlagefrage des BAG „großzügig“ beantwortet hatte, nämlich nicht im Sinne einer (vom BAG wohl erwarteten) zwingenden Unvereinbarkeit beider Funktionen. Stattdessen war aus Luxemburg zu hören: „Art. 38 Abs. 6 der Verordnung (EU) 2016/679 ist dahin auszulegen, dass ein „Interessenkonflikt“ im Sinne dieser Bestimmung bestehen kann, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen. Ob dies der Fall ist, muss das nationale Gericht im Einzelfall auf der Grundlage einer Würdigung aller relevanten Umstände, insbesondere der Organisationsstruktur des Verantwortlichen oder seines Auftragsverarbeiters und im Licht aller anwendbaren Rechtsvorschriften, einschließlich etwaiger interner Vorschriften des Verantwortlichen oder des Auftragsverarbeiters, feststellen.“^[14]

c) Organisationsstruktur und interne Vorschriften

Nach der ausdrücklichen (für alle Gerichte der EU-Mitgliedstaaten verbindlichen) Auslegung des Art. 38 Abs. 6 DS-GVO durch den EuGH sind für die Frage etwaiger Interessenkollisionen die „Organisationsstruktur“ und „etwaige interne Vorschriften“ der Verantwortlichen entscheidend.

Dies kann nur bedeuten: Wenn Zusatzaufgaben bei Datenschutzbeauftragen liegen, die zu Interessenkollisionen führen könnten, der Verantwortliche durch entsprechende Vorkehrungen in der Organisationsstruktur oder interne Regelungen aber dafür sorgt, dass die Interessenkollision nicht eintritt, dann dürfen Datenschutzbeauftragte die entsprechenden Zusatzaufgaben auch übernehmen und erfüllen.

Befremdlicherweise hat das Bundesarbeitsgericht bei seiner Entscheidung diesen Aspekt überhaupt nicht beachtet, also nicht z.B. die Vorentscheidung aufgehoben und dem Berufungsgericht die Tatsachenklärung aufgegeben, ob, ggf. welche internen Vorkehrungen zur Vermeidung eines Interessenkonflikts bestanden. Das BAG hat stattdessen schlicht behauptet, aus der Datenverarbeitung durch Betriebsratsvorsitzende, wie sie sich zwingend dem nationalen Recht (Betriebsverfassungsgesetz) entnehmen lasse, ergebe sich stets eine Interessenkollision. Warum bei dieser Betrachtung zuvor überhaupt ein Vorlagebeschluss an den EuGH erfolgte, ist schwer nachvollziehbar.

Richtig dürfte stattdessen sein: Der Verantwortliche kann in entsprechenden Konstellationen Zusatzaufgaben des Datenschutzbeauftragten ermöglichen, indem er für Kollisionsfälle vorsorgt, z.B. interne Vertretungsregeln schafft. Dies wäre z.B. ohne Weiteres möglich bei den Aufgaben des Betriebsratsvorsitzenden, indem ein Stellvertreter des Datenschutzbeauftragten benannt wird, der (neben z.B. Abwesenheitsfällen des Datenschutzbeauftragen) u.a. dann tätig wird, wenn Datenverarbeitungen durch den Betriebsrat zu prüfen sind.

Folgefrage ist, ob der Verantwortliche entsprechende interne Regeln aufstellen kann oder sie im Einzelfall sogar aufstellen muss. Letzteres dürfte wichtig sein, wenn (wie in den vom BAG entschiedenen Fällen) betriebliche Datenschutzbeauftragte sich für die Wahl zum Betriebsrat stellen, gewählt werden und anschließend dort den Vorsitz erhalten. Die Tätigkeit im Betriebsrat ist – ebenso wie diejenige des Datenschutzbeauftragten – rechtlich geschützt. Betätigung von Beschäftigten im Betriebsrat soll prinzipiell nicht zu Rechtsnachteilen führen. Ebenso gilt, dass sich aus der Tätigkeit als Datenschutzbeauftragter keine Rechtsnachteile ergeben sollen. Das Fazit aus den Urteilen des BAG vom 06.06.2023 schafft deshalb Unbehagen: Betriebsratsvorsitzende (vielleicht auch andere Betriebsräte) sind für die Tätigkeit als Datenschutzbeauftragte gesperrt und Datenschutzbeauftragte riskieren ihre Abberufung, wenn sie sich für den Betriebsrat oder gar den Betriebsratsvorsitz bewerben.^[15]

V. Beispiele für andere Parallel-Aufgaben

a) KI-Beauftragter

Betrachtungen zur Vereinbarkeit der Funktionen des Datenschutzbeauftragten und des KI-Beauftragten können überhaupt nur für den konkreten Einzelfall sinnvoll erfolgen. Werden sie abstrakt und generell vorgenommen, dann wird übersehen, dass die Funktionen von KI-Beauftragten überhaupt nicht definiert sind. Anders als gelegentlich suggeriert, sind „KI-Beauftragte“ weder gesetzlich vorgeschrieben, noch ihre Aufgaben gesetzlich festgelegt.

Wenn verantwortliche Stellen also KI-Beauftragte ernennen, dürfen (und müssen sinnvollerweise) sie auch regeln, welche Aufgaben diese KI-Beauftragten erfüllen sollen. Eine solche Aufgabenfestlegung ist (im Sinne der dargestellten EuGH-Rechtsprechung) als Organisationsstruktur und interne Regelung zu betrachten. Nur anhand dieser Einzelfallregelungen (nicht abstrakt) kann beurteilt werden, ob überhaupt Interessenkollisionen drohen.^[16]

Ist es z.B. Aufgabe des KI-Beauftragten, die Einhaltung der datenschutzrechtlichen Bestimmungen bei KI-Nutzung im Unternehmen zu überwachen, deckt sich dies völlig mit den genuinen Aufgaben des Datenschutzbeauftragten. Ein Risiko irgendwelcher Interessenkollisionen besteht dann nicht.

Anderes gilt, wenn ein Unternehmen KI-Beauftragte bestellt, deren Aufgabe darin bestehen soll, die KI-Nutzung im Unternehmen möglichst schnell und umfangreich voranzutreiben. Auch in solchen Fällen ließe sich jedoch eine Interessenkollision „auffangen“ durch die interne Regelung, dass der Datenschutzbeauftragte (bei gleichzeitiger KI-Beauftragung) bei sämtlichen Vorgängen (durch den Stellvertreter) ersetzt wird, an denen er als KI-Beauftragter beteiligt ist.

b) Gleichzeitige Bestellung bei Auftragsverarbeitern

Häufig werden Zweifel geäußert, ob in Personalunion die Aufgaben des Datenschutzbeauftragen beim Verantwortlichen und dessen Auftragsverarbeitern ausgeübt werden können. Dies ist schon im Ausgangspunkt deshalb verfehlt, weil für die Frage der Interessenkollisionen (ausschließlich) die gesetzlichen Aufgaben des Datenschutzbeauftragten entscheidend sind. Diese bestehen gem. Art. 39 DS-GVO (zusammengefasst) in einer Überwachung der Einhaltung der Datenschutzvorschriften. Wenn mit dieser (absolut gleichlaufenden) Funktion in Personalunion verschiedene Verantwortliche und/oder Auftragsverarbeiter beraten werden, drohen keine Gegensätze.

Die anderslautende Auffassung unterstellt, dass Datenschutzbeauftragte (bei beiden beteiligten Institutionen) von ihren Aufgaben abrücken und z.B. ein vom Auftragsverarbeiter gewünschtes niedrigeres Niveau der Datensicherheit gegenüber dem Verantwortlichen vertreten (in ihrer Funktion als Datenschutzbeauftragter dort gutheißen oder als ausreichend darstellen). Diese Verhaltensweise mag in der Praxis durchaus begegnen. Sie ergibt sich jedoch nicht aus einer Interessenkollision der beiden Tätigkeiten (Datenschutzbeauftragter beim Verantwortlichen und dessen Auftragsverarbeiter), sondern (im Beispiel) aus der Interessenlage des Auftragsverarbeiters, zugunsten derer der Datenschutzbeauftragte (auch in seiner Funktion beim Auftragsverarbeiter, also in beiden Positionen) die eigenen gesetzlichen Aufgaben verletzt hat. Es liegt also überhaupt keine Interessenkollision vor, sondern schlicht eine Pflichtverletzung des Datenschutzbeauftragten.

Ein zusätzliches Argument gegen die Annahme bestehender Interessenkollisionen in solchen Strukturen ergibt sich aus Art. 37 Abs. 2, 3 und 4 DS-GVO: Dort ist ausdrücklich vorgesehen, dass (Abs. 2) Unternehmensgruppen einen gemeinsamen Datenschutzbeauftragten ernennen können, (Abs. 3) mehrere Behörden und öffentliche Stellen als Verantwortliche oder Auftragsverarbeiter gemeinsame Datenschutzbeauftragte benennen können sowie (Abs. 4) Verantwortliche, Auftragsverarbeiter, Verbände und andere Vereinigungen die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, einen (gemeinsamen) Datenschutzbeauftragten benennen können, der dann für die Verbände und Vereinigungen (in Vertretung der Verantwortlichen und Auftragsverarbeiter) agiert.

Die DS-GVO regelt (verbindlich auch für den nationalen Gesetzgeber) bereits die Zulässigkeit der gleichzeitigen Tätigkeit des Datenschutzbeauftragten in Personalunion für verschiedene, eng verbundene verantwortliche Stellen und Auftragsverarbeiter. Es ist nicht davon auszugehen, dass der Gesetzgeber bei der Regelung z.B. für Datenschutzbeauftragte in Unternehmensgruppen übersehen hat, wie häufig und praktisch üblich innerhalb von Unternehmensgruppen wechselseitige Auftragsverarbeitungen vorkommen.

c) Meldestellen nach Hinweisgeberschutzgesetz

Für die Meldestellen nach Hinweisgeberschutzgesetz wird ebenfalls vertreten^[17], dass dortige Funktionen (generell oder jedenfalls bei leitender/entscheidender Beteiligung) Interessenkollisionen für den Datenschutzbeauftragten mit sich brächten, deshalb nicht gleichzeitig ausgeübt werden dürften.

Zunächst ist wohl zwingend: Indem der DS-GVO-Gesetzgeber interne Datenschutzbeauftragte und dortige Nebentätigkeiten zuließ, akzeptierte er, dass der Datenschutzbeauftragte auch Verarbeitungen beurteilen und prüfen kann, an denen er selbst (als Beschäftigter des Verantwortlichen) beteiligt ist.

Die häufig vertretene Einschränkung, dies gefährde unabhängiges Agieren des Datenschutzbeauftragten, wenn ihm „Entscheidungen“ hinsichtlich der Datenverarbeitungen übertragen würden, überzeugt nicht:

• Zum einen sind vollständig vorgeprägte Verarbeitungsprozesse (bei denen Beschäftigten also keinerlei nennenswerter Entscheidungsspielraum verbleibt) extrem selten und ganz sicher kein „Normalfall“, der dem Gesetzgeber bei Zulassung von Nebenaufgaben vor Augen gestanden haben könnte.
• Zum Weiteren schließt das Fehlen der Entscheidungsbefugnis keinesfalls eine Interessenkollision aus: Gerade bei umfangreich geregelten Verarbeitungsprozessen kann der diesen Regelwerken unterworfene Mitarbeiter (gleichzeitig Datenschutzbeauftragter) in Versuchung geraten, den Datenschutz „hinten anzustellen“ und seine Funktion auszunutzen, um die eigenen Arbeitsaufgaben angenehmer zu gestalten, z.B. durch Vorschlag reduzierter Dokumentationen, längerer oder kürzerer Löschfristen, anderer/keiner Sicherungsmaßnahmen.

Aber: Die DS-GVO traut dem internen Datenschutzbeauftragten genügend Pflichtbewusstsein und „Rückgrat“ zu, seine eigenen Datenverarbeitungen korrekt zu gestalten. Wer diesem Anspruch nicht genügt, ist als Datenschutzbeauftragter nicht persönlich geeignet.

Außerdem gilt auch hier wieder, dass tatsächlich denkbare Konfliktlagen durch entsprechende Vertretungsregeln ausgeschlossen werden können (Zuständigkeit des stellvertretenden Datenschutzbeauftragten, wenn Verarbeitungen betroffen sind, die der Datenschutzbeauftragte selbst durchgeführt oder angewiesen hat).

Europarechtlich gibt ErwG 56 der Hinweisgeberschutz-RL (EU) 2019/1937 den klaren Hinweis, dass auch Datenschutzbeauftragte die Rolle der internen Meldestelle übernehmen dürfen. Auf nationaler Ebene strengere Auffassungen zu vertreten, ist ein „Sargnagel“ für die sinnvolle Tätigkeit betrieblicher Datenschutzbeauftragter in Kleinstunternehmen.

d) Compliance/Revision

Auch für gleichzeitige Tätigkeiten der Datenschutzbeauftragten in den Bereichen Compliance/Revision wird Unvereinbarkeit behauptet, teils wieder mit Einschränkung auf leitende/entscheidende Tätigkeiten.^[18]

Dies überrascht besonders, weil Tätigkeiten in den Bereichen Compliance/Revision typischerweise (über den Datenschutzbereich hinausgehend) sicherstellen sollen, dass die jeweilige Einrichtung sich gesetzeskonform (also auch datenschutzkonform) verhält.

Interessenkonflikte werden (soweit Begründungen sich überhaupt finden) daraus abgeleitet, dass für die Erfüllung der Aufgaben im Bereich Compliance/Revision (unbestreitbar) personenbezogene Daten benötigt werden und deshalb bei den damit befassten Beschäftigten die Neigung bestehen könnte, Daten unangemessen „leicht und reichlich fließen zu lassen“.

Abgesehen von den generellen Einwänden und Möglichkeiten zur Problemvermeidung (Stichworte des EuGH: Organisationsstruktur, interne Regeln), wird dabei grundsätzlich zweierlei außer Acht gelassen:

• Datenschutz bedeutet („landläufig“, aber auch in der Datenschutz-Literatur gelegentlich übersehen) nicht einseitig und „nur“ Datenvermeidung, sondern auch Datenverfügbarkeit im Sinne der Gewährleistung, dass korrekte personenbezogene Daten bedarfsgerecht und zuverlässig verfügbar sind. Der Grundsatz der Datensparsamkeit und -minimierung beinhaltet also einen angemessenen Ausgleich widerstreitender Interessen. Es gehört zu den Arbeitsaufgaben der Datenschutzbeauftragten, diesen Ausgleich im Einzelfall zu beurteilen und ggf. zweckmäßige Vorschläge zu unterbreiten. Die eigene Mitwirkung an Datenverarbeitungen außerhalb der Funktion des Datenschutzbeauftragten kann dem durchaus förderlich sein. Eine Kenntnis der konkreten Verarbeitungsbedürfnisse für spezifische Fachaufgaben ist für die Arbeit des Datenschutzbeauftragten extrem vorteilhaft. (Das Fehlen entsprechender Kenntnisse gehört sicher zu den wichtigsten Gründen für fehlende Akzeptanz der Datenschutzbeauftragten in der unternehmerischen Praxis.)Es kann nicht unterstellt werden, dass Detailkenntnis in bestimmten Arbeitsbereichen die Datenschutzbeauftragten verleiten würde (oder in diese Richtung zusätzliche Risiken schafft), unzulässige Datenverarbeitungen zu ignorieren oder datenschutzrelevante Abwägungen zu verzerren.Jedenfalls sind derartige Risiken quantitativ und qualitativ nichts anderes als das (selbstverständlich immer gegebene und zwingend zu ertragende) Risiko einer mangelnden Aufgabenerfüllung des Datenschutzbeauftragten. Derartiges führt „an sich“ zur fehlenden Eignung für die Funktion, nicht jedoch wegen einer Interessenkollision mit übertragenen Zusatzaufgaben.
• Außerdem wird bei pauschaler Behauptung einer Interessenkollision unterstellt, dass die Parallel-Tätigkeit z.B. in den Bereichen Compliance/Revision den Datenschutz „ausblendet“, z.B. also Compliance-Mitarbeiter das Ziel verfolgen würden, Regelkonformität „im Allgemeinen“, nicht aber für den Bereich Datenschutz anzustreben. Diese Betrachtung ist erkennbar verfehlt.

e) Rechts- und Personalabteilung

Abgeschwächt gilt auch in diesen Bereichen (und noch abgeschwächter z.B. in den Bereichen Öffentlichkeitsarbeit/PR und Vertrieb/Marketing), was soeben ausgeführt wurde:

• Die pauschale Behauptung von Interessenkollisionen unterstellt zu Unrecht, dass die entsprechenden Arbeitsaufgaben „ohne Rücksicht auf Datenschutz“ übertragen werden. (Soweit ersichtlich wird nirgends vertreten, dass der Leiter einer Logistikabteilung als Arbeits- oder Brandschutzbeauftragter ungeeignet wäre, weil er an möglichst schneller Arbeit und hoher Flächenauslastung interessiert sei. Das „Mitdenken“ der verschiedenen Ziele und das Finden eines angemessenen Ausgleichs zwischen ihnen gehört gerade auch zur Arbeitsaufgabe des Lager-/Logistikleiters. Es überzeugt nicht, dass z.B. für Personalleiter unterstellt wird, sie böten ausreichend Gewähr für die Umsetzung der Arbeitsschutzbelange, nicht aber für eine sachgerechte Beurteilung von Datenschutzfragen.)
• Außerdem bleibt auch hier wieder (leider mit extrem nachteiligen Folgen für die Akzeptanz des Datenschutzes) unbeachtet, dass Datenschutz nicht konträr z.B. zu Personalverwaltung, Öffentlichkeitsarbeit und Vertrieb gedacht werden darf, sondern u.a. auch für diese Bereiche die Verfügbarkeit der benötigten Daten gewährleisten soll.

f) IT- und Informationssicherheit

Zwischen den Aufgabenbereichen der Datenschutzbeauftragten und der IT- bzw. Informationssicherheitsbeauftragten besteht eine besonders große „Schnittmenge“, andererseits jedoch keine Deckungsgleichheit. Insbesondere sind Daten ohne Personenbezug und solche personenbezogenen Daten, bei denen das Datenschutzrecht (teils wenig überzeugend) sich für unzuständig erklärt (Beispiel: nicht in Dateisystemen verarbeitete Kundendaten) „nur“ Gegenstand der Informationssicherheit, nicht des Datenschutzes.

In der Praxis kann sich die einheitliche Behandlung empfehlen, um die Akzeptanz zu erhöhen und die Umsetzbarkeit zu erleichtern (z.B. durch einheitliche Formulare und Meldewege für Datenschutzverletzungen und Sicherheitsvorfälle).

Der (auch für Datenschutzziele) sinnvollen Vereinheitlichung stehen Auffassungen entgegen, die Personalunion von Datenschutzbeauftragten mit IT- oder Informationssicherheitsbeauftragten für unzulässig halten. Die Interessenkollision soll sich – ähnlich dem Bereich Compliance/Revision – daraus ergeben, dass Entscheidungen über (zahlreiche und zentrale) Datenverarbeitungen nach anderen Kriterien getroffen werden. Genau diese Grundannahme muss aber (wie oben ausgeführt) hinterfragt werden: Die Verarbeitung personenbezogener Daten für Zwecke der Datensicherheit gehört zu den Kerninteressen des Datenschutzbeauftragten und – spiegelbildlich – eine datenschutzwidrige Datenverwendung gehört definitiv nicht zu den Aufgaben eines IT- oder Informationssicherheitsbeauftragten.

