In unserem letzten Beitrag gingen wir darauf ein, welche Aufgaben ein Datenschutzbeauftragter in einem Unternehmen hat und welche Voraussetzungen er erfüllen muss. Eine dieser Voraussetzungen war die Zuverlässigkeit des Datenschutzbeauftragten und dass es bei der Ausübung der Tätigkeit als Datenschutzbeauftragter zu keinem Interessenkonflikt mit der eigentlichen Tätigkeit im Unternehmen kommt.

Bei welchen Personen entstehen in der Regel Interessenkonflikte?

In der Praxis haben sich bestimmte Personengruppen herauskristallisiert, bei denen typischerweise von einem Interessenkonflikt ausgegangen werden kann, da sie sich unter Umständen selbst kontrollieren müssten. Sollte die Position des Datenschutzbeauftragten also intern besetzt werden, dürfen diese Personen gar nicht erst in Betracht gezogen werden.

Geschäftsführung/Vorstand/Gesellschafter

Die Geschäftsführung trifft allgemein Unternehmensentscheidungen, bei denen insbesondere wirtschaftliche Interessen im Vordergrund stehen, wie zum Beispiel die Gewinnmaximierung oder die Kostenminimierung. Sollte nun die Geschäftsführung planen, auch die Position als Datenschutzbeauftragter einzunehmen, müsste sie sich in dieser Entscheidungsfindung selbst kontrollieren.

Und dies wäre nicht die einzige Problematik dieser Konstellation. Auch würde die Gefahr bestehen, dass sich Mitarbeiter bei einer Datenpanne oder bei Defiziten im Bereich Datenschutz nicht an den Datenschutzbeauftragten wenden würden, da sie ggf. fürchten, dass durch die Meldung Konsequenzen für sie entstehen würden.

Aus diesen Gründen ist eine Doppelrolle als Geschäftsführer und Datenschutzbeauftragter ausgeschlossen.

IT-Leitung

Ähnliches gilt bei einer möglichen Doppelrolle des IT-Leiters als Datenschutzbeauftragter. Zwar wäre es von Vorteil, wenn der interne Datenschutzbeauftragte einen sehr guten Gesamtüberblick über die Datenverarbeitungsvorgänge und die Datensicherheit im Unternehmen hätte, aber die interne datenschutzrechtliche Kontrolle ließe sich nur schwer effektiv durchführen. Dass der IT-Leiter seine eigens initiierten Handlungen sachlich kritisieren würde, ist nur schwer vorstellbar. Ein Interessenkonflikt liegt hier somit ebenfalls auf der Hand.

Stattdessen besteht die Möglichkeit, eine andere Person aus der IT-Abteilung zum Datenschutzbeauftragten zu ernennen. Hier ist vorher aber im Einzelfall sicher zu stellen, dass die Unabhängigkeit zwischen den verschiedenen Aufgabenbereichen gewahrt bleibt. Die strategischen und operativen Entscheidungen sollten in jedem Fall von einer anderen Person getroffen werden.

Personalleitung / Vertriebsleitung / Marketingleitung

Auch in diesen Positionen besteht abermals der Interessenkonflikt, dass sich der Ausführende selbst kontrollieren und datenschutzrechtlich bewerten müsste, da in all diesen Bereichen im großen Umfang personenbezogene Daten verarbeitet werden. Unter der Aufsicht des Vertriebsleiters sind es die Kundendaten, beim Leiter der Personalabteilung die Daten der Beschäftigten. Daher fallen auch diese leitenden Positionen aus dem Kreis der möglichen Kandidaten für den Posten des internen Datenschutzbeauftragten heraus.

Die richtige Besetzung ist keine leichte Aufgabe

Wir sehen nun also, dass es gar nicht so leicht ist, eine passende Person zu finden, die für die Position des Datenschutzbeauftragten geeignet ist. Vor allem bei kleinen Unternehmen bleiben kaum Mitarbeiter übrig, die über die nötigen Fachkenntnisse verfügen und bei denen kein Interessenkonflikt entstehen würde.

Um das Risiko eines Bußgeldes möglichst gering zu halten, ist es daher zu empfehlen, sich im Zweifel für einen externen Datenschutzbeauftragten zu entscheiden.

Allerdings gilt es auch hier, den Dienstleister sorgfältig zu wählen, denn auch bei der Bestellung eines externen Datenschutzbeauftragten kann ein Interessenkonflikt entstehen. Dies wäre zum Beispiel der Fall, wenn der Dienstleister, der den externen Datenschutzbeauftragten stellen soll, auch als IT-Dienstleister für das Unternehmen tätig ist.

Sollten Sie Interesse an der Bestellung eines externen Datenschutzbeauftragten haben, kontaktieren Sie uns. Wir beraten Sie gern in allen Fragen rund um das Thema Datenschutz

+49 (0) 25 06 / 93 20 600 • info@katlex.de • https://katlex.de