1. Home
  2. Interessenkonflikte bei DSB in...
DataAgenda

Interessenkonflikte bei DSB in (zusätzlich) leitender Funktion

Interessenkollision DSB in Personalunion

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) hat zwei Fälle geprüft, in denen betriebliche Datenschutzbeauftragte gleichzeitig in leitenden Positionen innerhalb ihrer Unternehmen tätig waren. Konkret handelte es sich um Funktionen als Leiter der IT-Abteilung bzw. der Konzernsicherheit. Beide Fälle wurden aufgrund von Beschwerden geprüft und im Rahmen aufsichtsbehördlicher Verfahren behandelt.

Rechtlicher Hintergrund

Nach Art. 37 Abs. 6 DS-GVO dürfen Datenschutzbeauftragte grundsätzlich andere Aufgaben übernehmen, sofern keine Interessenkonflikte entstehen. Ein solcher liegt insbesondere dann vor, wenn die betreffende Person in der Lage ist, Zwecke und Mittel der Datenverarbeitung zu bestimmen oder sich selbst kontrollieren müsste. Genau das war in den vorliegenden Fällen der Fall: Beide Datenschutzbeauftragten nahmen Funktionen wahr, in denen sie maßgeblichen Einfluss auf die Datenverarbeitung hatten und damit nicht unabhängig tätig sein konnten.

Bewertung des ULD

In beiden Fällen sah das ULD einen klaren Verstoß gegen die Vorgaben der DS-GVO. Die betroffenen Personen konnten entweder direkt über Datenverarbeitungsvorgänge entscheiden oder kontrollierten in anderer Funktion die eigene Tätigkeit als Datenschutzbeauftragte. Dies widerspricht dem Grundprinzip der funktionalen Trennung von Kontrolle und Durchführung. In einem der Fälle war der Datenschutzbeauftragte zugleich Leiter der Konzernsicherheit und führte in dieser Funktion auch die Datenschutzabteilung, deren Aufgabe es war, ihn bei der Aufgabenerfüllung zu unterstützen. Auch die Aufteilung der Pflichten nach Art. 39 DS-GVO zwischen Datenschutzbeauftragtem und Abteilung wurde vom ULD als unzulässige Vermengung von Zuständigkeiten gewertet.

Die betroffenen Unternehmen argumentierten, dass interne organisatorische Maßnahmen ausreichenden Schutz vor Interessenkonflikten böten. Diese Maßnahmen konnten aus Sicht des ULD jedoch nicht sicherstellen, dass eine unabhängige Datenschutzkontrolle möglich war. Strukturelle Abhängigkeiten blieben bestehen.

Folgen und Maßnahmen

Beide Unternehmen zeigten sich einsichtig und benannten neue Datenschutzbeauftragte, die keine leitenden Funktionen mit Bezug zur Datenverarbeitung innehaben. Daraufhin wurden die Verfahren eingestellt. Das ULD wies abschließend nochmals ausdrücklich darauf hin, dass auch in der neuen Konstellation dauerhaft sichergestellt sein muss, dass keine Interessenkonflikte entstehen.

Fazit

Die Fälle zeigen exemplarisch, wie wichtig es ist, bei der Benennung von Datenschutzbeauftragten, die in Personalunion tätig sind, auf deren organisatorische Einbindung zu achten. Eine rein formale Trennung reicht nicht aus – maßgeblich ist die tatsächliche Unabhängigkeit in der Wahrnehmung der Aufgaben. Unternehmen sind gut beraten, diese Anforderung bereits im Vorfeld sorgfältig zu prüfen.

(Foto: ArmStrong – stock.adobe.com)

Letztes Update:07.05.25

Verwandte Produkte

  • Fortbildung zum KI-Datenschutz-Experten (AI-Privacy-Expert) GDDcert. EU

    Fortbildung zum KI-Datenschutz-Experten (AI-Privacy-Expert) GDDcert. EU

    Seminar

    16.09.2025, 08:00 Uhr | Berlin

    03.07.2025, 13:00 Uhr | Prüfung | Frankfurt

    18.09.2025, 13:00 Uhr | Prüfung | Berlin

    2.469,25 € Mehr erfahren
  • Teil 1: Einführung in den Datenschutz für die Privatwirtschaft

    Teil 1: Einführung in den Datenschutz für die Privatwirtschaft

    Seminar

    08.09.2025, 08:00 Uhr | Köln

    01.12.2025, 09:00 Uhr | online

    2.499,00 € Mehr erfahren
  • Konzerndatenschutz

    Konzerndatenschutz

    Seminar

    14.10.2025, 08:00 Uhr | online

    833,00 € Mehr erfahren

Das könnte Sie auch interessieren

  • Rauchwarnmelder und Datenschutz

    Datenschutzrechtliche Anforderungen an Rauchwarnmelder mit Klima-Monitoring

    Die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW) hat berreits Ende 2024 Stellung zu Rauchwarnmeldern mit integrierter Klimaüberwachung bezogen. Diese Geräte erfassen neben Rauchentwicklung auch Raumtemperatur und Luftfeuchtigkeit und übermitteln die Daten an externe Dienstleister, die sie analysieren und den Bewohner*innen beispielsweise Lüftungsempfehlungen geben. Zentrale Datenschutzaspekte: Empfehlungen der LDI NRW: Auch die Sächsische Datenschutz-

    Mehr erfahren
  • Data Act

    Data Act: Neue Anforderungen an Datenzugang und Datenschutz

    Am 12. September 2025 wird der Data Act der Europäischen wirksam. Ziel der Verordnung ist es, den Zugang zu und die Nutzung von Daten, insbesondere aus vernetzten Geräten, zu fördern. Hersteller und Anbieter entsprechender Produkte werden künftig verpflichtet, sowohl nicht-personenbezogene als auch personenbezogene Daten Dritten auf Anforderung bereitzustellen – etwa Nutzenden oder Dienstleistern. Dies betrifft

    Mehr erfahren
  • KI in der Bundesverwaltung

    Leitlinien für den Einsatz von KI in der Bundesverwaltung

    Die vom Bundesministerium des Innern und für Heimat (BMI) veröffentlichten „Leitlinien für den Einsatz Künstlicher Intelligenz in der Bundesverwaltung“ bieten einen umfassenden Rahmen für den verantwortungsvollen Einsatz von KI-Technologien in öffentlichen Institutionen. Sie zielen darauf ab, sowohl rechtliche als auch ethische Standards zu etablieren, um den Einsatz von KI transparent, nachvollziehbar und im Einklang mit

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner