Sowohl die Datenschutz-Grundverordnung (DSGVO) als auch das Bundesdatenschutzgesetz (BDSG) stellen hohe Anforderungen an die Personen, die zum betrieblichen Datenschutzbeauftragten bestellt werden sollen. Diese Anforderungen lassen sich in die Bereiche der Fachkunde und der Zuverlässigkeit unterteilen. Insbesondere der Begriff der Zuverlässigkeit enthält jedoch keine klaren Konturen und Abgrenzungen – und sorgt daher in der Praxis öfter für Verwirrung. Was also bedeutet es, wenn ein Datenschutzbeauftragter zuverlässig sein soll?
Zuverlässigkeit als Anforderung an den Datenschutzbeauftragten
Zuverlässigkeit setzt zunächst einmal die persönliche Integrität des Datenschutzbeauftragten voraus. Diese beurteilt sich nach dem bisherigen Verhalten des Mitarbeiters im Unternehmen sowie seiner allgemeinen Charakterzüge. Die persönliche Integrität ist sehr wichtig, da der Datenschutzbeauftragte innerhalb des Unternehmens eine besonders hohe Vertrauensstellung in Anspruch nimmt. Er erhält von fast allen Abläufen und Vorgängen im Unternehmen Kenntnis und verfügt daher über ein sehr umfangreiches Wissen über das Unternehmen selbst, aber auch über dessen Mitarbeiter.
Der Datenschutzbeauftragte sollte stets eine neutrale Position im Unternehmen einnehmen, so dass sowohl der Betriebsrat und die Mitarbeiter als auch die Geschäftsführung ihn als unabhängige Instanz wahrnehmen und sich seiner Unvoreingenommenheit sicher sein können. Denn der Datenschutzbeauftragte stellt sowohl für Personal als auch für die Geschäftsführung die erste Instanz dar, die bei datenschutzrechtlichen Fragestellungen kontaktiert wird.
Oftmals kommt es zwischen den Parteien jedoch zum Konflikt, insbesondere was den Umgang mit Mitarbeiterdaten betrifft. Um seiner Vertrauensposition gerecht zu werden, ist es daher wichtig, auch in solchen Streitfällen stets neutral zwischen den Konfliktparteien zu stehen und sich keiner der beiden Seiten zugehörig zu fühlen.
Mögliche Interessenskonflikte des Datenschutzbeauftragten
Daneben darf der Datenschutzbeauftragte in keinem Interessenkonflikt stehen. Datenschutzbeauftragte müssen ihre Aufgaben in vollständiger Unabhängigkeit und Weisungsfreiheit ausüben können. Ein Interessenkonflikt könnte dann entstehen, wenn der Datenschutzbeauftragte sich selbst oder seine eignen Aufgaben kontrollieren müsste oder wenn er ein eigenes wirtschaftliches Interesse am Unternehmenserfolg hat.
Dies würde dem Zweck eines Datenschutzbeauftragten zuwiderlaufen, da dieser grundsätzlich eine neutrale Stelle darstellen soll, die den für den Umgang mit personenbezogenen Daten verantwortlichen Personen „auf die Finger schaut“. Daher ist eine Bestellung von Personen aus der Geschäftsführung sowie von verantwortlichen Personen aus dem Bereich Personal, EDV, Vertrieb oder Marketing nicht zulässig. Auch die Bestellung von Personen aus dem Betriebsrat ist grundsätzlich nicht empfehlenswert.
Als Faustregel lässt sich festhalten, dass all diejenigen, die für den Umgang mit personenbezogenen Daten verantwortlich sind, stets der Gefahr eines Interessenskonflikts ausgesetzt sind und daher grundsätzlich nicht in Frage kommen. Auch wenn es sich aus Sicht der Unternehmen anbietet, den IT-Leiter oder den Leiter der Rechtsabteilung zu bestellen, da diese teilweise schon die erforderliche Fachkunde mitbringen, ist hiervon strikt abzuraten. Es mag zwar wesentlich umständlicher sein, einem Unbeteiligten die erforderliche Fachkunde beizubringen, aber aus rechtlicher Sicht ist dies der einzig gangbare Weg, um sich nicht der Gefahr eines Bußgeldes auszusetzen.
Bei der Auswahl eines Datenschutzbeauftragten ist der in Frage kommende Kandidatenkreis also zunächst einmal anhand der Zuverlässigkeit zu sondieren und anschließend ist in einem zweiten Schritt nach dem Merkmal der Fachkunde auszuwählen. Bei vielen Unternehmen stellt sich aufgrund deren Größe jedoch bereits im Rahmen der Zuverlässigkeit das Problem, dass keine geeigneten Kandidaten mehr vorhanden sind.
Fazit: Geeignete Kandidaten sind intern nicht leicht zu finden
Unternehmen sollten schon vor der Benennung eines Datenschutzbeauftragten prüfen, ob es zu Interessenskonflikten kommen kann. Gegebenenfalls empfiehlt es sich, einen externen Datenschutzbeauftragten zu bestellen, sofern das Unternehmen einen Interessenskonflikt bei keinem geeigneten Mitarbeiter sicher ausschließen kann.
Aber auch externe Datenschutzbeauftragte dürfen natürlich keine Interessenskonflikte haben. Demnach kann ein externer IT-Verantwortlicher nicht auch gleichzeitig als Datenschutzbeauftragter bestellt werden.
Dieser aktualisierte Artikel erschien zuerst am 10. Dezember 2014.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!