Sie verwenden einen veralteten Browser. Um im Internet auch weiterhin sicher unterwegs zu sein, empfehlen wir ein Update.

Nutzen Sie z.B. eine aktuelle Version von Edge, Chrome oder Firefox

Stellung des Datenschutzbeauftragten

Die Stellung von Datenschutzbeauftragten (DSB) ist geprägt durch Unabhängigkeit. Daher darf ihnen beispielsweise die Geschäftsführung keine Weisungen erteilen. Das umfasst auch die Art und Weise, wie ein Datenschutzbeauftragter Beschwerden bearbeitet oder mit den Aufsichtsbehörden für den Datenschutz kommuniziert.

Datenschutzbeauftragte sind also in ihrer fachlichen Tätigkeit weisungsfrei und dürfen auch bei unpopulären Stellungnahmen und Vorschlägen nicht benachteiligt werden. Denn Datenschutzbeauftragte haben eine gesetzliche Aufgabe – und wenig Macht, ihre Erfüllung durchzusetzen. Um zu überzeugen, müssen sie Fachkenntnisse im Datenschutz und soziale Kompetenz geschickt kombinieren.

➜ Mehr zur Stellung des Datenschutzbeauftragten

Im Gespräch mit Regina Mühlich

Der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD) e.V. hat kürzlich, im April 2021, ein Positionspapier veröffentlicht, in dem er seine Position vertritt, nämlich dass die Tätigkeit der Datenschutzbeauftragten nicht im Konflikt mit dem Rechtsdienstleistungsgesetz steht. Über die genauen Hintergründe haben wir mit Regina Mühlich, Vorstandsmitglied des BvD, in einer Sonderfolge unseres Podcasts gesprochen.

DP+
Was sollten DSB für sich selbst dokumentieren?
Bild: iStock.com / Olga Kurbatova
Keine Dokumentations-Pflicht, aber empfehlenswert

DSB unterrichten, beraten, prüfen, überwachen und kontrollieren. Daneben sind sie Anlaufstelle für die Aufsichtsbehörden. Sinnvoll ist es, all diese Tätigkeiten zu dokumentieren – auch aus Haftungsgründen. Fraglich ist, wie umfangreich diese Dokumentation sein muss.

DP+
Abberufung eines DSB wegen Pflichtverletzungen
Bild: iStock.com / AndreyPopov
Zuverlässigkeit und Fachkunde

Angenommen, der DSB übersieht etwas beim Datenschutz. Kann das eine schuldhafte Pflichtverletzung sein, die seine Abberufung rechtfertigt? Und angenommen, er macht bei seinen Aufgaben außerhalb des Datenschutzes einen Fehler. Kann das zur Abberufung als DSB führen?

Interessenkonflikte beim DSB
Bild: iStock.com / riedjal
Aktueller Diskussionsstand

Wohl die meisten internen Datenschutzbeauftragten erfüllen noch andere Aufgaben. Und externe sind oft für mehrere Unternehmen tätig. Stets stellt sich die Frage, ob Interessenkonflikte auftreten. Die DSGVO zwingt hier dazu, gewohnte Sichtweisen neu zu bewerten.

Ein Dilemma für jeden Datenschutzbeauftragten

Ein DSB sieht sich mit schweren Datenschutzverstößen konfrontiert. Er legt sie der Unternehmensleitung mehrfach dar. Doch es geschieht: nichts. Darf er sich an die Aufsichtsbehörde wenden? Oder muss er es sogar? Die Frage ist strittig. Der Beitrag bezieht klar Position.

Kooperation mit den Fachbereichen

Ohne die Zusammenarbeit mit der IT-Administration wird kaum ein Datenschutzbeauftragter (DSB) auskommen. Doch die Kooperation darf nicht zu eng werden. Vor allem darf es nicht zu einer Doppelfunktion DSB und Administrator kommen, um der Datenschutzkontrolle gerecht zu werden.

Gilt Datenschutzrecht oder Arbeitsrecht?

Welche arbeitsrechtlichen Folgen hat es, wenn ein Arbeitgeber die Bestellung eines „Teilzeit-DSB“ widerruft? Ist ein solcher Widerruf möglich, obwohl der DSB schon seit 15 Jahren dienstliche Aufgaben wahrnimmt, die zu einer Interessenkollision führen?

Im Interview mit Herrn Dr. Brink

Wir blicken ein wenig in die Glaskugel: In dieser Podcast-Folge nehmen wir uns das Thema „Zukunft des DSB“ vor. Als Interviewpartner ist Herr Dr. Stefan Brink, der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg zu Gast.

Öffentlicher und nicht-öffentlicher Bereich

Niemand kann sieben Tage die Woche, 24 Stunden am Tag, ohne Urlaub und Krankheit arbeiten. Wie steht es daher mit einem Stellvertreter für den Datenschutzbeauftragten?

Urteil des Bundesarbeitsgerichts

Eine Behörde ist verpflichtet, einen Datenschutzbeauftragten (DSB) zu bestellen. Als der „eigentliche DSB“ langfristig erkrankt, bestellt sie – ausdrücklich befristet auf sechs Monate – einen „stellvertretenden DSB“. Genießt er denselben Kündigungsschutz wie der „eigentliche DSB“? Das Bundesarbeitsgericht meint: Ja!

3 von 4

Die Stellung des Datenschutzbeauftragten ermöglicht direkte Adressierung der Geschäftsleitung

Die Umgehung jeglicher Hierarchiestufen soll es dem Datenschutzbeauftragten ermöglichen, ohne Kompetenz- und Kommunikationsschwierigkeiten betriebliche Datenschutzfragen direkt bei der Leitung der verantwortlichen Stelle zu platzieren. Er kann so notwendige Maßnahmen empfehlen und auf mögliche Datenschutz-Verstöße hinweisen, um Schaden vom Unternehmen oder von der Behörde abzuwenden.

Die Weisungsfreiheit bietet ihm die ausdrücklich geforderte Unabhängigkeit. Das Benachteiligungsverbot sichert die neutrale Ausübung seiner Tätigkeit.

Weisungsfreiheit nach DSGVO bzw. BDSG

Das Datenschutzrecht sieht eine entsprechende Weisungsfreiheit in Art. 38 Abs. 3 Datenschutz-Grundverordnung (DSGVO) für nichtöffentliche Stellen bzw. § 6 Abs. 3 Bundesdatenschutzgesetz (BDSG) für öffentliche Stellen, die in den Anwendungsbereich des BDSG fallen, vor. Die Landesrechte sehen dies entsprechend für weitere öffentliche Stellen vor.

Danach darf der Verantwortliche einem Datenschutzbeauftragten keine Weisungen erteilen, um seine absolute Unabhängigkeit sicherzustellen.

Gleichwohl hat der Datenschutzbeauftragte nur die Rechte und Pflichten, die ihm im Rahmen seiner Aufgabenerfüllung zustehen, das heißt er darf beispielsweise nach Art. 39 DSGVO die Einhaltung der Verordnung prüfen (Überwachungspflichten), er muss den Verantwortlichen beraten und er ist frei im Rahmen der Datenschutzschulung der Mitarbeiter.

Sofern der Datenschutzbeauftragte eine abweichende Meinung bei der Einschätzung von datenschutzrechtlichen Risiken einer Verarbeitung vertritt, steht es dem Unternehmen grundsätzlich frei, gleichwohl die Verarbeitung so durchzuführen, wie es sie für richtig hält.

In diesem Fall kann der Datenschutzbeauftragte allerdings seine Auffassung dokumentieren und gegenüber der Geschäftsführung schriftlich kundtun.

Benachteiligungsverbot und Kündigungsschutz

Zudem legt Art. 38 Abs. 3 DSGVO ein ausdrückliches Benachteiligungsverbot von Datenschutzbeauftragten fest (ergänzt durch § 6 Abs. 3, 4 BDSG und § 38 Abs. 2 BDSG für nichtöffentliche Unternehmen bzw. die jeweiligen Landesrechte): Neben der Abberufung ist es untersagt, den Datenschutzbeauftragten beispielsweise nicht zu befördern oder ihm den Bonus zu verweigern – allerdings nur dann, wenn dies im Zusammenhang mit der Erfüllung seiner Aufgaben steht bzw. auf deren Erfüllung zurückzuführen ist. Offen bleibt, ob und wie ein Datenschutzbeauftragter einen entsprechenden Nachweis in der Praxis führen kann.

Erst kürzlich hat der Europäische Gerichtshof zudem den besonderen Kündigungsschutz für Datenschutzbeauftragte bestätigt.

Datenschutzbeauftragter: Stellung ohne Mittel?

Die DSGVO verpflichtet in Art. 38 Abs. 2 bzw. das BDSG in § 6 Abs. 2 Verantwortliche bzw. Auftragsverarbeiter, ihre Datenschutzbeauftragten angemessen zu unterstützen. Dabei sind dem Datenschutzbeauftragten „insbesondere“ Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen.

Wie umfangreich die Ausstattung sein soll, richtet sich nach dem jeweiligen Umfang der Datenverarbeitung bzw. den Risiken für die betroffenen Personen: Je höher die Datenschutz-Risiken, desto mehr Aufwand wird entstehen, den das Unternehmen übernehmen muss.

Arbeitszeit und eine angemessene Ausstattung

Umfasst ist auch eine ausreichende Arbeitszeit. Datenschutzbeauftragte müssen also gegebenenfalls von anderen Tätigkeiten entlastet werden. Darüber hinaus brauchen sie eventuell zusätzliches Personal für Sekretariat und Sachbearbeitung.

Falls erforderlich, ist die Ausstattung der Räume mit abschließbaren Schränken, mit PC-Equipment und Telefonanbindung aufzustocken. Die Anbindung ans Internet und – wenn vorhanden – auch an das Intranet sollte zur Verfügung gestellt werden. Gleiches gilt für Zugriffe auf relevante Systeme, die er regelmäßig zu prüfen hat wie das HR-System.

In jedem Fall ist es notwendig, dass er über ein eigenes Büro verfügt, in dem er betroffene Personen, die sich ja jederzeit in Fragen des Datenschutzes an ihn wenden können, empfangen kann.

Kosten für die Weiterbildung müssen übernommen werden

Mittel zur Verfügung stellen bedeutet in diesem Zusammenhang, Kosten zu übernehmen, z.B. für Datenschutz-Lehrgänge und Seminare, insbesondere zur ständigen Weiterbildung.

Dazu kommt: Bekanntmachung und Datenschutzmanagement

Teil der Ausstattung ist auch die Unterstützung des Datenschutzbeauftragten hinsichtlich seiner Bekanntmachung im Unternehmen. Hier sollte ihm das Unternehmen die Möglichkeit geben, sich selbst etwa durch ein Rundschreiben gegenüber den Mitarbeitenden bekannt zu machen und sich zu präsentieren. Dies kann auch einen eigenen Intranet-Auftritt umfassen.

Zudem sollte die Geschäftsführung ihn bei der Umsetzung datenschutzrechtlicher Compliance unterstützen und ihm etwa durch die Benennung von Datenschutzverantwortlichen entgegenkommen, die ihm in den einzelnen Abteilungen zuarbeiten bzw. ihn durch entsprechende Vorgaben, Richtlinien etc. bei der Akzeptanz des Datenschutzes im Unternehmen unterstützen.

Interessenkonflikte

Die unabhängige Stellung setzt auch voraus, dass Datenschutzbeauftragte keinen Interessenkonflikten ausgesetzt sind. Dazu gehört, dass Datenschutzbeauftragte neben ihrer Tätigkeit als Datenschutzbeauftragte keine weiteren Funktionen haben dürfen, die damit kollidieren.

Zudem sieht die DSGVO ausdrücklich in Art. 38 Abs. 6 vor, dass Datenschutzbeauftragte zwar andere Aufgaben erfüllen dürfen. Doch das darf nicht dazu führen, dass die Aufgaben und Pflichten daraus zu einer Interessenkollision führen. Entsprechendes gilt nach § 7 Abs. 2 BDSG.

Die Stellung von internen Datenschutzbeauftragten

Hauptamtlicher Datenschutzbeauftragter

Bei einem hauptamtlich tätigen Datenschutzbeauftragten, der keine weiteren Funktionen wahrnimmt, sind derartige Interessenkollisionen nicht denkbar. Es gibt keine andere Aufgabe, mit der seine Pflichten kollidieren könnten.

Teilzeit-Datenschutzbeauftragter

Häufig benennen Unternehmen und Behörden Datenschutzbeauftragte allerdings nicht als Vollzeit-Datenschutzbeauftragte, sondern die DSB nehmen daneben noch andere Aufgaben wahr. Hier ist sicherzustellen, dass die erforderliche Unabhängigkeit des Datenschutzbeauftragten gewahrt wird.

Lesen Sie hier, welche arbeitsrechtlichen Folgen es hat, wenn ein Arbeitgeber die Bestellung eines „Teilzeit-DSB“ widerruft. Und: Ist ein solcher Widerruf möglich, obwohl der DSB schon seit 15 Jahren dienstliche Aufgaben wahrnimmt, die zu einer Interessenkollision führen?

Nicht vereinbare Funktionen

Aus dem Merkmal der Zuverlässigkeit eines internen Datenschutzbeauftragten lässt sich ableiten, dass bestimmte Funktionen im Unternehmen mit der Funktion des Datenschutzbeauftragten nicht zu vereinbaren sind.

Das ist naturgemäß die Geschäftsführung eines Unternehmens, da sie als Vertretung der verantwortlichen Stelle die organisatorische Einrichtung ist, an die der Datenschutzbeauftragte berichtet, Art. 38 Abs. 3 DSGVO, § 6 Abs. 3 BDSG.

Daneben sind weitere Stellen ausgenommen. Wird z.B. ein IT-Leiter als Datenschutzbeauftragter tätig, müsste er selbst kontrollieren, ob ein umfassendes Monitoring von Mitarbeitenden, das er in seiner Funktion als IT-Leiter durchführen möchte, tatsächlich datenschutzrechtlich zulässig ist. Hier ist nicht auszuschließen, dass er seine Entscheidungen nicht mehr völlig unabhängig trifft, sondern sich aus seiner Position als IT-Leiter heraus zu einer datenschutzrechtlich bedenklichen Entscheidung verleiten lässt.

Gleiches gilt nach Auffassung der Datenschutz-Aufsichtsbehörden für Leiter der Personalabteilung, Geldwäschebeauftragte, Betriebsleiter, Revision, Rechtsabteilung und den Betriebsrat.

Führungskräfte

Führungskräfte in leitenden Positionen oder gar leitende Angestellte scheiden für die Benennung als Datenschutzbeauftragter aus. Sie müssen die ihnen übertragenen Aufgaben im Interesse der verantwortlichen Stelle wahren.

Mitarbeiter der EDV-Abteilung, der Rechtsabteilung und / oder der Personalabteilung, selbst wenn sie über ausreichende Fachkenntnisse der jeweiligen anderen Bereiche verfügen sollten, sind oftmals in ihrem jeweiligen speziellen Aufgabengebiet zu stark eingebunden und müssen bestimmte Interessen des Verantwortlichen wahren. Sie können daher in der Regel den Anforderungen der Datenschutzvorschriften an die Unabhängigkeit nicht in vollem Umfang genügen.

Betriebsrat

Auf keinen Fall sollte die Position des betrieblichen Datenschutzbeauftragten in Personalunion mit Betriebsratstätigkeit oder gar Betriebsratsvorsitz ausgeübt werden. Betriebsräte sind einseitig verpflichtet, Arbeitnehmerinteressen zu vertreten, und können daher nicht unabhängig agieren.

Andere Beauftragte

Auch die Kombination mit den Aufgaben von anderen Beauftragten, etwa für Gefahrgut, Arbeitsschutz oder Umweltschutz, sollte geprüft werden. Es kommt hier sicher ganz besonders auf die Persönlichkeit des Einzelnen an, ob er in kleinen und mittleren Unternehmen den Datenschutz mit übernehmen kann.

Kein geeigneter interner Kandidat?

Im Einzelfall kann das Problem auftreten, dass auf der Basis der vorstehenden Kriterien kein geeigneter interner Kandidat übrigbleibt. Dann besteht die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen.

Die Stellung eines externen Datenschutzbeauftragten

Konflikte aus Beratertätigkeit

Interessenkonflikte können allerdings auch bei einem externen Datenschutzbeauftragten auftreten. Dies kann etwa gelten, wenn eine Rechtsanwältin, ein Wirtschaftsprüfer oder eine Unternehmensberaterin bereits umfassend für einen Verantwortlichen tätig ist.

Hier ist sicherzustellen, dass die Beratung klar von der Tätigkeit als DSB abgegrenzt wird. Das lässt sich umsetzen, indem die Person, die als externer Datenschutzbeauftragter benannt wird, nicht mehr beratend tätig ist, sondern – durch entsprechende Chinese Walls abgesichert – diese Aufgaben andere Mitarbeitende des externen Unternehmens  übernehmen.

Auch hier: Interessenkollision vermeiden

Zudem ist sicherzustellen, dass der externe Datenschutzbeauftragte nicht selbst in Interessenkonflikte gerät, weil er beispielsweise sowohl einen Auftraggeber als auch einen Auftragnehmer als externer Datenschutzbeauftragter berät.

Hier wird er jeweils im Einzelfall prüfen müssen, ob ein Interessenkonflikt vorliegt, bzw. bereits bei der Auswahl seiner Mandate mit Sorgfalt prüfen, welche Mandate er überhaupt annehmen kann. Hier empfiehlt sich eine Konzentration auf bestimmte Branchen wie die Krankenhausbranche oder Pharmahersteller.

Silvia C. Bauer

Datenschutz PRAXIS - Der Podcast
Vielen Dank! Ihr Kommentar muss noch redaktionell geprüft werden, bevor wir ihn veröffentlichen können.