Datenschutz-Tipp Nr. 14: Welcher Mitarbeiter darf nicht Datenschutzbeauftragter werden?

Datenschutz

Zuverlässigkeit und Interessenkollisionen

Eine häufig in Unternehmen aufkommende Frage ist die, ob ein bestimmter Mitarbeiter bzw. vielmehr ein Mitarbeiter mit einer bestimmten Funktion im Unternehmen zum Datenschutzbeauftragten bestellt werden darf.

Ein Blick ins Gesetz erleichtert die Rechtsfindung allgemein – heißt es. Also schauen wir einmal ins Gesetz. Zum betrieblichen Datenschutzbeauftragten darf nach § 4f Abs. 2 BDSG nur bestellt werden, wer zum Zeitpunkt der Bestellung über die erforderliche Fachkunde und Zuverlässigkeit verfügt.

Die Fachkunde wollen wir in diesem Newsletter einfach einmal außen vor lassen.

Das uns für die Beantwortung der Frage interessierende Kriterium ist nämlich das im Gesetz genannte Merkmal der Zuverlässigkeit. Leider hat der Gesetzgeber nicht näher erläutert, was er sich mit diesem Begriff gedacht hat oder was darunter zu verstehen ist.

Denkbar wäre, dass der Gesetzgeber mit dem Begriff der Zuverlässigkeit die charakterliche Eignung meint. Ein Merkmal der charakterlichen Eignung ist aber nur schwer überprüfbar, sofern die betreffende Person nicht gerade einschlägig wegen der Verletzung von Schweige- oder Geheimnispflichten verurteilt worden ist. Alles darüber hinaus wäre mit dem Bestimmtheitsgebot, den das Bundesverfassungsgericht als Anforderung an Normen anlegt, schwerlich in Einklang zu bringen.

So geht dann die wohl herrschende Meinung davon aus, dass mit dem Begriff der Zuverlässigkeit vor allem das Erfordernis gemeint ist, dass keine Interessenkollisionen in oder bei der Person vorliegen dürfen.

Es soll kein Umstand im Ergebnis entstehen, in dem eine Person sich quasi selbst kontrolliert.

Würde beispielsweise der IT-Leiter gleichzeitig Datenschutzbeauftragter sein, so würde er schwerlich die gesetzliche Aufgabe der internen Kontrolle effektiv durchführen können. Er würde wohl kaum seine eigenen Handlungen, die er in seiner Aufgabe als IT-Leiter initiiert und/oder durchgeführt hat, in seiner Aufgabe als Datenschutzbeauftragter sachlich kritisieren können. Die Interessenkollision liegt in einem solchen Fall auf der Hand.

Gleiches gilt auch für die vertretungsberechtigte Person des Unternehmens, also z.B. den Geschäftsführer einer GmbH. Auch dieser kommt aufgrund der Interessenkollision nicht als Datenschutzbeauftragter in Betracht, da es ihm diesbezüglich an der Zuverlässigkeit mangelt.

Es wird ferner vertreten, dass z.B. die Leitung der Personalabteilung ebenfalls aufgrund einer Interessenkollision nicht als Datenschutzbeauftragter in Betracht kommt. Das ist jedoch umstritten.

Meiner Meinung nach darf stets im konkreten Einzelfall entschieden werden, ob es Interessenkollisionen gibt oder nicht. Neben den klaren Fällen (IT-Leiter, Geschäftsführer u.ä.) kann im Einzelfall geprüft und entschieden werden, ob Interessenkollisionen vorliegen bzw. wie diese ggf. beseitigt werden können. Hier dürfen Sie ein gesundes Augenmaß walten lassen. Es spricht im Übrigen nichts dagegen, einen anderen Mitarbeiter der IT-Abteilung (mit Ausnahme des Leiters) zum Datenschutzbeauftragten zu bestellen. Auch wenn hier theoretisch auch eine In-Sich-Kontrolle vorliegen könnte, ist es im Ergebnis doch häufig sinnvoll, den Datenschutzbeauftragten in einem Bereich anzusiedeln, in dem Kenntnis über die IT-Abläufe bestehen.

Zum Teil wird – insbesondere von einigen Aufsichtsbehörden – vertreten, dass auch der Verwaltungsleiter nicht als Datenschutzbeauftragter in Betracht kommt. Auch hier ist jedoch stets der konkrete Einzelfall zu betrachten. Die generelle Annahme eines Interessenkonflikts ist meines Erachtens nicht geboten.

Einigkeit besteht in der rechtswissenschaftlichen Literatur zumindest darüber, dass bei Mitarbeitern der Revisions-, Compliance- oder Rechtsabteilung regelmäßig kein Interessenkonflikt vorliegt.

Also klären Sie die Frage am besten wirklich im individuellen Einzelfall – notfalls auch durch eine Anfrage bei der für Ihr Unternehmen zuständigen Aufsichtsbehörde.

Auch die Aufsichtsbehörden haben die Gelegenheit nicht ergriffen, das Thema der Interessenkollisionen für die Unternehmenspraxis handhabbarer zu machen. In einem Beschluss des Düsseldorfer Kreises vom 24./25.11.2010 zu Mindestanforderungen an Fachkunde und Unabhängigkeit des Beauftragten für den Datenschutz nach § 4f Abs. 2 und 3 Bundesdatenschutzgesetz (BDSG) (PDF) finden sich leider auch nur sehr allgemeine Ausführungen wie diese:

DSB sind dem Leiter/der Leiterin der verantwortlichen Stelle organisatorisch unmittelbar zu unterstellen (§ 4f Abs. 3 Satz 1 BDSG). Sie müssen in der Lage sein, ihre Verpflichtungen ohne lnteressenkonflikte erfüllen zu können. Dieses ist durch entsprechende Regelungen innerhalb der verantwortlichen Stelle bzw. vertragliche Re- gelungen sicher zu stellen und sowohl innerhalb der verantwortlichen Stelle als auch nach außen hin publik zu machen. Den DSB ist ein unmittelbares Vortragsrecht beim Leiter der Stelle einzuräumen.

Damit können wir in der Praxis nun wirklich nicht viel anfangen. Offenbar waren der Düsseldorfer Kreis da in sich auch nicht so ganz einig…

Bis zum nächsten Tipp…

Letzte Aktualisierung | letzter Aktualisierungscheck: 30.05.2016
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.