1. Home
  2. Interessenkonflikte bei DSB in...
DataAgenda

Interessenkonflikte bei DSB in (zusätzlich) leitender Funktion

Interessenkollision DSB in Personalunion

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat zwei Fälle geprüft, in denen betriebliche Datenschutzbeauftragte gleichzeitig in leitenden Positionen innerhalb ihrer Unternehmen tätig waren. Konkret handelte es sich um Funktionen als Leiter der IT-Abteilung bzw. der Konzernsicherheit. Beide Fälle wurden aufgrund von Beschwerden geprüft und im Rahmen aufsichtsbehördlicher Verfahren behandelt.

Rechtlicher Hintergrund

Nach Art. 37 Abs. 6 DS-GVO dürfen Datenschutzbeauftragte grundsätzlich andere Aufgaben übernehmen, sofern keine Interessenkonflikte entstehen. Ein solcher liegt insbesondere dann vor, wenn die betreffende Person in der Lage ist, Zwecke und Mittel der Datenverarbeitung zu bestimmen oder sich selbst kontrollieren müsste. Genau das war in den vorliegenden Fällen der Fall: Beide Datenschutzbeauftragten nahmen Funktionen wahr, in denen sie maßgeblichen Einfluss auf die Datenverarbeitung hatten und damit nicht unabhängig tätig sein konnten.

Bewertung des ULD

In beiden Fällen sah das ULD einen klaren Verstoß gegen die Vorgaben der DS-GVO. Die betroffenen Personen konnten entweder direkt über Datenverarbeitungsvorgänge entscheiden oder kontrollierten in anderer Funktion die eigene Tätigkeit als Datenschutzbeauftragte. Dies widerspricht dem Grundprinzip der funktionalen Trennung von Kontrolle und Durchführung. In einem der Fälle war der Datenschutzbeauftragte zugleich Leiter der Konzernsicherheit und führte in dieser Funktion auch die Datenschutzabteilung, deren Aufgabe es war, ihn bei der Aufgabenerfüllung zu unterstützen. Auch die Aufteilung der Pflichten nach Art. 39 DS-GVO zwischen Datenschutzbeauftragtem und Abteilung wurde vom ULD als unzulässige Vermengung von Zuständigkeiten gewertet.

Die betroffenen Unternehmen argumentierten, dass interne organisatorische Maßnahmen ausreichenden Schutz vor Interessenkonflikten böten. Diese Maßnahmen konnten aus Sicht des ULD jedoch nicht sicherstellen, dass eine unabhängige Datenschutzkontrolle möglich war. Strukturelle Abhängigkeiten blieben bestehen.

Folgen und Maßnahmen

Beide Unternehmen zeigten sich einsichtig und benannten neue Datenschutzbeauftragte, die keine leitenden Funktionen mit Bezug zur Datenverarbeitung innehaben. Daraufhin wurden die Verfahren eingestellt. Das ULD wies abschließend nochmals ausdrücklich darauf hin, dass auch in der neuen Konstellation dauerhaft sichergestellt sein muss, dass keine Interessenkonflikte entstehen.

Fazit

Die Fälle zeigen exemplarisch, wie wichtig es ist, bei der Benennung von Datenschutzbeauftragten, die in Personalunion tätig sind, auf deren organisatorische Einbindung zu achten. Eine rein formale Trennung reicht nicht aus – maßgeblich ist die tatsächliche Unabhängigkeit in der Wahrnehmung der Aufgaben. Unternehmen sind gut beraten, diese Anforderung bereits im Vorfeld sorgfältig zu prüfen.

(Foto: ArmStrong – stock.adobe.com)

Letztes Update:07.05.25

Verwandte Produkte

  • Fortbildung zum KI-Datenschutz-Experten (AI-Privacy-Expert) GDDcert. EU

    Fortbildung zum KI-Datenschutz-Experten (AI-Privacy-Expert) GDDcert. EU

    Seminar

    17.11.2025, 09:00 Uhr | online

    19.11.2025, 09:00 Uhr | Prüfung | online

    2.469,25 € Mehr erfahren
  • Teil 1: Einführung in den Datenschutz für die Privatwirtschaft

    Teil 1: Einführung in den Datenschutz für die Privatwirtschaft

    Seminar

    01.12.2025, 09:00 Uhr | online

    2.499,00 € Mehr erfahren
  • Konzerndatenschutz

    Konzerndatenschutz

    Seminar

    833,00 € Mehr erfahren

Das könnte Sie auch interessieren

  • Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Webinar Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager

    Mehr erfahren
  • NIs-2 und Geschäftsführerschulung

    BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit

    Mehr erfahren
  • Refurbished Notebook und Datenpanne

    Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?

    Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner