Interessenkonflikte bei Datenschutzbeauftragten – Hessische Datenschutzbehörde gibt Beispiele

In seinem 50. Tätigkeitsbericht (PDF) zum Datenschutz hat der Hessische Beauftragte für Datenschutz und Informationsfreiheit (HBDI) einige interessante Hinweise rund um das Thema „Interessenkonflikte bei Datenschutzbeauftragten“ (ab S. 140) veröffentlicht.


Grundsätzlich können nach Ansicht des HBDI Datenschutzbeauftragte natürlich auch andere als die mit ihrer Benennung verbundenen Aufgaben wahrnehmen, sofern diese anderen Tätigkeiten nicht zu einem Interessenkonflikt führen, vgl. Art. 39 Abs. 1 DSGVO. Interessenkonflikte bei Datenschutzbeauftragten ergeben sich i.d.R. aus ihrer Stellung innerhalb des Unternehmens bzw. der datenverarbeitenden Stelle. Wichtig: der HBDI geht davon aus, dass es sich bei der Voraussetzung der Unabhängigkeit bzw. des Fehlens von Interessenkonflikten sowohl um eine Benennungsvoraussetzung als auch – nach der Benennung – um eine Organisationspflicht des Verantwortlichen und des Auftragsverarbeiters handelt. Bei Verstoßen können auch Bußgeldern verhängt werden.


Grundsätzliche Vorgaben
Sowohl der für die Verarbeitung Verantwortliche als auch die Mitglieder der Geschäftsführung oder des Vorstands tragen die Verantwortung für die Rechtmäßigkeit der Datenverarbeitung bei dem für die Verarbeitung Verantwortlichen oder dem Auftragsverarbeiter und können sich selbst nicht wirksam datenschutzrechtlich kontrollieren.


Interessenkonflikte lassen sich auch bei externen Datenschutzbeauftragten nicht vermeiden. Der Verantwortliche oder der Auftragsverarbeiter sollen daher mit dem externen Datenschutzbeauftragten vertraglich vereinbaren, dass dieser keine Tätigkeiten ausübt, die zu potenziellen Interessenkonflikten mit den Aufgaben des Datenschutzbeauftragten für den für die Verarbeitung Verantwortlichen oder den Auftragsverarbeiter führen. Um mögliche Interessenkonflikte von vornherein zu vermeiden, können verschiedene Maßnahmen erwogen werden. Eine denkbare Maßnahme ist eine interne Richtlinie, die die konkreten Aufgaben und Kompetenzen des Datenschutzbeauftragten im Unternehmen klar definiert. Auf diese Weise können potenzielle Interessenkonflikte frühzeitig erkannt und nach Möglichkeit vermieden werden.


Benennung von beispielhaften Personengruppen, bei denen ein Interessenkonflikt vorliegen kann
Außerdem wird in dem Tätigkeitsbericht ausgeführt, welche Personen nicht die Funktion des Datenschutzbeauftragten ausüben sollten. Als Beispiele bzw. Fallgruppen für die Unzulässigkeit nennt die hessische Behörde:

Die Führungskräfte eines Unternehmens, insbesondere die Leitung der Personalabteilung, weil sie für Mitarbeiterdaten zuständig ist, die Leitung der IT-Abteilung, weil sie für technische und organisatorische Maßnahmen verantwortlich ist, und die Leitung der Marketing- oder Vertriebsabteilung, weil sie für die Verarbeitung von Kundendaten zuständig ist.

Ebenso ist es nach Ansicht des HBDI unzulässig, einen Datenschutzbeauftragten zu benennen, der ein besonderes wirtschaftliches Interesse am Erfolg des Unternehmens hat, z. B. wenn er Gesellschafter oder ein Familienmitglied der Geschäftsführung ist.

Als markantes Beispiel für das Vorliegen eines Interessenkonflikts führt die hessische Behörde die Position des IT-Sicherheitsbeauftragten an: Um mögliche Missbräuche aufzudecken und möglichst frühzeitig zu verhindern, hat die IT-Sicherheitsabteilung eines Unternehmens regelmäßig ein erhebliches Interesse an der umfassenden Erhebung personenbezogener Daten. Übernimmt der IT-Sicherheitsbeauftragte Umsetzungsaufgaben mit Budgetverantwortung, ist der Interessenkonflikt aus Sicht des HBDI noch offensichtlicher.

Ein Interessenkonflikt sei auch bei Compliance-Beauftragten und Rechtsabteilungsleitern anzunehmen, da diese regelmäßig stark in interne Prozesse einbezogen sind und damit nicht mehr die notwendige Unabhängigkeit bei der Beurteilung einzelner Datenverarbeitungen hätten.
• Interessant ist, dass der HBDI auch die Benennung eines Datenschutzbeauftragten, der gleichzeitig nur Mitglied (!) oder Vorsitzender des Betriebsrats ist, als kritisch beurteilt. Der HBDI verweist hierzu auf die bei dem EuGH anhängigen Fragen des BAG (BAG, Beschl v. 27.04.2021 – 9 AZR 383/19 (A)).

Insgesamt würde ich die Ansicht des HBDI eher als streng einordnen. Die Behörde weist aber auch darauf hin, dass aufgrund der strukturellen Unterschiede des jeweiligen Unternehmens oder der jeweiligen Branche stets eine Einzelfallbetrachtung vorzunehmen ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert