Viele Verantwortliche, wie z. B. Unternehmen, Vereine oder Behörden, müssen einen Datenschutzbeauftragten benennen. Hierbei ist jedoch darauf zu achten, dass es für die wahrzunehmenden Aufgaben eines Datenschutzbeauftragten, insbesondere das Hinwirken auf die Einhaltung des Datenschutzes innerhalb der verantwortlichen Stelle, nicht zu Interessenkonflikten kommen darf. Dies kann sowohl bei internen als auch bei externen Datenschutzbeauftragten der Fall sein.

Anforderungen an die Bestellung eines DSB

Neben der beruflichen Qualifikation und dem Fachwissen im Bereich Datenschutz (Fachkunde des Datenschutzbeauftragten) muss der Datenschutzbeauftragte zusätzlich die Fähigkeiten besitzen, die Aufgaben eines Datenschutzbeauftragten, nach der Datenschutz-Grundverordnung gemäß Art. 39 Datenschutz-Grundverordnung (DS-GVO), zu erfüllen.

Hierbei ist ausschlaggebend, dass der DSB eine völlige Unabhängigkeit in seiner Funktion als Kontrollinstanz besitzt. Zudem wird eine gewisse Zuverlässigkeit für die Stelle vorausgesetzt, welche sich in subjektive und objektive Zuverlässigkeit unterteilen lässt. Unter die subjektive Zuverlässigkeit fallen die Integrität und das Verantwortungsbewusstsein. Präziser lässt sich die objektive Zuverlässigkeit bestimmen, wonach der DSB objektiv und unbeeinflussbar seinen Aufgaben im Unternehmen nachgehen können muss. Dies beschreibt mit anderen Worten, dass der Datenschutzbeauftragte keinem Interessenkonflikt ausgesetzt sein darf, da er dann nicht objektiv handeln könnte.

Eine objektive Zuverlässigkeit wäre ebenfalls nicht gegeben, wenn die Gefahr für den Zuständigen besteht, sich aufgrund seiner Funktion als Kontrollinstanz, selbst einer Selbstkontrolle unterziehen zu müssen. In diesem Zusammenhang kommen spezielle Funktionen/Positionen für den Datenschutzbeauftragten nicht in Frage, wobei es jedoch zu beachten gilt, dass sowohl bei der internen als auch bei der externen Bestellung ein solches Risiko bestehen kann.

Interessenkonflikt interner Datenschutzbeauftragter

Funktionen/Positionen, die nach einer internen Bestellung einem Interessenkonflikt unterliegen, sind vor allem Inhaber, Vorstände, Geschäftsführer, Leiter der IT- oder Personalabteilung sowie auch Familienangehörige des gesetzlichen Vertreters der Verantwortlichen Stelle.

Für die genannten Stellen dürfte es schwierig sein, Entscheidungen zwischen dem Datenschutz und der Wirtschaftlichkeit für das Unternehmen zu fällen. Darüber hinaus dürfte die Kontrollfunktion eingeschränkt sein, da sich diese einer Selbstkontrolle unterziehen müssten. Beim Beispiel eines Familienangehörigen wäre zudem davon auszugehen, dass dieser – ggf. auch aufgrund der wirtschaftlichen Abhängigkeit –  keine objektiven Empfehlungen im Unternehmen aussprechen könnte und somit der Schutz personenbezogener Daten nicht gewährleistet oder gefährdet sein könnte.

Interessenkonflikt externer Datenschutzbeauftragter

Auch bei einer Bestellung eines externen Datenschutzbeauftragten könnte es zu Interessenkonflikten kommen. Dies betrifft jedoch i. d. R. externe Datenschutzbeauftragte, die zusätzlich IT-Dienstleistungen erbringen. Dieser müsste sich ebenfalls einer Selbstkontrolle unterziehen, was als Unvereinbarkeit zu werten wäre. In der Regel können Verantwortliche jedoch gerade mit der Bestellung eines externen Datenschutzbeauftragten das Problem des Interessenkonfliktes umgehen.

Mögliche Folgen einer unwirksamen Bestellung

Sollte ein Verantwortlicher einen Datenschutzbeauftragten bestellen, dessen Position/Tätigkeit beim Verantwortlichen im Interessenkonflikt zu den Aufgaben des DSB steht, dürfte eine Verletzung vorliegen, die bußgeldbewehrt ist.

Fazit

Schlussendlich sollte das Unternehmen, für die Bestellung des Datenschutzbeauftragten, genau prüfen, ob und inwiefern die Person nach den genannten Kriterien für die Stelle in Frage kommt.

Ähnliche Beiträge