Interessenskonflikte des betrieblichen Datenschutzbeauftragten

Wenn Unternehmen einen Datenschutzbeauftragten bestellen müssen, scheint es günstig, einen Mitarbeiter mit dieser Aufgabe zu betrauen. Für die Auswahl eines geeigneten Datenschutzbeauftragten gelten jedoch einige wichtige Regeln. Zu diesen zählt auch, dass der Datenschutzbeauftragte keinen Interessenkonflikten ausgesetzt sein darf. Gerade in kleinen Betrieben kann dies schnell zur Herausforderung werden.

Die Problematik bei betrieblichen Datenschutzbeauftragten

Grundsätzlich muss ein Datenschutzbeauftragter laut Datenschutz-Grundverordnung (DSGVO) über eine entsprechende Qualifikation verfügen. Entsprechend empfiehlt es sich für Unternehmen, gemäß Art. 37 Abs. 5 DSGVO den Datenschutzbeauftragten auf Grundlage seiner beruflichen Qualifikation sowie insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benennen.

Vor allem in kleinen und mittleren Unternehmen wird häufig ein Mitarbeiter als betrieblicher Datenschutzbeauftragter in Teilzeit tätig. Art. 38 Abs. 6 DSGVO nennt diesen Fall explizit. Gleichzeitig schreibt die Regelung vor, dass dies nicht zu einem Interessenskonflikt führen darf.

Positionsbedingte Fälle von Interessenskonflikten

Doch wann besteht nun die Gefahr von Interessenskonflikten bei einem Datenschutzbeauftragten? Grundsätzlich gilt zunächst, dass eine Bestellung nicht erfolgen darf, sobald der Beauftragte sich in irgendeiner Weise selbst überwachen müsste.

In welchen weiteren Fällen ein Interessenskonflikt vorliegen könnte, hängt vom Einzelfall ab. Grundsätzlich gilt, dass der Datenschutzbeauftragte seine Tätigkeit unabhängig ausüben muss. Nicht möglich ist dies zum Beispiel bei Personen mit einer leitenden Position im Unternehmen. Ein Geschäftsführer etwa ist niemals unabhängig. Auch der Leiter einer IT-Abteilung kommt nicht als interner Datenschutzbeauftragter in Frage. Als Faustregel lässt sich festhalten: Da sich Überwachung und Entscheidung grundsätzlich ausschließen, kann der für den entsprechenden Fachbereich verantwortliche Mitarbeiter die datenschutzrechtliche Kontrolle im Unternehmen (etwa bei der Sicherheit der Verarbeitung) nicht gewährleisten. Ebenso wenig unabhängig wäre beispielsweise der Personal- oder Marketingleiter.

Persönliche Interessenskonflikte von Datenschutzbeauftragten

Aber auch unabhängig von der Position im Betrieb kann es Interessenskollisionen geben. Dies ist zum Beispiel dann der Fall, wenn zwischen dem Verantwortlichen und dem Datenschutzbeauftragten ein besonderes Beziehungsverhältnis – etwa eine enge Verwandtschaft – besteht. Aufgrund der emotionalen Nähe kann der Datenschutzbeauftragte dann gegebenenfalls nicht mehr unabhängig agieren.

Leitlinien zum Datenschutzbeauftragten

Die Artikel-29-Datenschutzgruppe hat in einem Working-Paper (WP 243 rev.01, 16/DE, S.19) Leitlinien für die Auswahl des Datenschutzbeauftragten aufgestellt. Danach kann es ratsam sein, im Unternehmen entsprechende Compliance-Regeln in Bezug auf den Datenschutzschutzbeauftragten festzulegen. Konkret sollten diese folgende Punkte enthalten:

  • die Jobpositionen, die mit der Funktion des Datenschutzbeauftragten unvereinbar sind
  • Richtlinien zur Vermeidung von Interessenskonflikten
  • allgemeine Erläuterungen potenzieller Interessenkonflikte
  • die Regel, eine Erklärung des Datenschutzbeauftragen einzuholen, nach der er sich in Bezug auf seine Funktion in keinem Interessenskonflikt befindet
  • interne Sicherheitsvorkehrungen, um sicherzustellen, dass die Stellenbeschreibung des Datenschutzbeauftragen in Bezug auf die Vermeidung von Interessenskonflikten hinreichend genau und präzise formuliert ist

Drohende Sanktionen bei Interessenskonflikten des Datenschutzbeauftragten

Bestellt ein Unternehmen einen betrieblichen Datenschutzbeauftragten trotz bestehender Interessenskonflikte, kann die Aufsichtsbehörde den Beauftragten abberufen und außerdem unter bestimmten Umständen ein Bußgeld verhängen. In einer Pressemitteilung des Bayerischen Landesamts für Datenschutzaufsicht vom 20. Oktober 2016 betonte dessen Präsident:

„Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben. Und wenn sie das trotz wiederholter Aufforderung nicht machen, müssen sie notfalls mit Bußgeld dazu gezwungen werden.“

Der externe Datenschutzbeauftragte als Alternative

Sollte es im Einzelfall nicht möglich sein, Interessenskonflikte zu verhindern oder aufzulösen, besteht auch die Option, einen externen Datenschutzbeauftragten zu bestellen. Dies kann etwa dann erforderlich sein, wenn andere Mitarbeiter im Unternehmen aus diversen Gründen nicht zur Disposition stehen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Datenschutz bei Bewerberdaten

Um eine gewünschte Stelle zu erhalten, stellt ein Bewerber dem potenziellen Arbeitgeber umfangreiche und teils sensible Informationen über sich zur Verfügung. Darum muss er darauf vertrauen können, dass mit seinen personenbezogenen Daten verantwortungsbewusst umgegangen wird. Das neue Datenschutzrecht versucht dies durch strenge Regelungen zum Umgang mit Bewerberdaten sicherzustellen. Grundsätzlich müssen Unternehmen Bewerberdaten im gleichen Maße schützen, wie die Daten von Angestellten. Die Neufassung des Bundesdatenschutzgesetzes (BDSG) trägt diesem Umstand auch weiterhin Rechnung. Demnach fallen Bewerber unter dem Beschäftigtenbegriff des § 26 Abs. 1 BDSG.

Welche Daten dürfen von Bewerbern erhoben werden?

Auch bei der Erhebung von Informationen über einen Bewerber gelten die Prinzipen der Datensparsamkeit und Zweckbindung im Sinne der Datenschutz-Grundverordnung (DSGVO). Es dürfen also nur solche personenbezogenen Daten erhoben, gespeichert und verarbeitet werden, die für den vorgesehenen Zweck tatsächlich erforderlich sind. Dies gilt für das Bewerbungsgespräch ebenso wie für die Eingabefelder in Formularen bei einer Online-Bewerbung.

Dabei dürfen nur personenbezogene Informationen abgefragt werden, die für eine Entscheidung über die Begründung des konkreten Beschäftigungsverhältnisses erforderlich sind. Der Begriff der Erforderlichkeit der DSGVO ist sehr eng gefasst. Er schließt keineswegs alle Informationen ein, die für einen Arbeitgeber interessant wären, sondern nur solche Angaben, ohne die eine sachgerechte Entscheidung über eine mögliche Einstellung des Bewerbers unmöglich wäre.

Werden darüber hinaus Daten erhoben, gilt dies als Verletzung des Persönlichkeitsrechts des Bewerbers – selbst dann, wenn er diese Angaben scheinbar freiwillig macht. Bei einer Bewerbungssituation ist von einem Abhängigkeitsverhältnis auszugehen, in der ein Bewerber gegebenenfalls mehr Informationen über sich preisgibt, als ihm eigentlich recht ist, um die gewünschte Stelle zu bekommen. Darum dürfen entsprechende Fragen gar nicht erst gestellt werden.

Beispiel: Werden über ein Bewerberformular auch Hobbys abgefragt, so ist diese Information in aller Regel für ein Auswahlverfahren nicht notwendig. Selbst wenn dies als freiwillige Angabe erhoben wird, ist der Bewerber hier in einer gewissen Zwangslage, so dass er sich ggf. unter Druck gesetzt fühlt, hier etwas anzugeben, um seine Bewerbungschancen zu steigern.

Dürfen von Dritten Informationen über den Bewerber eingeholt werden?

Wie für jede Verarbeitung von personenbezogenen Daten, bedarf es auch im Bewerbungsverfahren einer Rechtgrundlage. Da in aller Regel die Daten direkt beim Bewerber erhoben werden, wird man sich hier auf § 26 Abs. 1 BDSG – der auch für die vorvertraglichen Maßnahmen zur Begründung eines Arbeitsverhältnisses gilt – stützen können.

