Muss ein Unternehmen einen Datenschutzbeauftragten bestellen, wird diese Aufgabe gerne intern vergeben. Doch bei der Wahl des geeigneten Kandidaten, heißt es Augen auf, ansonsten droht ein Interessenkonflikt.
75.000 Euro – so hoch ist das Bußgeld, dass von der belgischen Aufsichtsbehörde gegen eine Bank im Dezember 2021 verhängt wurde. Grund hierfür: Ein potentieller Interessenkonflikt des internen Datenschutzbeauftragten (DSB). Was war geschehen? Der interne DSB der Bank war neben seiner Tätigkeit als Datenschutzbeauftragter noch Leiter von drei Abteilungen: operatives Risikomanagement, Informationsrisikomanagement sowie der Sonderermittlungsstelle. Laut Ansicht der belgischen Behörde hatte er damit Entscheidungsbefugnisse, was die Verarbeitung von personenbezogenen Daten angeht und befand sich demnach im Interessenkonflikt gemäß Artikel 38, Absatz 6 der Datenschutzgrundverordnung (DSGVO).
Wann gibt es einen Interessenkonflikt?
Die Rolle des Datenschutzbeauftragten wird in Artikel 38 und 39 der DSGVO definiert. Demnach soll der DSB – egal, ob intern oder extern – darauf achten, dass die verantwortliche Stelle, also das Unternehmen die DSGVO einhält. Er unterstützt bei der Umsetzung der datenschutzrechtlichen Vorgaben und ist eine neutrale Kontrollinstanz. Bei der Benennung eines Mitarbeitenden, muss also darauf geachtet werden, dass dessen anderen Aufgaben nicht mit denen des DSB kollidieren und damit seine neutrale Stellung gefährden. „Das wird gerne unterschätzt. Gerade bei kleinen und mittleren Unternehmen hat der interne Datenschutzbeauftragte noch andere Aufgaben“, weiß Tobias Müller. „Sobald der Mitarbeiter über die Verarbeitung personenbezogener Daten sowie die Umsetzung technischer und organisatorischer Maßnahmen entscheiden kann, ist ein Interessenkonflikt vorhanden. Schließlich kann sich der Datenschutzbeauftragte ja nicht selbst kontrollieren.“ Zu solchen Tätigkeiten zählen beispielsweise die IT-Abteilungsleitung, die Personalleitung, die Leitung der Marketingabteilung oder die Geschäftsführung.
Auch unabhängig von der Position im Unternehmen, kann es zu Interessenkonflikten kommen, wodurch die neutrale Stellung des Datenschutzbeauftragten beeinträchtigt werden kann. Existiert beispielsweise ein verwandtschaftliches Verhältnis zwischen internem DSB und dem Verantwortlichen, kann der Datenschutzbeauftragte möglicherweise nicht mehr neutral handeln.
Alternative: Externer Datenschutzbeauftragter
Bei der Benennung des Datenschutzbeauftragten ist also Vorsicht geboten. Ist ein Interessenkonflikt unausweichlich, müssen entweder die Rahmenbedingungen geändert werden oder Aufgaben anders verteilt werden. Ist beides nicht möglich, bietet sich eine externe Lösung an. Interessenskonflikte zwischen Datenschutz und den Aufgaben des Mitarbeiters im Unternehmen sind in diesem Fall beinahe ausgeschlossen. Neben der Konfliktvermeidung sprechen noch weitere Punkte für die Bestellung eines externen Datenschutzbeauftragten. So tritt der externe DSB neutral innerhalb des Unternehmens auf und verfügt über zertifiziertes Fachwissen, das er regelmäßig auffrischen muss. Weil die Kosten vertraglich festgelegt sind, kommt es nicht zu Zusatzausgaben für Aus- und Weiterbildung. „Die Gesetzeslage ändert sich stetig, daher gehören regelmäßige Fortbildungen dazu“, erklärt Tobias Müller.
Hinweis: Wir übernehmen keinerlei Haftung für die Inhalte und Aussagen auf externen Seiten. Bei Beanstandungen wenden Sie sich bitte an den Urheber der jeweiligen Seite. Vielen Dank für Ihr Verständnis.