Interessenkonflikte beim DSB
Ein Datenschutzbeauftragter (DSB) kann auch noch „andere Aufgaben und Pflichten“ wahrnehmen. Das legt Art. 38 Abs. 6 Satz 1 Datenschutz-Grundverordnung (DSGVO) ausdrücklich so fest.
Freilich ist das nur die eine Seite der Medaille. Die andere Seite lautet: Es muss sichergestellt sein, dass „derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“ So formuliert es Art. 38 Abs. 6 Satz 2 DSGVO.
Interner und externer DSB
Damit ist das Spannungsverhältnis umrissen, das es zu lösen gilt. Es kann sowohl bei internen Datenschutzbeauftragten als auch bei externen DSB auftreten, jedoch typischerweise jeweils in anderer Form:
- Ein interner Datenschutzbeauftragter ist Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters, der verpflichtet ist, einen DSB zu bestellen, oder der ihn freiwillig bestellt (Fall des Art. 37 Abs. 6 Variante 1 DSGVO).
- Ein externer DSB ist kein Beschäftigter, sondern nimmt seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags wahr (Fall des Art. 37 Abs. 6 Variante 2 DSGVO).
Interner DSB
Bei einem internen DSB zeigt sich ein Interessenkonflikt typischerweise, wenn er für seinen Arbeitgeber im Unternehmen neben dem Datenschutz noch andere Aufgaben erfüllt.
Ein Interessenkonflikt kann jedoch auch dadurch entstehen, dass der DSB weitere Aufgaben außerhalb des Unternehmens wahrnimmt.
Dabei kann es sich um Aufgaben des Datenschutzes oder um andere Aufgaben handeln. Dies geschieht dann im Rahmen einer genehmigten oder genehmigungsfreien Nebentätigkeit.
Solche Konstellationen sind keineswegs selten. Sie werden allerdings erstaunlich häufig übersehen.
Externer DSB
Bei einem externen DSB besteht ebenfalls eine Vielfalt möglicher Konfliktkonstellationen. So ist es einerseits denkbar, dass er für einen Auftraggeber nicht nur als DSB tätig ist, sondern in dessen Auftrag zusätzlich weitere Aufgaben erfüllt.
Andererseits kann er zugleich für einen weiteren Auftraggeber als Datenschutzbeauftragter tätig sein. Doch auch Tätigkeiten außerhalb des Datenschutzes, die er für andere Auftraggeber wahrnimmt, können zu Interessenkonflikten führen.
Es stimmt also nicht, dass es bei einem externen DSB keine Probleme geben könne. Das trifft selbst dann nicht zu, wenn er ausschließlich auf dem Gebiet des Datenschutzes tätig ist, aber eben für verschiedene Auftraggeber.
Dokumentation aller Tätigkeiten
Stets ist sorgfältig zu erheben, in welcher Weise ein DSB sonst noch beruflich aktiv ist. Dies bedarf der Dokumentation.
Zwar lässt sich darüber streiten, ob sich die Pflicht hierzu aus Art. 5 Abs. 2 DSGVO („Rechenschaftspflicht“) ableiten lässt. Denn diese Regelung bezieht sich von ihrem Wortlaut her nur auf die Grundsätze nach Art. 5 Abs. 2 DSGVO. Dort wiederum ist die Pflicht zur Bestellung eines Datenschutzbeauftragten nicht ausdrücklich erfasst.
Doch es gilt auf jeden Fall: Es muss ausdrücklich sichergestellt sein, dass keine Interessenkonflikte auftreten (Art. 38 Abs. 6 Satz 2 DSGVO).
Dieser strenge Maßstab lässt sich in der Praxis nicht ohne entsprechende Dokumentation erfüllen.
Gesetzliche Aufgaben und Pflichten
Die Datenschutz-Grundverordnung enthält keine Aussagen dazu, wann bei einem Datenschutzbeauftragten konkret von einem Interessenkonflikt auszugehen ist. Auch in den Erwägungsgründen zur DSGVO findet sich dazu nichts.
