Interessenkonflikt beim Datenschutzbeauftragten

Die Benennung eines externen Datenschutzbeauftragten ist eine potentiell weitreichende Entscheidung. Hier gibt es viel zu klären: Zum einen, ob es eine Verpflichtung zur Benennung eines Datenschutzbeauftragten gibt. Falls ja, stellt sich die Frage, ob ein Verantwortlicher eine interne oder externe Person benennen möchte (unser Beitrag hierzu geht auf diesen Teilaspekt genauer ein). Soll ein interner Datenschutzbeauftragter benannt werden, muss zum anderen entschieden werden, wer diese Stelle einnehmen soll. Dabei darf ein Verantwortlicher eines nicht vergessen: einen möglichen Interessenkonflikt beim Datenschutzbeauftragten.

Benennung eines internen Datenschutzbeauftragten

Wie in „Benennung eines internen oder externen Datenschutzbeauftragten“ erläutert, ist die Auswahl des Datenschutzbeauftragten keine leichte Entscheidung. Es müssen mehrere Dinge wie die Eignung, eventuelles übergreifendes rechtliches Vorwissen, die Lernfähigkeit und auch die Position im Unternehmen betrachtet werden. Auch sollte ein Verantwortlicher sich darüber im Klaren sein, dass der Datenschutzbeauftragte einen besonderen Kündigungsschutz genießt.

Interessenkonflikt

Art. 38 Abs. 6 DSGVO kommt zu einem Punkt, den sich ein Unternehmen bei der Wahl des Datenschutzbeauftragten ebenfalls vor Augen führen sollte: der mögliche Interessenkonflikt. Im Genauen bedeutet dies: Die Interessen eines Mitarbeiters als Datenschutzbeauftragter können mit denen seiner hauptsächlichen Position im Unternehmen kollidieren.

Beispiele für Interessenkonflikte

Im Folgenden gehen wir auf ein paar weitere Fallbeispiele ein, bei denen es zu Interessenkonflikten kommen kann.

Geschäftsführung

Ein sehr anschauliches Beispiel ist die Benennung des Geschäftsführers als Datenschutzbeauftragten. Als Führung des Unternehmens ist es das Ziel, die Firma in einer möglichst wirtschaftlichen Weise zu führen. Vertrieb und Marketing sind dabei ebenfalls wichtige Faktoren. Der Vertrieb im herkömmlichen Stil beinhaltet oft die Kundengewinnung durch Kaltakquise. Diese ist allerdings seit der DSGVO nicht mehr vertretbar.

IT-Abteilungsleitung

Zu solch einem Interessenkonflikt kann es auch kommen, wenn ein IT-Leiter zum Datenschutzbeauftragten benannt wird. Ein IT-Leiter kann dafür zuständig sein, die zu nutzenden Programme festzulegen sowie deren Einstellungen zu bestimmen. Dabei können Situationen entstehen, die aus IT-Sicht vorteilhafter sein könnten, aber mit dem Datenschutz nicht zu vereinen sind. – Hier kann auch Art. 25 DSGVO ins Spiel kommen. –

Personalabteilungsleitung

Aufgrund dessen, dass in der Personalabteilung mit personenbezogenen Daten besonderer Kategorien gearbeitet wird, ist es hier wichtig, die Verarbeitung zu überwachen. Bei einer gleichzeitigen Position als Personalabteilungsleiter ist diese wahrscheinlich aber nicht gewährt. Grund dafür kann sein, dass die Aufgaben als Datenschutzbeauftragter mit denen des Personalabteilungsleiters beispielsweise bei den Entscheidungen zu Zwecke und Mittel kollidieren können.

Marketing-Abteilungsleitung

Bei einem Marketingabteilungsleiter kann insofern ein Zwiespalt zu einer Position als Datenschutzbeauftragter kommen, dass Marketing-Mitarbeiter möglichst viel Daten sammeln möchten, um im Endeffekt das Profit des Unternehmens zu erhöhen. Ein Datenschutzbeauftragter dagegen hinterfragt das Erheben dieser Daten und empfiehlt gegebenenfalls die Einschränkung dieser.

Prokurist

Auch wenn ein Prokurist kein gesetzlicher Vertreter des Unternehmens ist, so hat er doch Befugnisse, die denen eines gesetzlichen Vertreters – also beispielsweise denen eines Geschäftsführers einer GmbH – gleichgesetzt werden können. Somit lässt sich diese Stelle im Unternehmen ebenfalls nicht mit der eines Datenschutzbeauftragten vereinen.

In kleinen und mittelständischen Unternehmen

In kleinen und mittelständischen Unternehmen kann es vorkommen, dass die Hierarchieebenen sehr flach gestaltet sind. Wenn nun ein interner Datenschutzbeauftragter benannt werden soll, kann es zu Interessenkonflikten kommen. Dem Geschäftsführer unterstehen dann direkt die Mitarbeiter auf der Abteilungsebene, von denen eine Person eventuell als Datenschutzbeauftragter in Frage käme, wenn es diese Stellen im Unternehmen überhaupt gibt. Auch hier kann diese Aufgabe mit der eigentlichen Position im Unternehmen kollidieren. Des Weiteren besteht die Möglichkeit, dass das erforderliche Wissen und die Qualifikationen für die Ausübung der Rolle als Datenschutzbeauftragten nach Art. 37 Abs. 5 DSGVO fehlen.

Die Lösung des Problems

Sieht ein Unternehmen sich mit der Möglichkeit eines Interessenkonflikts bei der Benennung eines Datenschutzbeauftragten konfrontiert, ist es kein Grund zur Verzweiflung. Natürlich sollte ein Verantwortlicher solch einen Konflikt nicht ignorieren. Negative Folgen hierfür können schließlich Bußgelder oder Abmahnungen sein. Stattdessen gibt es die Option, eine externe Person als Datenschutzbeauftragten – wie wir, die dpc Data Protection Consulting GmbH, sie stellen können -, zu benennen. Bei uns finden Sie sowohl das Fachwissen zum und die Erfahrung im Datenschutz als auch die juristischen, organisatorischen und technischen Kompetenzen. Somit stellen wir einen Partner dar, der Ihnen kompetent beratend zum Datenschutz zur Seite stehen kann. Rufen Sie uns an, um mehr zu erfahren. Wir erstellen gern ein unverbindliches Angebot für Sie.