Das Gesetz stellt hohe Anforderungen an die Personen, die zum Datenschutzbeauftragten bestellt werden sollen. Diese Anforderungen lassen sich in die Komplexe der Fachkunde und der Zuverlässigkeit unterteilen. Insbesondere der Begriff der Zuverlässigkeit enthält jedoch keine klare Konturen und Abgrenzungen, und sorgt daher in der Praxis öfter für Verwirrung. Daher soll dieser im Folgenden genauer dargestellt werden.

Was bedeutet Zuverlässigkeit als Anforderung an den Datenschutzbeauftragten?

Zuverlässigkeit setzt zunächst einmal die persönliche Integrität des Datenschutzbeauftragten voraus. Diese beurteilt sich nach dem bisherigen Verhalten des Mitarbeiters im Unternehmen sowie seiner allgemeinen Charakterzüge. Die persönliche Integrität ist sehr wichtig, da der Datenschutzbeauftragte innerhalb des Unternehmens eine besonders hohe Vertrauensstellung in Anspruch nimmt. Er erhält von fast allen Abläufen und Vorgängen im Unternehmen Kenntnis und verfügt daher über ein sehr umfangreiches Wissen über das Unternehmen selbst, aber auch über dessen Mitarbeiter.

Der Datenschutzbeauftragte sollte stets eine neutrale Position im Unternehmen einnehmen, so dass sowohl der Betriebsrat und die Mitarbeiter, als auch die Geschäftsführung ihn als unabhängige Instanz wahrnehmen und sich dessen Unvoreingenommenheit sicher sein können. Denn der Datenschutzbeauftragte stellt sowohl für Personal als auch für die Geschäftsführung die erste Instanz dar, die bei datenschutzrechtlichen Fragestellungen kontaktiert wird. Oftmals kommt es zwischen den Parteien jedoch zum Konflikt, insbesondere was den Umgang mit Mitarbeiterdaten betrifft. Um seiner Vertrauensposition gerecht zu werden, ist es daher wichtig, auch in solchen Streitfällen stets neutral zwischen den Konfliktparteien zu stehen und sich keiner der beiden Seiten zugehörig zu fühlen.

Interessenskonflikte des Datenschutzbeauftragten

Daneben darf der Datenschutzbeauftragte in keinem Interessenkonflikt stehen. Dies ist insbesondere dann möglich, wenn er die Tätigkeit als Datenschutzbeauftragter parallel zu seiner ursprünglichen Tätigkeit im Unternehmen ausführt. Ein Interessenkonflikt entsteht dann, wenn der Datenschutzbeauftragte einerseits die für das unternehmerische Handelnde verantwortliche Person ist, und andererseits dieselbe Handlung datenschutzrechtlich kontrollieren muss.

Dies würde dem Zweck eines Datenschutzbeauftragten zuwider laufen, da dieser grundsätzlich eine neutrale Stelle darstellen soll, die den für den Umgang mit personenbezogenen Daten verantwortlichen Personen „auf die Finger schauen“ soll. Daher ist eine Bestellung von Personen aus der Geschäftsführung sowie von verantwortlichen Personen aus dem Bereich Personal, EDV, Vertrieb oder Marketing nicht zulässig. Auch die Bestellung von Personen aus dem Betriebsrat ist grundsätzlich nicht empfehlenswert.

Als Faustregel lässt sich festhalten, dass all diejenigen, die für den Umgang mit personenbezogenen Daten verantwortlich sind, stets der Gefahr eines Interessenskonflikts ausgesetzt sind und daher grundsätzlich nicht in Frage kommen. Auch wenn es sich aus Sicht der Unternehmen anbietet, den IT-Leiter oder den Leiter der Rechtsabteilung zu bestellen, da diese teilweise schon die erforderliche Fachkunde mitbringen, ist hiervon strikt abzuraten. Es mag zwar wesentlich umständlicher sein, einem Unbeteiligten die erforderliche Fachkunde beizubringen, aber aus rechtlicher Sicht ist dies der einzig gangbare Weg um sich nicht der Gefahr eines Bußgeldes auszusetzen.

Bei der Auswahl eines Datenschutzbeauftragten ist der in Frage kommende Kandidatenkreis also zunächst einmal anhand der Zuverlässigkeit zu sondieren und anschließend ist in einem zweiten Schritt nach dem Merkmal der Fachkunde auszuwählen. Bei vielen Unternehmen stellt sich aufgrund deren Größe jedoch bereits im Rahmen der Zuverlässigkeit das Problem, dass keine geeigneten Kandidaten mehr vorhanden sind.

In diesen Fällen empfiehlt es sich sehr, auf einen externen Datenschutzbeauftragten zurück zu greifen.