Allerdings kann es auch vorkommen, dass ein potentieller Arbeitgeber die Daten nicht direkt vom Bewerber, sondern von einem Dritten bekommt. Auch hier gelten wieder die bestehenden Rechtgrundsätze der Datenverarbeitung, also ob die Verarbeitung für die Entscheidungsfindung im Bewerbungsverfahren (unbedingt) notwendig ist. Ein Nachfragen bei dem ehemaligen Vorgesetzten des Bewerbers oder das „Durchleuchten“ des Bewerbers auf beruflichen Social-Media-Plattformen sind sicherlich nicht für die Entscheidungsfindung notwendig, auch wenn aus Arbeitgebersicht durchaus dienlich. Dies ist durch den § 26 Abs. 1 BDSG sicherlich nicht mehr gedeckt.

Will ein Arbeitgeber solche Informationsquellen nutzen, so darf er dies nur dann, wenn der Bewerber ausdrücklich darin eingewilligt hat. Dabei gelten die gleichen Beschränkungen, wie für das direkte Gespräch mit dem Bewerber: Auch über Dritte dürfen nur die Informationen eingeholt werden, die auch als Frage gegenüber dem Kandidaten selbst zulässig wären.

Wie ist die Sicherheit von Bewerberdaten zu gewährleisten?

Speichert und verarbeitet ein Unternehmen personenbezogene Daten, dann ist es auch für deren Sicherheit verantwortlich. Dies gilt selbstverständlich auch für Bewerberdaten. Es müssen technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO getroffen werden, die sicherstellen, dass die Daten nicht durch Unberechtigte eingesehen, verändert oder gelöscht werden können.

Besondere Kategorien personenbezogener Daten

Bewerbungsunterlagen enthalten eine Vielzahl von personenbezogenen Daten. Darunter können auch sog. besondere Kategorien von personenbezogenen Daten im Sinne von Art. 9 Abs. 1 DSGVO sein, wie z.B. Daten, die auf die rassische oder ethnische Herkunft von Personen schließen lassen. Dies kann durch sowohl durch ein Bewerberbild als auch durch die Angabe des Geburtsortes geschehen. Auch Gesundheitsdaten können ggf. im Rahmen von Bewerbungsunterlagen vorliegen.

Die Erlaubnis zur Verarbeitung ergibt sich hierbei auch durch die Spezialregelung des § 26 Abs. 3 BDSG, wobei der Verarbeiter, sprich der potentielle Arbeitgeber gem. § 26 Abs. 5 BDSG geeignete Maßnahmen ergreifen muss, um die Grundsätze der Verarbeitung von personenbezogenen Daten gem. Art. 5 DSGVO, also Verarbeitung nach Treu und Glauben, Zweckbindung, Datenminimierung, Richtigkeit und Speicherbegrenzung sicherzustellen. Hier gilt es also genau aufzupassen.

Im Rahmen der technisch-organisatorischen Maßnahmen hat der Verarbeiter  beispielsweise sicherzustellen, dass Bewerbungsunterlagen ausschließlich von den verantwortlichen Entscheidern eingesehen, sicher aufbewahrt und nach Ablauf der entsprechenden Fristen gelöscht werden. Es sollte auch sichergestellt werden, dass keine unüberschaubare Anzahl an Kopien durch das Unternehmen kreisen, weil die Bewerbungsunterlagen beispielsweise als E-Mail-Anhang und somit beliebig oft kopierbar und weiterleitbar an mehr Mitarbeiter als absolut notwendig versandt wurden.

Technische Maßnahmen beinhalten unter anderem eine verschlüsselte Datenübermittlung etwa bei Online-Bewerbungen, eine sichere Speicherung und eine ebenso sichere Löschung beziehungsweise Aktenvernichtung, die sicherstellt, dass die Daten nach ihrer Entsorgung nicht wiederherstellbar und somit durch Unbefugte einsehbar sind.

Bewerbung per E-Mail oder Onlineformular

Um die Papierflut bei Bewerbungsunterlagen auf Seiten des Unternehmens zu minimieren und andererseits die Kosten für den Bewerber für die Bewerbungsunterlagen klein zu halten, hat sich in den letzten Jahren der Versand von elektronischen Bewerbungsunterlagen per E-Mail etabliert. Online-Bewerbungen per E-Mail stellen allerding das Unternehmen datenschutzrechtlich immer vor spezielle Herausforderungen. Selbst wenn das Unternehmen eine verschlüsselte E-Mail-Übermittlung (entweder über s/mime oder PGP-Verschlüsselung) anbietet, so ist der Bewerber in den meisten Fällen nicht in der Lage, eine verschlüsselte Mail zu versenden oder zu empfangen. Bewerbungsunterlagen werden also regelmäßig unverschlüsselt per Mail über das Internet versendet.

