Wagen 0
Datenschutzbeauftragte nehmen bei Behörden und vielen Unternehmen eine zentrale Rolle ein. Sie unterstützen bei der Einhaltung des Datenschutzrechts und sind aufgrund ihrer gesetzlich besonders geschützten Rolle der Kern der Selbstregulierung datenverarbeitender Unternehmen. Zudem nehmen Datenschutzbeauftragte in der Praxis eine bedeutsame Vermittlerstellung zwischen den Beteiligten, wie etwa Aufsichtsbehörden, Betroffenen sowie Behörden und Unternehmen ein. Die grundlegenden Regelungen zu den nachstehenden Fragestellungen finden sich in der Datenschutzgrundverordnung (DS-GVO) und werden teilweise durch das Bundesdatenschutzgesetz (BDSG) ergänzt:
- Wann muss ein Datenschutzbeauftragter bestellt werden? (siehe Art. 37 DS-GVO und § 38 BDSG)
- Welche Aufgabe hat ein Datenschutzbeauftragter zu erfüllen? (siehe Art. 39 DS-GVO)
- Welche besondere Stellung nimmt ein Datenschutzbeauftragter im Unternehmen ein? (siehe Art. 38 DS-GVO)
Bei der Benennung eines betrieblichen Datenschutzbeauftragten sollte darauf geachtet wird, dass kein Interessenkonflikt mit anderen Aufgaben im Unternehmen besteht. Andernfalls können schnell empfindliche Bußgelder der datenschutzrechtlichen Aufsichtsbehörden drohen. So erging es beispielsweise einem Berliner Handelskonzern, gegen den die Landesdatenschutzbehörde Berlin ein Bußgeld in Höhe von 525.000 Euro verhängte.[1]
Wann ein Interessenkonflikt anzunehmen ist, welche Risiken daraus resultieren und wie diese vermieden werden können, soll anhand dieses Fachbeitrags erläutert werden. Zudem wird darauf hingewiesen, dass die Unabhängigkeit des betrieblichen Datenschutzbeauftragten vermehrt in den Fokus der Aufsichtsbehörden rücken wird. Dies zeigen die bereits verhängten Bußgelder und die für dieses Jahr seitens der europäischen Aufsichtsbehörden angekündigte zweite koordinierte Durchsetzungsmaßnahme, die dieses Thema ebenfalls als Prüfungsschwerpunkt nennt.[2]
Wann besteht die Pflicht zur Bestellung eines Datenschutzbeauftragten?
Art. 37 Abs. 1 DS-GVO regelt, wann grundsätzlich ein Datenschutzbeauftragter zu bestellen ist. So haben datenverarbeitende Behörden und öffentlichen Stellen gemäß Art. 37 Abs. 1 lit. a DS-GVO grundsätzlich einen Datenschutzbeauftragten zu benennen. Für Unternehmen besteht eine Bestellpflicht, wenn die Kerntätigkeit des Unternehmens die Überwachung von Personen (vgl. gemäß Art. 37 Abs. 1 lit. b DS-GVO) oder die Verarbeitung von besonderen Datenkategorien nach Art. 9 DS-GVO, wie zum Beispiel Gesundheitsdaten, darstellt (vgl. gemäß Art. 37 Abs. 1 lit. c DS-GVO).
In Deutschland besteht daneben die Bestellpflicht für Unternehmen mit mindestens 20 Beschäftigten, welche ständig automatisiert personenbezogen Daten verarbeiten (vgl. Art. 37 Abs. 4 DS-GVO i.V.m. § 38 Abs. 1 S. 1 BDSG). Dies kann beispielsweise ein Unternehmen mit insgesamt 30 Beschäftigten sein, wovon sich insgesamt 20 Beschäftigte auf die Bereiche Personal, Marketing, Vertrieb, Kundenbetreuung verteilen und dort regelmäßig personenbezogene Daten automatisiert verarbeiten. Die übrigen 10 Beschäftigte können Beschäftigte im Außendienst sein, die z.B. Kundenaufträge abarbeiten und keine automatisierte Datenverarbeitung vornehmen. Aber auch Unternehmen mit weniger Beschäftigten können nach § 38 Abs. 1 Satz 2 BDSG in bestimmten Fällen zur Bestellung eines Datenschutzbeauftragten verpflichtet sein:
- Durchführung von Verarbeitungstätigkeiten, die einer Datenschutz-Folgenabschätzung gemäß Art. 35 DS-GVO unterliegen,
- Geschäftsmäßige Verarbeitung personenbezogener Daten zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung.
Sofern eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten besteht, sollten Unternehmen Folgendes bei der Entscheidungsfindung berücksichtigen:
Soll ein intern Beschäftigter als Datenschutzbeauftragter bestellt werden, sind insbesondere Interessenkollisionen zu prüfen. Der ausgewählte Beschäftigte darf keinerlei Einfluss auf die vom Unternehmen verfolgte Zwecke der Datenverarbeitung haben. Zudem dürfen die dabei eingesetzten Mittel nicht im Aufgaben- bzw. Verantwortungsbereich des ausgewählten Beschäftigten fallen. Aber auch bei der Bestellung eines externen Datenschutzbeauftragten ist zu prüfen, ob Interessen gegen eine Benennung sprechen.
Wann ist ein Interessenkonflikt anzunehmen?
Ein Interessenkonflikt im Sinne von Art. 38 Abs. 6 DS-GVO besteht, wenn einem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen oder seinem Auftragsverarbeiter festzulegen (vgl. EuGH, Urt. v. 09.02.2023, Az. C-453/21, C-560/21).
Leitungspersonen scheiden als betriebliche Datenschutzbeauftragte in aller Regel aus, denn eine unabhängige Ausübung der Tätigkeit als Datenschutzbeauftragter – insbesondere die Funktion der Selbstregulierung – ist nicht möglich.
Inhaber von Einzelunternehmen, Organe von juristischen Personen (z.B. Geschäftsführer, Vorstände, Prokuristen, Aufsichtsräte) und Leiter von Abteilungen (z.B. Kundenservice, Vertrieb, Marketing, Personal, IT) sowie Betriebs-/Niederlassungsleiter stehen daher als Datenschutzbeauftragte nicht zur Auswahl.[3] Auch bei Beschäftigten aus anderen Unternehmensbereichen ist von einer Interessenkollision auszugehen. Hierzu zählen insbesondere Compliance Officer, Risikomanager, IT-Sicherheitsbeauftragte, Qualitätsmanager und Beschäftigte der internen Revision.[4]
Ebenfalls ist davon auszugehen, dass bei der Benennung eines Betriebsratsmitglieds ein Interessenkonflikt besteht. Dieser resultiert daraus, dass der Betriebsrat dem Verantwortlichen zugeordnet wird und letztlich von den Kontrollen des Datenschutzbeauftragten erfasst wird.
Ebenfalls nicht als Datenschutzbeauftragte sollten Beschäftigte der Rechtsabteilung eines Unternehmens benannt werden. Denn auch diese vertreten in aller Regel die wirtschaftlichen Interessen des Unternehmens.[5]
Auch bei der Benennung eines externen Datenschutzbeauftragten kann eine Kollision bestehen. Davon ist auszugehen, wenn dieser beispielsweise Alleingesellschafter ist oder zumindest Mehrheitsanteile an dem beauftragenden Unternehmen hält.
In der Fachliteratur finden sich weitere Beispiele, in denen von einem Interessenkonflikt ausgegangen wird. In jedem Fall ist eine konkrete Prüfung im Einzelfall zu empfehlen.
Warum sollten Unternehmen bei der Auswahl des betrieblichen Datenschutzbeauftragten besondere Sorgfalt walten lassen?
Zum einen kann die zuständige datenschutzrechtliche Aufsichtsbehörde durch einen Verwaltungsakt eine Abberufung erlassen (vgl. § 40 Abs. 6 S. 2 BDSG), die ab Bestandskraft durch ein Zwangsgeld durchgesetzt werden kann. Daneben haben die Aufsichtsbehörden die Möglichkeit, bei Verstößen gegen Art. 38 Abs. 6 S. 2 DS-GVO ein angemessenes und abschreckendes Bußgeld zu verhängen. In Europa wurden für entsprechende Verstöße bereits Bußgelder im Rahmen von 6.000 bis 525.000 Euro ausgesprochen.
Weiterhin ist darauf hinzuweisen, dass gemäß Art. 82 Abs. 1 DS-GVO auch Schadensersatzansprüche betroffener Personen, z.B. Kunden oder Beschäftigte, bei Verstößen gegen Art. 38 Abs. 6 S. 2 DS-GVO theoretisch denkbar sind.[6]
Daneben kann auch eine Strafbarkeit des Datenschutzbeauftragten selbst in speziellen Fällen in Betracht kommen. Dies ist der Fall, wenn eine Doppelrolle bei einem der in § 203 Abs. 1 und Abs. 2 StGB genannten Unternehmen besteht.
Besteht ein Betriebsrat im Unternehmen, ist bei der Einstellung oder Versetzung von Beschäftigten zwingend dessen Zustimmung einzuholen. Liegt ein Interessenkonflikt bei der Benennung des betrieblichen Datenschutzbeauftragten vor, kann der Betriebsrat gemäß § 99 Abs. 2 Nr. 1 BetrVG i.V.m. § 95 Abs. 3 S. 1 BetrVG seine Zustimmung verweigern.
Was gilt es für Unternehmen bei der Benennung des betrieblichen Datenschutzbeauftragten zu beachten?
Grundsätzlich sollten Verantwortliche (Unternehmen und Behörden), die einen betrieblichen Datenschutzbeauftragten planen zu benennen, sorgfältig prüfen, ob ein Interessenkonflikt vorliegt oder nicht. Insbesondere sollten etwaige Doppelrollen der Datenschutzbeauftragten auf eine Entscheidungsbefugnis über die Verarbeitung personenbezogener Daten hin überprüft werden.[7] Dies gilt unabhängig davon, ob eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht oder nicht.
Sofern bereits betriebliche Datenschutzbeauftragte mit Interessenkollision benannt sind, sollten diese nach Möglichkeit zur Problemlösung abberufen werden. In Fällen, in denen aus unterschiedlichen Gründen keine Neubesetzung des Datenschutzbeauftragten in Betracht kommt, sollte das betroffene Unternehmen seine Entscheidung nachvollziehbar darstellen und dokumentieren, um im Falle einer Prüfung durch die zuständige Aufsichtsbehörde einen Nachweis führen können.
Zur Vermeidung der erwähnten Unwägbarkeiten sollten betroffene Unternehmen daher vielmehr prüfen, ob nicht die Benennung eines externen Datenschutzbeauftragten die bessere und konfliktärmere Wahl ist.
Sofern Sie Rückfragen zur Benennung eines externen oder internen Datenschutzbeauftragten haben, stehen wir Ihnen sehr gerne zur Verfügung.
[1] Vgl. Berliner Beauftragte für Datenschutz und Informationssicherheit, Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld gegen Tochtergesellschaft eines Berliner E-Commerce-Konzerns, abrufbar unter: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220920-BlnBDI-PM-Bussgeld-DSB.pdf.
[2] Vgl. Cay Lennart Cornelius, Interessenkonflikt bei betrieblichen Datenschutzbeauftragten – Vermeidung und Konsequenzen einer selbstkontrollierten Doppelrolle, PinG 06.22, Seite 251 VI. Fazit.
[3] Vgl. Haag in Forgó/Helfrich/Schneider, Betrieblicher Datenschutz, 3. Auflage 2019, Teil II Kap. 3 Rn. 60 -63.
[4] Vgl. ebd.
[5] Vgl. Landesdatenschutzbeauftragter für Datenschutz und Informationssicherheit Baden-Württemberg, Die/der Beauftragte für den Datenschutz – Teil II, 2. Auflage. 2019, Seite 11.
[6] Cay Lennart Cornelius, Interessenkonflikt bei betrieblichen Datenschutzbeauftragten – Vermeidung und Konsequenzen einer selbstkontrollierten Doppelrolle, PinG 06.22, Seite 250 Ziffer 3.
[7] ebd., Seite 250 V. Prüf- und Umsetzungsempfehlung.