In der Vergangenheit haben wir bereits oft berichtet, was Voraussetzungen und Aufgaben des Datenschutzbeauftragten sind. Hier soll nun ergänzend erläutert werden, welche Personen in einem Unternehmen bzw. Betrieb sich grundsätzlich eignen oder nicht eignen, um die Position bekleiden zu können.
Der Inhalt im Überblick
Eignungskriterien aus der DSGVO?
Unabhängig davon, ob man gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet ist, macht es wegen der rechtlichen und technischen Komplexität Sinn, jemanden mit dieser Aufgabe zu betrauen. Falls man diese intern vergeben möchte, stellt sich aber schnell die Frage, wer das Amt überhaupt übernehmen darf.
Dreh- und Angelpunkt ist hierbei Art. 38 Abs. 3 und 6 DSGVO:
„(3) Der Verantwortliche und der Auftragsverarbeiter stellen sicher, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält. Der Datenschutzbeauftragte darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters. (…)
(6) Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“
Daraus leitet sich allgemein ab, dass der Datenschutzbeauftragte weisungsfrei agieren und zuverlässig sein muss. Insbesondere bei betrieblichen Datenschutzbeauftragten ist darauf zu achten, das eine mögliche Interessenkollision vermieden wird.
Bei welchen Personen entstehen typischerweise Interessenskonflikte?
In der Literatur und Praxis haben sich bestimmte Personengruppen herausgebildet, bei denen das Vorliegen von Interessenskonflikten grundsätzlich bejaht werden kann. Diese sollte man also gar nicht erst näher in Betracht ziehen, selbst wenn sie sich fachlich für die Position des betrieblichen Datenschutzbeauftragten eignen würden.
Geschäftsführung / Vorstand
Insbesondere bei jungen Startup-Unternehmen beweisen sich Geschäftsführer als Allrounder und versuchen auch Datenschutzthemen zu bearbeiten. Dies erfolgt meist aus der Not heraus, dass noch kein passendes Personal vorhanden ist und/oder das vorhandene Budget keine externe Beratung zulässt. Hier ist dringend zu empfehlen, diese Doppelrolle schnell zu separieren.
Der Datenschutzbeauftrage übt maßgeblich eine kontrollierende Funktion innerhalb des Unternehmens aus. Die Geschäftsführung, der Vorstand oder ähnliche Funktionen in einer Organisation hingegen definieren intern die Unternehmensziele und vertreten das Unternehmen nach außen hin. Sie treffen als allgemein Unternehmensentscheidungen, bei denen insbesondere wirtschaftliche Interesse wie Kosteneinsparungen und Gewinnmaximierungen eine große Rolle spielen. Wenn die Geschäftsleitung auch als Datenschutzbeauftragte agiert, würde sie sich selber bei dieser Entscheidungsfindung kontrollieren müssen. Dass dies selten funktioniert, zeigt uns die Geschichte. Nicht umsonst ist die Gewaltenteilung ein tragendes Verfassungsprinzip unseres Rechtsstaates. Eine solche Gewaltenteilung ist gleichfalls bei der Stellung des Datenschutzbeauftragten erforderlich, damit dieser effizient und unvoreingenommen seine Aufgaben wahrnehmen kann.
Aber nicht nur die Problematik der Selbstkontrolle schreit förmlich nach Interessenskonflikt. Zudem besteht durch die Doppelrolle die Gefahr, dass Mitarbeiter sich scheuen, Datenpannen oder sonstige Defizite im Bereich Datenschutz und -sicherheit zu melden. Zu groß ist die Sorge, dass die Meldung für sich oder andere arbeitsrechtliche Konsequenzen haben könnte. Dem Datenschutzbeauftragten kommt insofern nicht nur eine Vertrauensposition zu, sondern auch eine neutrale Stellung innerhalb des Unternehmens.
IT-Manager
IT-Manager haben naturgemäß einen sehr guten Gesamtüberblick über die Datenverarbeitungsvorgänge im Unternehmen. Sie müssen sich bereits Fragen zur IT- und Datensicherheit stellen – ein Vorgang, der über Art. 32 DSGVO Überschneidungen zum Datenschutz aufweist – und haben deshalb oftmals auch schon ein sehr gutes Grundverständnis für Datenschutz. Es liegt also nahe, eine solche Person mit der Aufgabe eines betrieblichen Datenschutzbeauftragten zu betrauen. Allerdings ist auch hier Vorsicht geboten.
Bereits im Jahre 2016 hatte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) in einer Pressemitteilungen darauf hingewiesen, dass bei einem „IT-Manager“ die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter besteht. Das BayLDA verhing wegen dieser Doppelbesetzung ein Bußgeld gegen ein Unternehmen. Es begründete die Entscheidung damit, dass der IT-Manager
„gleichzeitig maßgebliche operative Verantwortung für Datenverarbeitungsprozesse besitzt.“
In dieser Pressemitteilung wird leider nicht ausgeführt, was die konkreten Aufgaben des IT-Managers des betroffenen Unternehmens waren. Falls man sich doch dazu entschließen sollte, eine Person aus der IT-Abteilung zum Datenschutzbeauftragten ernennen zu wollen, dann muss man anhand der konkreten Aufgaben sicherstellen, dass dessen Unabhängigkeit gewahrt ist. Dies geht nur, wenn eine andere Person letztlich die operativen Entscheidungen trifft.
Vertriebsleiter (bei direktem Vertrieb) und Leiter der Personalverwaltung
Unter der Aufsicht des Vertriebsleiters werden viele Kundendaten verarbeitet, bei dem Leiter der Personalverwaltung sind es die Beschäftigtendaten. Diese Abteilungsleiter verantworten ebenfalls maßgebliche Datenverarbeitungstätigkeiten im Unternehmen. Der Ausführende würde sich abermals selber kontrollieren und damit seine „Arbeitsleistung“ hinsichtlich datenschutzrechtlicher Gesichtspunkte bewerten müssen. Insoweit bestehen die gleichen Bedenken wie beim IT-Manager, sodass hier eine Interessenkollision besteht.
Interne Revision
Große Unternehmen verfügen in der Regel über eine interne Revision, welche eine interne Kontrollinstanz darstellt. Zu ihren Aufgaben gehören u. a.:
- Prüfung der Einhaltung gesetzlicher, satzungsmäßiger oder sonstigen Vorschriften und Weisungen
- Überwachung aller Geschäftsvorgänge auf ordnungsgemäße Bearbeitung
- Vorschläge für die Verbesserung der innerbetrieblichen Organisation erarbeiten
- Untersuchung der Wirtschaftlichkeit
- ggf. Überprüfung der IT, soweit es hierfür keine separate Revision gibt
- unmittelbare Berichte an die Geschäftsführung.
Ähnlich wie dem Datenschutzbeauftragten hinsichtlich Verarbeitungsvorgänge von personenbezogenen Daten steht der Revision ein uneingeschränktes Informationsrecht zu. Da die Revision bereits selber eine kontrollierende Aufgabe wahrnimmt, könnte dies zwar für das Vorliegen der entsprechenden Fachkunde sprechen. Allerdings muss man sich hier die Frage stellen, wer eigentlich wen kontrollieren darf. Soweit die Revisionsabteilung selber personenbezogene Daten verarbeitet, unterliegt sie der Kontrolle des Datenschutzbeauftragten.
Auf der anderen Seite ist der Datenschutzbeauftragte weisungsfrei und unterliegt damit in seinem Aufgabenbereich nicht der Kontrolle durch die Revision. Insbesondere wenn sich aus dem Gesetz eine Pflicht zur Benennung eines Datenschutzbeauftragten ergibt, spricht die Pflicht zur Verschwiegenheit aus §§ 6 Abs. 5 S. 2 und 38 Abs. 2 BDSG gegen eine Personenidentität. Wie schon bereits erwähnt ist der Datenschutzbeauftragte auch eine Vertrauensperson.
Es wäre dann wie der seltsame Fall des Dr. Jekyll und Mr. Hyde: Mal kontrolliert man sich selber und mal darf man es nicht. Einerseits ist man Vertrauensperson und muss die erlangten Informationen vertraulich behandeln. Andererseits ist man der Geschäftsführung direkt unterstellt und soll daher im Rahmen von Audits vollumfänglich berichten. Auch wenn beide Instanzen eine Kontrollfunktion im Unternehmen wahrnehmen, verfolgen diese unterschiedliche Interessen. Damit beide ihre Kontrollfunktion entsprechend wahrnehmen können, ist auch hier eine strikte Trennung zwischen Revision und Datenschutzbeauftragter zu empfehlen.
Betriebsratsmitglied
Der Betriebsrat wacht und kontrolliert als Arbeitnehmervertretung, dass die Schutzvorschriften für die Arbeitnehmer durch den Arbeitgeber gewahrt werden. Der Datenschutzbeauftragte hat im Unternehmen wiederum eine neutrale Stellung inne und berät sowohl Arbeitgeber- als auch Arbeitnehmerseite. Wenn ein Betriebsratsmitglied nun als Datenschutzbeauftragter bestellt wird, könnte man sich fragen, inwieweit dieses neutral den Arbeitgeber beraten kann.
Das Bundesarbeitsgericht sah in seinem Urteil vom 23.03.2011 – 10 AZR 562/09 keine Interessenkonflikte und führt u. a. aus:
Die bloße Mitgliedschaft im Betriebsrat und dessen EDV-Ausschuss macht die Klägerin für das Amt der Beauftragten für den Datenschutz nicht unzuverlässig. (…) Dass der betriebliche Datenschutzbeauftragte Kontroll- und Überwachungsbefugnisse gegenüber dem Arbeitgeber hat, macht ein Betriebsratsmitglied nicht generell für diesen Aufgabenbereich ungeeignet. Die Rechtsstellung des Arbeitgebers wird nicht dadurch unzulässig beeinträchtigt, dass er einem Datenschutzbeauftragten gegenübersteht, der zugleich die Rechte des Betriebsrats aus dem BetrVG wahrnimmt.“
Die richtige Besetzung – keine leichte Aufgabe
Es ist gar nicht so leicht, eine passende Person zu finden, die für das „Amt“ des betrieblichen Datenschutzbeauftragten geeignet ist. Einerseits soll sie die fachliche Expertise im Datenschutz aufweisen und die Datenprozesse im Unternehmen kennen. Andererseits darf es nicht zu Interessenkollisionen mit ihren anderen Aufgaben kommen. Dadurch scheiden viele Personen aus, die eigentlich einen guten Gesamtüberblick über das Unternehmen hätten. Da Datenschutz nunmehr alle Bereiche im Unternehmen betrifft, ist auch der zu erwartende Arbeitsaufwand nicht zu unterschätzen. Es kann daher geboten sein, diese Stelle als Vollzeitstelle zu behandeln und entsprechend auszuschreiben.
Zudem gilt es zu beachten, je großer das Unternehmen und komplexer die Datenprozesse werden, desto eher kann eine Person alleine die relevanten Themen nicht mehr alleine bearbeiten. In der Praxis hat sich daher zunehmend die Kombination aus internem Datenschutzkoordinator und externen Datenschutzbeauftragten bewährt. Über die Stellung und die Aufgaben eines Datenschutzkoordinators hatten wir bereits ausführlich berichtet.
