Interessenkonflikte bei DSB in (zusätzlich) leitender Funktion

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat zwei Fälle geprüft, in denen betriebliche Datenschutzbeauftragte gleichzeitig in leitenden Positionen innerhalb ihrer Unternehmen tätig waren. Konkret handelte es sich um Funktionen als Leiter der IT-Abteilung bzw. der Konzernsicherheit. Beide Fälle wurden aufgrund von Beschwerden geprüft und im Rahmen aufsichtsbehördlicher Verfahren behandelt.

Rechtlicher Hintergrund

Nach Art. 37 Abs. 6 DS-GVO dürfen Datenschutzbeauftragte grundsätzlich andere Aufgaben übernehmen, sofern keine Interessenkonflikte entstehen. Ein solcher liegt insbesondere dann vor, wenn die betreffende Person in der Lage ist, Zwecke und Mittel der Datenverarbeitung zu bestimmen oder sich selbst kontrollieren müsste. Genau das war in den vorliegenden Fällen der Fall: Beide Datenschutzbeauftragten nahmen Funktionen wahr, in denen sie maßgeblichen Einfluss auf die Datenverarbeitung hatten und damit nicht unabhängig tätig sein konnten.

Bewertung des ULD

In beiden Fällen sah das ULD einen klaren Verstoß gegen die Vorgaben der DS-GVO. Die betroffenen Personen konnten entweder direkt über Datenverarbeitungsvorgänge entscheiden oder kontrollierten in anderer Funktion die eigene Tätigkeit als Datenschutzbeauftragte. Dies widerspricht dem Grundprinzip der funktionalen Trennung von Kontrolle und Durchführung. In einem der Fälle war der Datenschutzbeauftragte zugleich Leiter der Konzernsicherheit und führte in dieser Funktion auch die Datenschutzabteilung, deren Aufgabe es war, ihn bei der Aufgabenerfüllung zu unterstützen. Auch die Aufteilung der Pflichten nach Art. 39 DS-GVO zwischen Datenschutzbeauftragtem und Abteilung wurde vom ULD als unzulässige Vermengung von Zuständigkeiten gewertet.

Die betroffenen Unternehmen argumentierten, dass interne organisatorische Maßnahmen ausreichenden Schutz vor Interessenkonflikten böten. Diese Maßnahmen konnten aus Sicht des ULD jedoch nicht sicherstellen, dass eine unabhängige Datenschutzkontrolle möglich war. Strukturelle Abhängigkeiten blieben bestehen.

Folgen und Maßnahmen

Beide Unternehmen zeigten sich einsichtig und benannten neue Datenschutzbeauftragte, die keine leitenden Funktionen mit Bezug zur Datenverarbeitung innehaben. Daraufhin wurden die Verfahren eingestellt. Das ULD wies abschließend nochmals ausdrücklich darauf hin, dass auch in der neuen Konstellation dauerhaft sichergestellt sein muss, dass keine Interessenkonflikte entstehen.

Fazit

Die Fälle zeigen exemplarisch, wie wichtig es ist, bei der Benennung von Datenschutzbeauftragten, die in Personalunion tätig sind, auf deren organisatorische Einbindung zu achten. Eine rein formale Trennung reicht nicht aus – maßgeblich ist die tatsächliche Unabhängigkeit in der Wahrnehmung der Aufgaben. Unternehmen sind gut beraten, diese Anforderung bereits im Vorfeld sorgfältig zu prüfen.

(Foto: ArmStrong – stock.adobe.com)