Abo

Kurzbeitrag : Aus den aktuellen Berichten der Aufsichtsbehörden (62): Feststellungen zu betrieblichen/behördlichen Datenschutz – beauftragten im 50. Tätigkeitsbericht Datenschutz des Hessischen Beauftragten für Datenschutz und Informationssicherheit (HDI ) für das Jahr 2021 : aus der RDV 5/2022, Seite 268 bis 269

Interessenkonflikte bei Datenschutzbeauftragten - Zusammengestellt von Prof. Peter Gola*

Prof. Peter Gola
Lesezeit 1 Min.

Vorbemerkung

Unter Ziffer 1.4 seines Berichts erörtert der HDI auf Grund von Nachfragen die Vereinbarkeit der Tätigkeit als Datenschutzbeauftragter mit anderen Tätigkeiten im Unternehmen oder bei der öffentlichen Stelle. Er weist darauf hin, dass Art. 38 Abs. 6 DS-GVO zu Interessenkonflikten bei Datenschutzbeauftragten lediglich eine kurze Regelung enthält, wodurch die praktische Anwendung der Norm mit einigen Unsicherheiten verbunden sei.

I. Parallel wahrzunehmende Aufgaben nur ohne Interessenkonflikt

Hierzu hält der HDI zunächst fest: „Grundsätzlich können Datenschutzbeauftragte neben den mit der Benennung einhergehenden Aufgaben (vgl. Art. 39 Abs. 1 DS-GVO) auch andere Aufgaben und Pflichten wahrnehmen, sofern diese sonstigen Tätigkeiten nicht zu einem Interessenkonflikt führen. Die Abwesenheit von Interessenkonflikten steht im engen Zusammenhang mit dem Erfordernis einer unabhängigen Tätigkeit (Art. 38 Abs. 3 Satz 1 DS-GVO). Es handelt sich sowohl um eine Benennungsvoraussetzung als auch – nach der Benennung – um eine Organisationspflicht des Verantwortlichen und des Auftragsverarbeiters: Demgemäß dürfen Datenschutzbeauftragte innerhalb des Unternehmens keine Position innehaben, bei der sie über die Zwecke und Mittel der Verarbeitung personenbezogener Daten anderer Organisationseinheiten in anderen Organisationseinheiten entscheiden. Anderes gilt natürlich für eigene, mit ihrem Job verbundene Datenverarbeitungen. Um dies sicherzustellen, ist aufgrund der strukturellen Unterschiede des jeweiligen Unternehmens oder der jeweiligen Branche stets eine Einzelfallbetrachtung vorzunehmen. Gleichwohl lassen sich einige Leitlinien herausarbeiten.“ Anderes gilt natürlich für eigene, mit ihrem Job verbundene Datenweiterverarbeitung.

II. Beispiele von Interessenkonflikten

Interessenkonflikte können sich regelmäßig aus der Stellung im Unternehmen ergeben (Inhaber, Mitglieder der Geschäftsführung oder des Vorstandes).

Diese Personen sind originär für die Rechtmäßigkeit der Datenverarbeitung beim Verantwortlichen oder beim Auftragsverarbeiter verantwortlich und können sich nicht wirksam selbst kontrollieren (siehe auch Art. 38 Abs. 3 Satz 3 DS-GVO, nach dem der Datenschutzbeauftragte unmittelbar der höchsten Managementebene berichtet).

Ferner ist in der Regel die Benennung von Leitungspersonen nicht zulässig: Dies gelte insbesondere für die Leitung der Personalabteilung (aufgrund der damit einhergehenden Verantwortung für den Umgang mit Beschäftigtendaten), die Leitung der IT-Abteilung (wegen der mit dieser Funktion einhergehenden Verantwortung für die technisch-organisatorischen Maßnahmen) sowie die Leitung der Marketing oder Vertriebsabteilung (wegen der Verantwortung für den Umgang mit Kundendaten).

Auch eine Benennung bei hierarchisch nachgeordneten Positionen wie etwa Beschäftigte der IT- (insbesondere mit Administratorenrechten) oder Personal-Abteilung ist regelmäßig unzulässig, sofern diese in der Lage sind, Datenverarbeitungsprozesse zu bestimmen oder wesentlich zu beeinflussen.

Des Weiteren ist die Benennung eines Datenschutzbeauftragten regelmäßig unzulässig, sofern dieser ein besonderes wirtschaftliches Interesse an dem Unternehmenserfolg hat (etwa Gesellschafter sowie Familienangehörige der Geschäftsleitung).

Bei einem IT-Sicherheitsbeauftragten ist häufig ein Interessenkonflikt anzunehmen, da er zwecks Entdeckung von Missbrauch an umfassenden Sammlungen personenbezogener Daten interessiert sein muss. Ein Interessenkonflikt sei noch offensichtlicher, sofern der IT-Sicherheitsbeauftragte Aufgaben der Umsetzung (mit Budgetverantwortung) innehabe.

Auch bei Compliance-Beauftragten sowie bei den Leitern der Rechtsabteilung sieht der HDI ggf. einen Interessenkonflikt, da diese oftmals in die unternehmensinternen Geschäftsprozesse derart eingebunden seien, dass sie aufgrund dieser weitergehenden Aufgabenwahrnehmung nicht mehr über die notwendige Unabhängigkeit in der Bewertung einzelner Datenverarbeitungsprozesse verfügen. Gleichwohl könne dies je nach der Aufgabenwahrnehmung im Einzelfall auch anders zu bewerten sein (siehe dazu Bergt, in: Kühling/Buchner, Art. 38 Rn. 42; sowie abwägend Heberlein, in: Ehmann/Selmayr, Art. 38 Rn. 23).

Interessenkonflikte können auch bei externen Datenschutzbeauftragten auftreten. Es bedarf einer vertraglichen Regelung mit dem externen Dienstleister, die diesbezügliche Tätigkeiten untersagt. Ein unzulässiger Interessenkonflikt läge vor, wenn der externe Datenschutzbeauftragte gleichzeitig IT-Dienstleistungen erbringt oder den „Besteller“ in datenschutzrelevanten Rechtsstreitigkeiten vor Gericht vertritt.

Ein Interessenkonflikt bei behördlichen Datenschutzbeauftragten besteht ähnlich wie im nicht öffentlichen Bereich regelmäßig bei der Behördenleitung, bei dem Bürgermeister einer Gemeinde sowie bei herausgehobenen Leitungstätigkeiten (insbesondere bei der Leitung der Personalabteilung und bei der Leitung der IT-Abteilung). Grundsätzlich zulässig ist die Tätigkeit des DSB im Justiziariat ohne Leitungsfunktion sowie die Leitung des Rechnungsprüfungsamtes.

III. Konsequenzen

Der HDI weist sodann darauf hin, dass ihm im Falle eines Interessenkonfliktes verschiedene aufsichtsrechtliche Maßnahmen zur Verfügung stehen. Neben dem Hinweis auf einen Verstoß gegen die DS-GVO kann er ggf. gemäß Art. 58 Abs. 1 lit. d DS-GVO nach § 40 Abs. 6 Satz 2 BDSG die Abberufung des Datenschutzbeauftragten verlangen, wenn ein „schwerwiegender Interessenkonflikt“ vorliegt (vgl. Art. 58 Abs. 6 DS-GVO). Allerdings rechtfertigt nicht jeder Interessenkonflikt die Abberufung, vielmehr müsse dieser offenkundig sein (etwa bei dem Leiter der IT-Abteilung, siehe Dix, in: Kühling/Buchner, § 40 Rn. 17 m.w.N. auch zu der Frage der Europarechtskonformität der Regelung).

Des Weiteren sind Verstöße gegen die Vermeidung von Interessenkonflikten nach Art. 83 Abs. 4 lit. a DS-GVO bußgeldbewehrt.

Für hessische öffentliche Stellen übernimmt § 7 Abs. 2 HDSIG die Vorschrift des Art. 38 Abs. 6 DS-GVO. Gleichwohl sind die Sanktionsmöglichkeiten bei behördlichen Datenschutzbeauftragten merklich eingeschränkt. Zwingend, aber vom HDI nicht durchsetzbar, ist im Falle eines nicht behebbaren Interessenkonflikts die Abberufung (vgl. § 6 Abs. 3 Satz 3 HDSIG).

* Der Autor ist Ehrenvorsitzender der Gesellschaft für Datenschutz und Datensicherheit e.V., Bonn.