Auch wenn sich dies insbesondere bei Initiativbewerbungen nicht immer verhindern lässt, sollte das Unternehmen doch auf diese unsichere Übermittlungsmethode hinweisen und Alternativen für den sicheren Versand von Bewerbungsunterlagen anbieten. Ob dies nun der Rückfall auf die papierhafte Bewerbungsmappe ist, sei dahingestellt.

Eine zeitgemäßere Variante ist sicherlich, ein Online-Bewerbertool zur Verfügung zu stellen. Hier kann der Bewerber über eine verschlüsselte Webseite seine Unterlagen hochladen. Gleichzeitig besteht auf diesem Weg die Möglichkeit, den Bewerber – bevor er seine Unterlagen hochgeladen hat – über die Verarbeitung seiner personenbezogenen Daten gem. Art. 13 DSGVO zu informieren. Auch dies ist eine Anforderung, die die verantwortliche Stelle, also das Unternehmen, bei dem sich die betroffene Person bewirbt, zu erfüllen hat.

Was gilt bei der Nutzung von Dienstleistern im Bewerbungsverfahren?

Wenn Sie die Leistungen von externen Unternehmen wie beispielsweise einem strikt weisungsgebundenen Recruiting-Dienstleister in Anspruch nehmen, bleibt Ihr Unternehmen als verantwortliche Stelle für die Sicherheit der Daten verantwortlich. Sie müssen also sicherstellen, dass der Dienstleister datenschutzkonform mit den Bewerberdaten umgeht. Nach Art. 28 DSGVO liegt eine sogenannte Auftragsverarbeitung vor, weil der Dienstleister in Ihrem Auftrag personenbezogene Daten Ihrer Bewerber verarbeitet. In einem solchen Fall ist bereits vor Beginn der Tätigkeit ein Vertrag zur Auftragsverarbeitung zu schließen. Darin wird festgehalten, in welcher Weise der Dienstleister die Sicherheit der verarbeiteten Daten gewährleistet.

Dies ist in aller Regel dann nicht erforderlich, wenn Sie den Recruiter bzw. Headhunter beauftragen, den Auswahlprozess ohne vorgegebene Kriterien, also weisungsfrei in seinem eigenen Namen durchzuführen. In diesem Fall liegt wohl eine sog. Datenweitergabe an Dritte vor.

Der Recruiter seinerseits hat natürlich alle datenschutzrechtlichen Bestimmungen einzuhalten. Für die Weiterleitung der Daten an Sie als Unternehmen ist dann jedoch eine Rechtsgrundlage notwendig. Dies wird im Allgemeinen die die Einwilligung gem. Art. 6 Abs. 1 lit. a) DSGVO des Bewerbers zur Weiterleitung seiner Bewerbung an Sie sein. Durch den Übergang der Bewerberdaten an das Unternehmen wird dieses zum Verantwortlichen und hat somit auch vollumfänglich  die  Sicherheit der Daten und die entsprechenden Betroffenenrechte zu gewährleisten.

Wie lange dürfen Bewerberdaten gespeichert werden?

Als Konsequenz aus der Zweckbindung im Umgang mit personenbezogenen Daten ergibt sich, dass Daten zu löschen sind, sobald der vorgesehene Zweck erfüllt oder entfallen ist. Wenn die ausgeschriebene Stelle besetzt ist, entfällt der Grund für die weitere Speicherung der Bewerbungsdaten.

Es ist jedoch möglich und ratsam, Bewerberdaten von abgelehnten Kandidaten bis zu sechs Monate nach Zusendung der Absage aufzubewahren. Nach § 15 AGG kann ein abgelehnter Bewerber einen Entschädigungsanspruch geltend machen, wenn eine Benachteiligung nach § 7 AGG vorliegt. Um sich gegen einen entsprechenden Vorwurf verteidigen zu können, dürfen Bewerberdaten entsprechend länger aufbewahrt werden. Die Klagefrist beträgt zwei Monate nach Eingang der Ablehnung. Da die Zustellung einer möglichen Klage durch das Gericht ebenfalls einige Zeit in Anspruch nehmen kann, ist eine Aufbewahrungsdauer von bis zu sechs Monaten nach Zusendung der Ablehnung vertretbar.

Dieser aktualisierte Artikel erschien zuerst am 2. Dezember 2012.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.

Namen auf Klingelschildern sind kein Verstoß gegen die DSGVO

Wer als Vermieter den Namen eines Mieters am Klingelschild des Mietobjektes anbringt, verstößt nicht gegen die europäische Datenschutz-Grundverordnung (DSGVO). In der Regel können Vermieter sich beim Anbringen eines namentlich gekennzeichneten Klingelschilds auf ihr berechtigtes Interesse berufen. Nur in Einzelfällen überwiegt das berechtigte Interesse des Mieters an der Anonymisierung seines Namens überwiegen.

Der skurrile Klingelschild-Fall aus Wien

Was auf dem ersten Blick wie ein schlechter Scherz klingt ist, wurde tatsächlich bei einer Wiener Wohnungsbaugesellschaft diskutiert: Diese hatte mit Verweis auf die Regelungen der DSGVO die Absicht geäußert, die Namen der Mieter auf tausenden Klingelschildern zu entfernen und durch Nummern zu ersetzen.

Mittlerweile haben sich auch mehrere Landesdatenschutzbehörden in Deutschland zu diesem Thema geäußert, so dass hier von einer gefestigten Auffassung gesprochen werden kann. Insoweit dürfte die Unsicherheit, insbesondere bei der gewerbsmäßigen Vermietung durch Wohnungsgesellschaften ein Ende haben.

Unstreitig ist sicherlich, dass es sich bei der Anbringung von Namen auf Klingelschildern um eine Verarbeitung von personenbezogenen Daten handelt und deshalb der sachliche Anwendungsbereich der DSGVO eröffnet ist. Wie der gemeinsamen Auffassung der Landesämter zu entnehmen ist, handelt es sich bei der Anbringung von Namensschildern jedoch nicht um eine automatisierte Verarbeitung.

Berechtigtes Interesse von Vermietern

Ohne hierüber überhaupt eine Diskussion zu eröffnen, können sich Vermieter bzw. Wohnungsgesellschaften auf ein berechtigtes Interesse gem. Art. 6 Abs. 1f DSGVO stützen. Der Vermieter hat ein überwiegend berechtigtes Interesse an einer geordneten Darstellung des Mietobjektes nach außen. Dies dient beispielsweise dem allgemeinen Wirtschaftsverkehr, wie ordnungsgemäße Zustelllungen oder der Zuordnung von Klingeln an den richtigen Bewohner zum erleichterten Auffinden durch Besucher.

In Einzelfällen kann aber auch das berechtigte Interesse des Mieters überwiegen. Gründe hierfür wären beispielsweise der Schutz des Mieters vor Gefährdungen wie Stalking oder bei Personen im Rahmen eines Zeugenschutzprogramms. Wie so oft ist dies aber eine Abwägung im Einzelfall, die dazu führen kann, dass bei diesen Personen das berechtigte Interesse an der Anonymisierung des Klingelschildes überwiegt.

In aller Regel wird das Anbringen des Namens aber auch durch vertragliche Regelungen, wie z.B. Mietvertrag oder Hausordnung gegeben sein, so dass auch dadurch eine Rechtsgrundgrundlage für die Verarbeitung vorliegt.

Wichtig in diesem Zusammenhang ist aber die Information des Betroffenen, also des Mieters gem. Art. 13 DSGVO. Dies sollte durch die Wohnungsgesellschaft bzw. den Vermieter im Rahmen der Informationspflicht bei Abschluss des Mietvertrags erfüllt werden.

Fazit: Viel Wind um ein typisches Missverständnis der DSGVO

Zusammenfassend lässt sich sagen, dass Vermieter bis auf die vorgenannten Einzelfälle in aller Regel ein überwiegend berechtigtes Interesse, wenn nicht sogar eine vertragliche Rechtsgrundlage an der Anbringung des Namens auf dem Klingelschild (wie auch dem Briefkasten) des Mietobjekts haben. Die interessante, wenn auch etwas überspannte Diskussion sollte deshalb durch eine mittlerweile gefestigte einheitliche Auffassung zu Ende gebracht worden sein.

In unserem Portal für Datenschutzbeauftragte finden Sie Ratgeber und kostenlose Vorlagen für alle Aufgaben des unternehmerischen Datenschutzes.