Die Regelung des Art. 38 Abs. 6 DSGVO stellt mögliche Interessenkonflikte in einen Bezug zu den Aufgaben und Pflichten, die ein Datenschutzbeauftragter als DSB an sich oder in sonstiger Funktion wahrnimmt.
Maßgeblicher Bezugspunkt dafür, ob ein Interessenkonflikt zu befürchten ist, sind deshalb die gesetzlichen Aufgaben des DSB gemäß Art. 39 DSGVO.
Sie lassen sich grob in drei Aufgabenblöcke unterteilen:
- Unterrichtung und Beratung des Verantwortlichen oder des Auftraggebers, für den der DSB tätig ist (Art. 39 Abs. 1 Buchst. a und c DSGVO)
- Überwachung der Einhaltung datenschutzrechtlicher Vorschriften (Art. 39 Abs. 1 Buchst. b DSGVO)
- Zusammenwirken mit der Aufsichtsbehörde (Art. 39 Buchst. d und e DSGVO).
Was sagen die Aufsichtsbehörden?
In letzter Zeit gab es mehrere ausführliche Äußerungen von Aufsichtsbehörden zu dem Thema „DSB und Interessenkonflikte“:
- Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg, Tätigkeitsbericht 2018, S. 28–30, abrufbar unter https://ogy.de/tb-bw-2019.
- Derselbe, Praxisratgeber Die/der Beauftragte für den Datenschutz, Teil II, S. 8–12, abrufbar unter https://ogy.de/ratgeber-dsb.
- Der Bayerische Landesbeauftragte für den Datenschutz, Aktuelle Kurz-Information 14: Personalratsmitglied als behördlicher Datenschutzbeauftragter? (3 Seiten), abrufbar unter www.datenschutz-bayern.de/datenschutzreform2018/aki14.html
- Derselbe, Aktuelle Kurz-Information 7: Datenschutzbeauftragte kreisangehöriger Gemeinden in Bayern: Inkompatibilitäten, Qualifikation, Zeitbudget, abrufbar unter www.datenschutz-bayern.de/print/datenschutzreform2018/aki07.html
- Eine umfassende Zusammenstellung von Äußerungen der Aufsichtsbehörden zu dem Thema vor Geltung der DSGVO findet sich hier: www.datenschutz-wiki.de/Interessenkonflikte_nebenamtlicher_Datenschutzbeauftragter. Die damals maßgeblichen Regelungen hatten allerdings einen anderen Wortlaut.
Aspekte von Interessenkollisionen
Unter allen drei genannten Aspekten kann die Wahrnehmung anderer Aufgaben und Pflichten Interessenkollisionen nach sich ziehen:
- Unterrichtung und Beratung sind nur dann etwas wert, wenn sie auf einer neutralen Basis erfolgen. Datenschutzfremde Aspekte dürfen keinen Einfluss haben. Dasselbe gilt für Datenschutzinteressen anderer Verantwortlicher oder Auftraggeber.
- Die Überwachung des Datenschutzes darf ebenfalls nicht von anderen Aspekten beeinflusst sein. Es darf kein Anreiz dafür bestehen, „nicht so genau hinzusehen“.
- Beim Zusammenwirken mit der Aufsichtsbehörde kommt der neutralen Darstellung von datenschutzrechtlichen Sachverhalten eine besondere Bedeutung zu.
Einfluss auf Zwecke und Mittel
Allen drei Aspekten ist gemeinsam, dass sie einen neutralen Blick des DSB fordern. Ein solcher neutraler Blick ist nicht zu erwarten, wenn der Datenschutzbeauftragte aufgrund anderer Aufgaben und Pflichten Einfluss darauf hat, welche Zwecke eine Verarbeitung personenbezogener Daten verfolgt und welche Mittel dabei zum Einsatz kommen.
Diese beiden Elemente definieren den Begriff des „Verantwortlichen“ (siehe Art. 4 Nr. 7 DSGVO).
Von jemandem in einer solchen Rolle ist nicht zu erwarten, dass er diese Rolle korrekt wahrnimmt und den Verantwortlichen zugleich als DSB neutral beraten kann.
Ebenso wenig ist zu erwarten, dass er neutral überwachen kann, ob Zwecke und Mittel der Verarbeitung den Vorgaben des Datenschutzrechts genügen.
Oberste Leitungsebene
Das erklärt, warum Personen auf der „Leitungs-, Chef- und Inhaberebene“ (so die Formulierung im Praxisratgeber Baden-Württemberg, Seite 9) nicht als DSB in Betracht kommen.
Ausgeschlossen als DSB sind damit beispielsweise Vorstandsvorsitzende, Geschäftsführer und sonstige Personen, die kraft Gesetzes oder aufgrund interner Festlegung ein Unternehmen, eine Behörde oder einen Verein leiten.
Wer zur Vertretung des Verantwortlichen nach außen befugt/verpflichtet ist, kann nicht gleichzeitig DSB sein.
Prokurist
Dasselbe gilt für Prokuristen. Sie können ähnlich umfassend handeln wie der Inhaber eines Unternehmens selbst: „Die Prokura ermächtigt zu allen Arten von gerichtlichen und außergerichtlichen Geschäften und Rechtshandlungen, die der Betrieb eines Handelsgewerbes mit sich bringt“ (so § 49 Abs. 1 Handelsgesetzbuch).
Zwar ist ein Prokurist – anders als etwa ein Geschäftsführer – kein gesetzlicher Vertreter des Unternehmens. Seine Befugnisse bleiben jedoch kaum hinter denen eines gesetzlichen Vertreters zurück. Die Rolle des Datenschutzbeauftragten lässt sich damit nicht vereinbaren.
Zweite Führungsebene
Bei Personen unterhalb der Leitungsebene besteht dann ein unzulässiger Interessenkonflikt, wenn sie durch ihre Entscheidungen die Zwecke und Mittel der Verarbeitung von Daten maßgeblich beeinflussen.
Dazu genügt es, dass sie einen solchen Einfluss intern im Unternehmen ausüben. Sie müssen also nicht über die Befugnis verfügen, das Unternehmen nach außen zu vertreten.
Im Allgemeinen ist dies bei den folgenden Positionen der Fall:
- Leiter der IT
- Leiter von Betriebsstätten
- Leiter der Marketingabteilung
- Leiter des Personalwesens, des Marketings und des Vertriebs
Leicht vereinfacht lässt sich als Faustregel festhalten: Wer auf der zweiten Führungsebene (Abteilungsleiterebene) tätig ist, kann nicht zugleich DSB sein.
Schwierige Situation für KMU
Die bisher dargestellten Überlegungen engen den Kreis der Beschäftigten, die als DSB in Betracht kommen, stark ein. Übrig bleiben im Wesentlichen Beschäftigte unterhalb der Abteilungsleiterebene.
Dies kann mit der Anforderung kollidieren, dass ein DSB über die berufliche Qualifikation und insbesondere das Fachwissen verfügen muss, das er zur Ausübung seiner Tätigkeit braucht (Art. 37 Abs. 5 DSGVO).
Vor allem bei kleineren Unternehmen gibt es unterhalb der Abteilungsleiterebene teilweise schlicht niemanden, der diesen Anforderungen gewachsen ist.
Die DSGVO nimmt auf diese besondere Situation kleiner und mittlerer Unternehmen im Ergebnis keine Rücksicht.
Zwar fordert Erwägungsgrund 13 Satz 4 die Aufsichtsbehörden dazu auf, bei der Anwendung der DSGVO die besonderen Bedürfnisse von Kleinstunternehmen sowie von kleinen und mittleren Unternehmen zu berücksichtigen.
Diese Überlegung hat jedoch in den Regelungen der DSGVO über den DSB keinen Niederschlag gefunden. Sie berechtigt daher nicht dazu, von diesen Anforderungen abzuweichen.
Geheimschutzbeauftragter/Geldwäschebeauftragter
Wenig Verständnis findet bei Praktikern meist die Haltung der Aufsichtsbehörden, dass ein DSB nicht gleichzeitig Geheimschutzbeauftragter oder Geldwäschebeauftragter sein kann. Die Datenschutzliteratur akzeptiert diese Sichtweise jedoch weitgehend.
Übliches Argument: Die Tätigkeit von Geheimschutzbeauftragten und Geldwäschebeauftragten ziele darauf ab, möglichst viele personenbezogene Daten zu sammeln.
Diese Sichtweise unterstellt eine Datensammelwut, die den gesetzlichen Vorgaben zuwiderläuft. Es wird jedoch kaum gelingen, im Ernstfall gegenüber den Aufsichtsbehörden eine andere Auffassung durchzusetzen.
IT-Sicherheitsbeauftragter
Sofern ein Unternehmen über einen eigenen IT-Sicherheitsbeauftragten verfügt, kann er zugleich als Datenschutzbeauftragter tätig sein.
Allerdings ist eine gewisse Vorsicht geboten. Insbesondere sollte dokumentiert werden, worin genau die Aufgaben des IT-Sicherheitsbeauftragten bestehen.
Sie sind nirgends verbindlich gesetzlich definiert oder vorgegeben. In der Praxis gibt es daher durchaus unterschiedliche Aufgabenprofile.
Betriebs-/Personalratsmitglied
Dass ein Betriebsratsmitglied zugleich DSB sein kann, wird im Allgemeinen akzeptiert.
Dies ist durchaus überraschend, weil auch Betriebsräte ein Interesse daran haben könnten, möglichst viele Daten für ihre Tätigkeit zu sammeln.
Anders als beispielsweise ein Geldwäschebeauftragter ist ein Betriebsratsmitglied jedoch in ein Gremium eingebunden und kann deshalb Entscheidungen nicht allein treffen.
So argumentiert der Bayerische Landesbeauftragte für den Datenschutz für Mitglieder von Personalräten. Sie sind hinsichtlich ihrer Aufgaben Betriebsräten vergleichbar.
Betriebs-/Personalratsvorsitzender
Einigkeit besteht darüber, dass ein Betriebsratsvorsitzender typischerweise nicht zugleich DSB sein kann.
Der Bayerische Landesbeauftragte für den Datenschutz will für Personalratsvorsitzende eine Ausnahme zulassen, wenn eine Stelle nur wenige Bedienstete hat und sich deshalb nicht beide Funktionen mit verschiedenen Personen besetzen lassen.
Diese Sichtweise erscheint zwar sehr praxisnah. Allerdings ist ihr entgegenzuhalten, dass in solchen Konstellationen alternativ ein gemeinsamer Datenschutzbeauftragter für mehrere Stellen benannt werden könnte.
Art 37 Abs. 3 DSGVO sieht dies für Behörden und öffentliche Stellen ausdrücklich vor. Für Unternehmensgruppen bietet Art. 37 Abs. 2 DSGVO eine ähnliche Möglichkeit.
Externer Dienstleister als DSB
Externe Dienstleister einzuschalten, schließt für sich allein nicht aus, dass Interessenkonflikte auftreten. Darauf ist v.a. zu achten, wenn der Dienstleister neben der Funktion als externer Datenschutzbeauftragter weitere Aufgaben im Unternehmen wahrnimmt, etwa als IT-Betreuer.
Dann besteht derselbe Interessenkonflikt, wie wenn ein eigener Beschäftigter beide Funktionen zugleich wahrnimmt.
Daran ändert sich auch dann nichts, wenn der externe Dienstleister beide Aufgaben unterschiedlichen Personen überträgt.
Die v.a. im Finanz- und Bankbereich beliebte Argumentation, intern sei eine unüberwindliche „chinesische Mauer“ zwischen diesen Personen eingerichtet, trägt nicht.
Risiko von Geldbußen
Insgesamt gesehen sollten Verantwortliche die Probleme im Zusammenhang mit möglichen Interessenkonflikten von Datenschutzbeauftragten nicht unterschätzen.
Auch das Bestehen eines Interessenkonflikts kann nämlich nach der Datenschutz-Grundverordnung eine Geldbuße nach sich ziehen (siehe Art. 83 Abs. 4 Buchst. a DSGVO in Verbindung mit Art. 38 Abs. 6 DSGVO).