Damit beruht auch hier die Behauptung einer Interessenkollision auf fehlerhaften Grundannahmen.

Für alle dargestellten Einzelfälle wirkt ein grundsätzliches Missverständnis bei der extremen Überdehnung angeblicher „Interessenkollisionen“:
Prüfmaßstab für verbotene Interessenkollisionen ist nach Art. 37 Abs. 5 DS-GVO ein Datenschutzbeauftragter, der aufgrund „seiner beruflichen Qualifikation und … des Fachwissens“ sowie „seiner Fähigkeit zur Erfüllung der in Art. 39 genannten Aufgaben“ ernannt wurde. Als Standard zugrunde gelegt wird also nicht ein pflichtvergessener, datenschutzgleichgültiger Beauftragter.

Das Verbot der Übertragung kollidierender Tätigkeiten ist nicht das Privileg, vor allen „Versuchungen“ geschützt zu werden^[19], sondern (sachgerecht, eng und klar) das Verbot solcher Zusatzaufgaben, die auch und gerade der rechtskonform handelnde, persönlich geeignete Datenschutzbeauftragte nicht mit seinen Pflichten vereinbaren kann^[20].

Wenn die korrekte Erfüllung der zusätzlich übertragenen Aufgaben neben der Funktion des Datenschutzbeauftragten jedoch möglich ist, dann besteht kein Verbot für die Aufgabenübertragung.

g) Rechtsanwälte / Verfahrensbevollmächtigte

Datenschutzbeauftragte sind (sowohl bei interner, als auch bei externer Bestellung) für die jeweils Verantwortlichen oder Auftragsverarbeiter nicht selten auch nach außen tätig, so z.B. in der Kommunikation mit Vertragspartnern (über Verträge nach Art. 26 oder 28 DS-GVO etc.). Nach Art. 39 Abs. 1 lit. d) und e) gehört explizit zu den Aufgaben der Datenschutzbeauftragten auch die „Zusammenarbeit mit der Aufsichtsbehörde“ sowie die „Tätigkeit als Anlaufstelle für die Aufsichtsbehörde“.

Gelegentlich wird problematisiert, ob Datenschutzbeauftragte die verantwortliche Stellung oder den Auftragsverarbeiter nach außen (z.B. in Verwaltungsverfahren oder Gerichtsprozessen) vertreten dürfen, oder ob sich dies wegen bestehender Interessenkollisionen verbietet^[21].

Es ist nicht Aufgabe (interner oder externer) Berater, Verfahrensbevollmächtigter oder Prozessvertreter, dem jeweiligen Auftraggeber (also der verantwortlichen Stelle bzw. dem Auftragsverarbeiter) von dort „erwünschte“ Ratschläge zu erteilen. Geschuldet wird vielmehr – eindeutig – eine inhaltlich richtige (damit auch: der DS-GVO entsprechende) Beratung. Insoweit ist nicht ansatzweise eine Interessenkollision zu befürchten.

Die Unvereinbarkeit der Tätigkeit als Datenschutzbeauftragter einerseits und Interessenvertreter des Verantwortlichen/Auftragsverarbeiters andererseits kann sich jedoch aus einem gänzlich anderen Aspekt ergeben, nämlich demjenigen der – auch vertraulichen – Beratung von Betroffenen (Art. 38 Abs. 4 und 5 DS-GVO): Nach diesen Vorschriften dürfen „betroffene Personen … den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen“. Der Datenschutzbeauftragte hat (Abs. 5) „nach dem Recht der Union oder der Mitgliedstaaten bei der Erfüllung seiner Aufgaben … Geheimhaltung oder … Vertraulichkeit“ zu wahren. Letztgenannte Regel betrifft neben der Vertraulichkeit zugunsten des Verantwortlichen/Auftragsverarbeiters auch die Vertraulichkeit zugunsten der Betroffenen gegenüber dem Verantwortlichen/Auftragsverarbeiter.

Die nach der DS-GVO dem Datenschutzbeauftragten zugedachte Funktion als „Anlaufstelle“ für Betroffene lässt sich nicht damit vereinbaren, dass Datenschutzbeauftragte als Interessenvertreter der Verantwortlichen/Auftragsverarbeiter gegenüber den Betroffenen tätig werden.^[22]

Praxisbeispiel: Der betriebliche Datenschutzbeauftragte kann einem Beschäftigten des Verantwortlichen Betroffenenrechte erläutern, jedoch nicht gleichzeitig im arbeitsgerichtlichen Verfahren als Rechtsanwalt der verantwortlichen Stelle Auskunftsansprüche des Betroffenen abwehren, weil er in dieser Funktion explizit verpflichtet wäre, die Interessen der verantwortlichen Stelle auch zu Lasten des Betroffenen zu verfolgen (und dem Auftraggeber/Verantwortlichen alle Informationen zu offenbaren).

Als Parteivertreter des Verantwortlichen im Arbeitsgerichtsverfahren besteht die Pflicht gerade nicht in der Durchsetzung des Datenschutzrechts oder einem bestmöglichen Ausgleich der widerstreitenden Interessen, sondern in der weitestmöglichen („einseitigen“, parteiischen) Durchsetzung der Arbeitgeberinteressen. In diesen Fällen besteht also tatsächlich eine Interessenkollision – auch der pflichtbewusste Datenschutzbeauftragte kann diesen Konflikt nicht auflösen.

Möglich ist wiederum eine organisatorische Regelung für entsprechende Fälle, wonach die vorherige Tätigkeit als Datenschutzbeauftragter den anschließenden Einsatz als Prozessvertreter verbietet und umgekehrt die vorherige Tätigkeit als Prozessanwalt den Vertretungsfall (Zuständigkeit des stellvertretenden Datenschutzbeauftragten) auslöst.

h) Gleichzeitige Aufgaben im Datenschutz-Management

Die Akzeptanz des Datenschutzbeauftragten lediglich als zusätzliche „Prüfinstanz“ ist erwartungsgemäß niedrig. Wenn allein der Beauftragte im KMU über vertiefte Datenschutzkenntnisse verfügt (und dies ist in Unternehmen mit zweistelliger Beschäftigtenzahl nicht die Ausnahme, sondern die Regel), dann ist sein Beitrag nicht nur zur Prüfung, sondern auch zur Umsetzung des Datenschutzes wichtig. Deshalb besteht gerade angesichts der nationalen Regelung zur Bestellpflicht betrieblicher Datenschutzbeauftragter auch in kleinen Unternehmen (§ 38 BDSG) erheblicher Klärungsbedarf, in welchem Umfang Datenschutzbeauftragte Datenschutz-Managementaufgaben übernehmen können.^[23]

Konkret: Dürfen Datenschutzbeauftragte oder dürfen sie (gesetzlich) nicht:

• zum Datenschutz schulen,
• Datenschutz-Folgenabschätzungen erstellen,
• Verzeichnisse der Verarbeitungstätigkeiten erstellen,
• Datenschutz-Managementsysteme erstellen,
• Verträge zur Auftragsverarbeitung oder zur gemeinsamen Verantwortung aushandeln?

Nach den Vorgaben der DS-GVO besteht einerseits keine Pflicht der Datenschutzbeauftragten zu diesen Tätigkeiten, andererseits keine Interessenkollision bei entsprechenden Aufgaben.

Dem lässt sich nicht entgegnen, der DSB werde z.B. ein eigenes Verarbeitungsverzeichnis nicht kritisieren. Da seine Pflicht ist, nach eigener fachlicher Einschätzung Empfehlungen abzugeben, darf er auch ein korrektes VVT gestalten und vorschlagen. Alles andere (ich darf nur sagen, was falsch) wäre nicht nur „Schikane“ (und tatsächlich monströs bürokratisch), sondern ein Verstoß gegen das Hinwirken auf bestmöglichen Datenschutz.

Wenn Person A als Datenschutzbeauftragter eine bestimmte Gestaltung des VVT empfohlen hat und anschließend durch die Unternehmensleitung angewiesen wird, diese oder eine andere Gestaltung umzusetzen, ergeben sich keine verbotenen Interessenkollisionen.

Anders gewendet: Die Unabhängigkeit des Datenschutzbeauftragten gebietet nicht, dass ihm jede inhaltliche Festlegung erspart bleibt (weil sie seine späteren Einschätzungen prägen könnte).^[24]

Zu Recht wird darauf hingewiesen, dass bei Datenschutz-Management-Tätigkeit des Datenschutzbeauftragten die strategischen Letztentscheidungen nicht dem Datenschutzbeauftragten obliegen dürfen.^[25] Dies kann leicht durch organisatorische Vorgaben sichergestellt werden. In der Unternehmenspraxis dürfte dies ohnehin den Regelfall darstellen; z.B. bleibt das Inkraftsetzen von unternehmensweiten Datenschutz-Vorschriften Aufgabe der Unternehmensleitung, auch wenn die Texte von anderen Personen vorbereitet wurden.

VI. Exkurs: Vergleich mit den Aufsichtsbehörden

Auch für die Datenschutz-Aufsichtsbehörde statuiert die DS-GVO (in Art. 52 Abs. 1 und 3) das Gebot der unabhängigen Aufgabenerfüllung und das Verbot unvereinbarer Tätigkeiten: „Jede Aufsichtsbehörde handelt bei der Erfüllung ihrer Aufgaben und bei der Ausübung ihrer Befugnisse gemäß dieser Verordnung völlig unabhängig… Das Mitglied oder die Mitglieder der Aufsichtsbehörde sehen von allen mit den Aufgaben ihres Amtes nicht zu vereinbarenden Handlungen ab und üben während ihrer Amtszeit keine andere mit ihrem Amt nicht zu vereinbarende entgeltliche oder unentgeltliche Tätigkeit aus.“

In Deutschland seit längerem (auf Bundes- und Länderebene) anerkannt ist, dass Datenschutz-Aufsichtsbehörden gleichzeitig als Informationsfreiheitsbeauftragte/Transparenzbeauftragte agieren. Bei genauem Hinsehen ist dies nicht selbstverständlich – jedenfalls nicht stimmig zur höchst skrupulösen Betrachtung der Interessenkollision von Datenschutzbeauftragten nach Art. 38 DS-GVO: So regelt § 1 Abs. 1 und 2 des Informationsfreiheitsgesetzes auf Bundesebene den Jedermanns-Zugang zu amtlichen Informationen und die Verpflichtung der Behörden, Auskunft zu erteilen, Akteneinsicht zu gewähren und Informationen in sonstiger Weise zur Verfügung zu stellen. § 12 Abs. 1 und 2 IFG definiert dann den „Bundesbeauftragten für die Informationsfreiheit“ als Anlaufstelle für jeden, der „sein Recht auf Informationszugang nach diesem Gesetz als verletzt ansieht“ und klärt (in Abs. 2) die Aufgabenzuweisung „des Bundesbeauftragten für die Informationsfreiheit“ an den „Bundesbeauftragten für den Datenschutz“.

Dass – zumindest prima facie – die Gewährleistung umfassenden Zugangs zu amtlichen Informationen (darunter naturgemäß zahlreichen personenbezogenen Daten) mit den Aufgaben der Datenschutzaufsicht laut DS-GVO nicht deckungsgleich ist, liegt auf der Hand. Im Konfliktfall würde die europarechtliche Vorgabe aus Art. 52 Abs. 1 und 3 DS-GVO sich durchsetzen und zur Unwirksamkeit der (bundesrechtlichen) Aufgabenzuweisung im Bereich Informationsfreiheit führen.

Anders als bei der Prüfung von Interessenkollisionen der Datenschutzbeauftragten nach Art. 38 Abs. 6 S. 1 DS-GVO wird offenbar für die Aufsichtsbehörden nicht die Gefahr konfligierender und ausgleichsbedürftiger Interessen bereits als Interessenkollision gesehen, solange der Interessenausgleich möglich ist (die weitere Aufgabe also ohne Verstoß gegen die Aufgaben der Aufsichtsbehörde erfüllt werden kann).

Den Aufsichtsbehörden wird also der Ausgleich verschiedener Interessen zugetraut und zugemutet. Genau dies ist auch mit Blick auf den betrieblichen Datenschutzbeauftragten notwendig und sachgerecht, keinesfalls aber durch die DS-GVO verboten.

VII. Fazit

Art. 38 Abs. 6 DS-GVO gewährleistet dem Datenschutzbeauftragten keinen „Sicherheitsabstand“ zu den Datenverarbeitungen des Verantwortlichen (oder Auftragsverarbeiters). Er darf an diesen Verarbeitungen teilnehmen; selbstverständlich ändert das nichts an den Aufgaben als Datenschutzbeauftragter.

Interessenkollisionen nach Art. 38 Abs. 6 S. 2 DS-GVO liegen nicht schon dann vor, wenn Datenschutzbeauftragte widerstreitende Interessen ausgleichen und ihre persönliche Integrität beweisen müssen. Beides gehört zu den Berufspflichten.

Die Gegenauffassung ist gerade für Deutschland nicht gleichzeitig durchhaltbar mit der Bestellpflicht und sinnvollen Tätigkeit von Datenschutzbeauftragten in KMU. Sie offenbart außerdem ein bedenkliches (und DS-GVO-fremdes) Vorurteil zu fehlender Integrität und Pflichtentreue von Datenschutzbeauftragten.

In Fällen echter Interessenkollision zu wenig beachtet und genutzt sind die vom EuGH an die Hand gegebenen Lösungen, insbesondere Organisationsvorgaben, z.B. Vertretungsregeln.

Prof. Dr. Ralph Wagner
ist Rechtsanwalt sowie Vorstand des DID Dresdner Institut für Datenschutz, betrieblicher
und behördlicher Datenschutzbeauftragter, Konzerndatenschutzbeauftragter, Mitglied der Gesellschaft für Datenschutz und Datensicherheit (GDD) e.V. sowie Lehrbeauftragter für Datenschutzrecht an der TU Dresden.

^{[1] Antrag des Freistaats Bayern, BR-Drs. 421/2023, S. 2, 7 et passim.}

^{[2] Überblick bei https://cedpo.eu/dpo-designation-obligations/.}

^{[3] BAG Urt. v. 06.06.2023, 9 AZR 383/19; die Vereinbarkeit mit der bloßen Zugehörigkeit zum Betriebsrat hat das BAG ausdrücklich offengelassen.}

^{[4] Jahnel/Bergauer, Teil-Kommentar DS-GVO, Wien 2018, Art. 38 Rn. 35 nennen Geschäftsleitung, Vorstand und Abteilungsleiter.}

^{[5] 13. Tätigkeitsbericht des Bayerischen Landesamtes Datenschutz-Aufsicht 2023, Abschnitt 17.2.}

^{[6] Für Unzulässigkeit fast aller genannten Tätigkeiten (nicht nur in leitender Funktion) Bergmann/Möhrle/Herb, Art. 38 DS-GVO Rn. 84 m.w.N.}

^{[7] Art. 29-Datenschutzgruppe, WP 243 rev. 01, S. 19.}

^{[8] EDSA, 2023 Coordinated Enforcement Action – designation and position of data protection officers, 16.01.2024, S. 25.}

^{[9] 13. Tätigkeitsbericht des Bayerischen Landesamtes Datenschutz-Aufsicht 2023, Abschnitt 17.2.}

^{[10] 52. Tätigkeitsbericht des Hessischen LfDI 2023, Ziff. 5.4: Einzelfall­betrachtungen hinsichtlich Entscheidungs­befugnisse bei Zweck und Mittel der Verarbeitung personen­­bezogener Daten notwendig, „regelmäßig“ unzulässig jedoch: Behördenleitung, gehobene Leitungspositionen, kommunaler Amtsleiter, Personalleiter und IT-Leiter, Rechtsabteilungsleiter, IT-Sicherheits­beauftragte, Digitalisierungsbeauftragte; „meist ungeeignet“: Compliance-Beauftragte, Antikorruption, Geldwäschebekämpfung, Geheimschutz und Hinweisgeberschutz sowie Frauen- und Gleichstellungsbeauftragte – zulässig hingegen: Beschwerdestelle nach § 13 AGG.}

^{[11] Bergmann/Möhrle/Herb, Art. 38 DS-GVO Rn. 83 mit missverständlichem Verweis auf LAG Mecklenburg-Vorpommern, Urt. v. 25.02.2020, 5 Sa 108/19; dort (Rn. 45) unter Verweis auf BAG Urt. v. 05.12.2019, 2 AZR 223/19 Interessenkonflikt nur, wenn der DSB „in erster Linie“ (!) „seine eigene Tätigkeit kontrollieren muss“.}

^{[12] EuGH, Urt. v. 09.02.2023, C-453/21, Rn. 45: Lösung von Interessenkollisionen durch „Organisationsstruktur“ und „interne Vorschriften der Verantwortlichen oder Auftragsverarbeiter“.}

^{[13] Bargmann/Müthlein/Reif, Grenzen der Wahrnehmung operativer Aufgaben durch Datenschutzbeauftragte, RDV 2024, 98, 100 f. unter IV.}

^{[14] EuGH, Urt. v. 09.02.2023, Rechtssache C-453/21, Tz. 47.}

^{[15] § 80 Abs. 1 ThürPersVG: Frage, ob der „Datenschutzbeauftragte des Personalrats“ dem Personalrat selbst angehören darf; vgl. BAG-Argumentation.}

^{[16] DS-GVO/BDSG, Jaspers/Reif, Art. 38 DS-GVO Rn. 42.}

^{[17] GDD-Praxishilfe Hinweisgeberschutzgesetz – Leitfaden zur DS-GVO-konformen Nutzung interner Meldestellen, Februar 2025, S. 9–12 (XII).}

^{[18] 52. Tätigkeitsbericht des Hessischen LfDI 2023, Ziff. 5.4.}

^{[19] DS-GVO/BDSG, Jaspers/Reif, Art. 38 DS-GVO Rn. 36.}

^{[20] Gegen­auffassung: jede Parallel­tätigkeit des DSB beim Verantwortlichen wäre untersagt; konträr zu Art. 38 Abs. 6 S. 1 DS-GVO, der Nebentätigkeiten erlaubt.}

^{[21] Vgl. Bergmann/Möhrle/Herb, Art. 38 DS-GVO Rn. 95 m.w.N.}

^{[22] Bergmann/Möhrle/Herb, Art. 38 Rn. 95 m.w.N.; vgl. Spiecker gen. Döhmann u.a., Art. 38 Rn. 27.}

^{[23] Bargmann/Müthlein/Reif, RDV 2024, 98 ff.}

^{[24] Grosmann, Interessenkonflikte der DSB, Berlin 2024, S. 114 f.; zur „Vermutung verbotener“ Interessenkonflikte und Pflicht zur frühen Einbindung des DSB gem. Art. 38 Abs. 1 u. 3 DS-GVO.}

^{[25] Taeger/Gabel/Scheja, Art. 38 DS-GVO Rn. 76 f.}