1. Home
  2. Interessenkonflikte bei DSB in...
DataAgenda

Interessenkonflikte bei DSB in (zusätzlich) leitender Funktion

Interessenkollision DSB in Personalunion

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat zwei Fälle geprüft, in denen betriebliche Datenschutzbeauftragte gleichzeitig in leitenden Positionen innerhalb ihrer Unternehmen tätig waren. Konkret handelte es sich um Funktionen als Leiter der IT-Abteilung bzw. der Konzernsicherheit. Beide Fälle wurden aufgrund von Beschwerden geprüft und im Rahmen aufsichtsbehördlicher Verfahren behandelt.

Rechtlicher Hintergrund

Nach Art. 37 Abs. 6 DS-GVO dürfen Datenschutzbeauftragte grundsätzlich andere Aufgaben übernehmen, sofern keine Interessenkonflikte entstehen. Ein solcher liegt insbesondere dann vor, wenn die betreffende Person in der Lage ist, Zwecke und Mittel der Datenverarbeitung zu bestimmen oder sich selbst kontrollieren müsste. Genau das war in den vorliegenden Fällen der Fall: Beide Datenschutzbeauftragten nahmen Funktionen wahr, in denen sie maßgeblichen Einfluss auf die Datenverarbeitung hatten und damit nicht unabhängig tätig sein konnten.

Bewertung des ULD

In beiden Fällen sah das ULD einen klaren Verstoß gegen die Vorgaben der DS-GVO. Die betroffenen Personen konnten entweder direkt über Datenverarbeitungsvorgänge entscheiden oder kontrollierten in anderer Funktion die eigene Tätigkeit als Datenschutzbeauftragte. Dies widerspricht dem Grundprinzip der funktionalen Trennung von Kontrolle und Durchführung. In einem der Fälle war der Datenschutzbeauftragte zugleich Leiter der Konzernsicherheit und führte in dieser Funktion auch die Datenschutzabteilung, deren Aufgabe es war, ihn bei der Aufgabenerfüllung zu unterstützen. Auch die Aufteilung der Pflichten nach Art. 39 DS-GVO zwischen Datenschutzbeauftragtem und Abteilung wurde vom ULD als unzulässige Vermengung von Zuständigkeiten gewertet.

Die betroffenen Unternehmen argumentierten, dass interne organisatorische Maßnahmen ausreichenden Schutz vor Interessenkonflikten böten. Diese Maßnahmen konnten aus Sicht des ULD jedoch nicht sicherstellen, dass eine unabhängige Datenschutzkontrolle möglich war. Strukturelle Abhängigkeiten blieben bestehen.

Folgen und Maßnahmen

Beide Unternehmen zeigten sich einsichtig und benannten neue Datenschutzbeauftragte, die keine leitenden Funktionen mit Bezug zur Datenverarbeitung innehaben. Daraufhin wurden die Verfahren eingestellt. Das ULD wies abschließend nochmals ausdrücklich darauf hin, dass auch in der neuen Konstellation dauerhaft sichergestellt sein muss, dass keine Interessenkonflikte entstehen.

Fazit

Die Fälle zeigen exemplarisch, wie wichtig es ist, bei der Benennung von Datenschutzbeauftragten, die in Personalunion tätig sind, auf deren organisatorische Einbindung zu achten. Eine rein formale Trennung reicht nicht aus – maßgeblich ist die tatsächliche Unabhängigkeit in der Wahrnehmung der Aufgaben. Unternehmen sind gut beraten, diese Anforderung bereits im Vorfeld sorgfältig zu prüfen.

(Foto: ArmStrong – stock.adobe.com)

Letztes Update:07.05.25

Verwandte Produkte

  • Fortbildung zum KI-Datenschutz-Experten (AI-Privacy-Expert) GDDcert. EU

    Fortbildung zum KI-Datenschutz-Experten (AI-Privacy-Expert) GDDcert. EU

    Seminar

    2.469,25 € Mehr erfahren
  • Teil 1: Einführung in den Datenschutz für die Privatwirtschaft

    Teil 1: Einführung in den Datenschutz für die Privatwirtschaft

    Seminar

    2.499,00 € Mehr erfahren
  • Konzerndatenschutz

    Konzerndatenschutz

    Seminar

    833,00 € Mehr erfahren

Das könnte Sie auch interessieren

  • DataAgenda Podcast Cover Folge 83 mit Stephan Grünewald

    Folge 83: Psychologie im Spiegel der KI

    Die Haltung der Menschen zu KI wandelt sich nach dem Befund des Psychologen Stephan Grünewald. Aus dem Zauberstab des „Allmachts-Boosters“ sei eine Bedrohung geworden. KI sei zwischen „persönlichem Heinzelmann und gefügigem Traumpartner“ gestartet: „Was kann ich noch selbst? Und wer bin ich überhaupt noch?“. Diese Fragen stellen sich für den Menschen. Wie hätte man vor

    Mehr erfahren

  • Folge 86: KI-Daten-Wirtschaft – Der Parlamentarische Abend der GDD im Rückblick

    Im Dezember 2025 hat die GDD zum Parlamentarischen Abend in der Deutschen Parlamentarischen Gesellschaft in Berlin eingeladen. Unter der Schirmherrschaft von MdB Günter Krings haben Thomas Jarzombek, Parlamentarischer Staatssekretär im BMDS, Dr. Daniela Brönstrup, Vizepräsidentin der BNetzA, und DSK-Chef Tobias Keber, VAUNET-Chef Claus Grewenig, der Neuropathologe Felix Sahm und Kristin Benedikt diskutiert, moderiert von Rolf

    Mehr erfahren
  • Compliance-Verstöße: Keine Vorfeststellung natürlicher Personen mehr erforderlich

    EuGH: Banken haften auch ohne Verurteilung ihrer Organmitglieder

    Der Europäische Gerichtshof hat mit Urteil vom 29. Januar 2026 (C-291/24) entschieden, dass die EU-Geldwäscherichtlinie einer nationalen Regelung entgegensteht, die Sanktionen gegen juristische Personen von der förmlichen Feststellung der Schuld natürlicher Personen abhängig macht. Das Urteil stärkt die Durchsetzbarkeit von Compliance-Anforderungen im Finanzsektor. Ausgangssachverhalt aus Österreich Die österreichische Finanzmarktaufsicht (FMA) hatte gegen die Steiermärkische Bank

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner