Stellung des Datenschutzbeauftragten

Die Stellung des Datenschutzbeauftragten ermöglicht direkte Adressierung der Geschäftsleitung

Die Umgehung jeglicher Hierarchiestufen soll es dem Datenschutzbeauftragten ermöglichen, ohne Kompetenz- und Kommunikationsschwierigkeiten betriebliche Datenschutzfragen direkt bei der Leitung der verantwortlichen Stelle zu platzieren. Er kann so notwendige Maßnahmen empfehlen und auf mögliche Datenschutz-Verstöße hinweisen, um Schaden vom Unternehmen oder von der Behörde abzuwenden.

Die Weisungsfreiheit bietet ihm die ausdrücklich geforderte Unabhängigkeit. Das Benachteiligungsverbot sichert die neutrale Ausübung seiner Tätigkeit.

Weisungsfreiheit nach DSGVO bzw. BDSG

Das Datenschutzrecht sieht eine entsprechende Weisungsfreiheit in Art. 38 Abs. 3 Datenschutz-Grundverordnung (DSGVO) für nichtöffentliche Stellen bzw. § 6 Abs. 3 Bundesdatenschutzgesetz (BDSG) für öffentliche Stellen, die in den Anwendungsbereich des BDSG fallen, vor. Die Landesrechte sehen dies entsprechend für weitere öffentliche Stellen vor.

Danach darf der Verantwortliche einem Datenschutzbeauftragten keine Weisungen erteilen, um seine absolute Unabhängigkeit sicherzustellen.

Gleichwohl hat der Datenschutzbeauftragte nur die Rechte und Pflichten, die ihm im Rahmen seiner Aufgabenerfüllung zustehen, das heißt er darf beispielsweise nach Art. 39 DSGVO die Einhaltung der Verordnung prüfen (Überwachungspflichten), er muss den Verantwortlichen beraten und er ist frei im Rahmen der Datenschutzschulung der Mitarbeiter.

Sofern der Datenschutzbeauftragte eine abweichende Meinung bei der Einschätzung von datenschutzrechtlichen Risiken einer Verarbeitung vertritt, steht es dem Unternehmen grundsätzlich frei, gleichwohl die Verarbeitung so durchzuführen, wie es sie für richtig hält.

In diesem Fall kann der Datenschutzbeauftragte allerdings seine Auffassung dokumentieren und gegenüber der Geschäftsführung schriftlich kundtun.

Benachteiligungsverbot und Kündigungsschutz

Zudem legt Art. 38 Abs. 3 DSGVO ein ausdrückliches Benachteiligungsverbot von Datenschutzbeauftragten fest (ergänzt durch § 6 Abs. 3, 4 BDSG und § 38 Abs. 2 BDSG für nichtöffentliche Unternehmen bzw. die jeweiligen Landesrechte): Neben der Abberufung ist es untersagt, den Datenschutzbeauftragten beispielsweise nicht zu befördern oder ihm den Bonus zu verweigern – allerdings nur dann, wenn dies im Zusammenhang mit der Erfüllung seiner Aufgaben steht bzw. auf deren Erfüllung zurückzuführen ist. Offen bleibt, ob und wie ein Datenschutzbeauftragter einen entsprechenden Nachweis in der Praxis führen kann.

Erst kürzlich hat der Europäische Gerichtshof zudem den besonderen Kündigungsschutz für Datenschutzbeauftragte bestätigt.

Datenschutzbeauftragter: Stellung ohne Mittel?

Die DSGVO verpflichtet in Art. 38 Abs. 2 bzw. das BDSG in § 6 Abs. 2 Verantwortliche bzw. Auftragsverarbeiter, ihre Datenschutzbeauftragten angemessen zu unterstützen. Dabei sind dem Datenschutzbeauftragten „insbesondere“ Hilfspersonal sowie Räume, Einrichtungen, Geräte und Mittel zur Verfügung zu stellen.

Wie umfangreich die Ausstattung sein soll, richtet sich nach dem jeweiligen Umfang der Datenverarbeitung bzw. den Risiken für die betroffenen Personen: Je höher die Datenschutz-Risiken, desto mehr Aufwand wird entstehen, den das Unternehmen übernehmen muss.

Arbeitszeit und eine angemessene Ausstattung

Umfasst ist auch eine ausreichende Arbeitszeit. Datenschutzbeauftragte müssen also gegebenenfalls von anderen Tätigkeiten entlastet werden. Darüber hinaus brauchen sie eventuell zusätzliches Personal für Sekretariat und Sachbearbeitung.

Falls erforderlich, ist die Ausstattung der Räume mit abschließbaren Schränken, mit PC-Equipment und Telefonanbindung aufzustocken. Die Anbindung ans Internet und – wenn vorhanden – auch an das Intranet sollte zur Verfügung gestellt werden. Gleiches gilt für Zugriffe auf relevante Systeme, die er regelmäßig zu prüfen hat wie das HR-System.

In jedem Fall ist es notwendig, dass er über ein eigenes Büro verfügt, in dem er betroffene Personen, die sich ja jederzeit in Fragen des Datenschutzes an ihn wenden können, empfangen kann.

Kosten für die Weiterbildung müssen übernommen werden

Mittel zur Verfügung stellen bedeutet in diesem Zusammenhang, Kosten zu übernehmen, z.B. für Datenschutz-Lehrgänge und Seminare, insbesondere zur ständigen Weiterbildung.

Dazu kommt: Bekanntmachung und Datenschutzmanagement

Teil der Ausstattung ist auch die Unterstützung des Datenschutzbeauftragten hinsichtlich seiner Bekanntmachung im Unternehmen. Hier sollte ihm das Unternehmen die Möglichkeit geben, sich selbst etwa durch ein Rundschreiben gegenüber den Mitarbeitenden bekannt zu machen und sich zu präsentieren. Dies kann auch einen eigenen Intranet-Auftritt umfassen.

Zudem sollte die Geschäftsführung ihn bei der Umsetzung datenschutzrechtlicher Compliance unterstützen und ihm etwa durch die Benennung von Datenschutzverantwortlichen entgegenkommen, die ihm in den einzelnen Abteilungen zuarbeiten bzw. ihn durch entsprechende Vorgaben, Richtlinien etc. bei der Akzeptanz des Datenschutzes im Unternehmen unterstützen.

Interessenkonflikte

Die unabhängige Stellung setzt auch voraus, dass Datenschutzbeauftragte keinen Interessenkonflikten ausgesetzt sind. Dazu gehört, dass Datenschutzbeauftragte neben ihrer Tätigkeit als Datenschutzbeauftragte keine weiteren Funktionen haben dürfen, die damit kollidieren.

Zudem sieht die DSGVO ausdrücklich in Art. 38 Abs. 6 vor, dass Datenschutzbeauftragte zwar andere Aufgaben erfüllen dürfen. Doch das darf nicht dazu führen, dass die Aufgaben und Pflichten daraus zu einer Interessenkollision führen. Entsprechendes gilt nach § 7 Abs. 2 BDSG.

Die Stellung von internen Datenschutzbeauftragten

Hauptamtlicher Datenschutzbeauftragter

Bei einem hauptamtlich tätigen Datenschutzbeauftragten, der keine weiteren Funktionen wahrnimmt, sind derartige Interessenkollisionen nicht denkbar. Es gibt keine andere Aufgabe, mit der seine Pflichten kollidieren könnten.

Teilzeit-Datenschutzbeauftragter

Häufig benennen Unternehmen und Behörden Datenschutzbeauftragte allerdings nicht als Vollzeit-Datenschutzbeauftragte, sondern die DSB nehmen daneben noch andere Aufgaben wahr. Hier ist sicherzustellen, dass die erforderliche Unabhängigkeit des Datenschutzbeauftragten gewahrt wird.

Lesen Sie hier, welche arbeitsrechtlichen Folgen es hat, wenn ein Arbeitgeber die Bestellung eines „Teilzeit-DSB“ widerruft. Und: Ist ein solcher Widerruf möglich, obwohl der DSB schon seit 15 Jahren dienstliche Aufgaben wahrnimmt, die zu einer Interessenkollision führen?

Nicht vereinbare Funktionen

Aus dem Merkmal der Zuverlässigkeit eines internen Datenschutzbeauftragten lässt sich ableiten, dass bestimmte Funktionen im Unternehmen mit der Funktion des Datenschutzbeauftragten nicht zu vereinbaren sind.

Das ist naturgemäß die Geschäftsführung eines Unternehmens, da sie als Vertretung der verantwortlichen Stelle die organisatorische Einrichtung ist, an die der Datenschutzbeauftragte berichtet, Art. 38 Abs. 3 DSGVO, § 6 Abs. 3 BDSG.

Daneben sind weitere Stellen ausgenommen. Wird z.B. ein IT-Leiter als Datenschutzbeauftragter tätig, müsste er selbst kontrollieren, ob ein umfassendes Monitoring von Mitarbeitenden, das er in seiner Funktion als IT-Leiter durchführen möchte, tatsächlich datenschutzrechtlich zulässig ist. Hier ist nicht auszuschließen, dass er seine Entscheidungen nicht mehr völlig unabhängig trifft, sondern sich aus seiner Position als IT-Leiter heraus zu einer datenschutzrechtlich bedenklichen Entscheidung verleiten lässt.

Gleiches gilt nach Auffassung der Datenschutz-Aufsichtsbehörden für Leiter der Personalabteilung, Geldwäschebeauftragte, Betriebsleiter, Revision, Rechtsabteilung und den Betriebsrat.

Führungskräfte

Führungskräfte in leitenden Positionen oder gar leitende Angestellte scheiden für die Benennung als Datenschutzbeauftragter aus. Sie müssen die ihnen übertragenen Aufgaben im Interesse der verantwortlichen Stelle wahren.

Mitarbeiter der EDV-Abteilung, der Rechtsabteilung und / oder der Personalabteilung, selbst wenn sie über ausreichende Fachkenntnisse der jeweiligen anderen Bereiche verfügen sollten, sind oftmals in ihrem jeweiligen speziellen Aufgabengebiet zu stark eingebunden und müssen bestimmte Interessen des Verantwortlichen wahren. Sie können daher in der Regel den Anforderungen der Datenschutzvorschriften an die Unabhängigkeit nicht in vollem Umfang genügen.

Betriebsrat

Auf keinen Fall sollte die Position des betrieblichen Datenschutzbeauftragten in Personalunion mit Betriebsratstätigkeit oder gar Betriebsratsvorsitz ausgeübt werden. Betriebsräte sind einseitig verpflichtet, Arbeitnehmerinteressen zu vertreten, und können daher nicht unabhängig agieren.

Andere Beauftragte

Auch die Kombination mit den Aufgaben von anderen Beauftragten, etwa für Gefahrgut, Arbeitsschutz oder Umweltschutz, sollte geprüft werden. Es kommt hier sicher ganz besonders auf die Persönlichkeit des Einzelnen an, ob er in kleinen und mittleren Unternehmen den Datenschutz mit übernehmen kann.

Kein geeigneter interner Kandidat?

Im Einzelfall kann das Problem auftreten, dass auf der Basis der vorstehenden Kriterien kein geeigneter interner Kandidat übrigbleibt. Dann besteht die Möglichkeit, einen externen Datenschutzbeauftragten zu bestellen.

Die Stellung eines externen Datenschutzbeauftragten

Konflikte aus Beratertätigkeit

Interessenkonflikte können allerdings auch bei einem externen Datenschutzbeauftragten auftreten. Dies kann etwa gelten, wenn eine Rechtsanwältin, ein Wirtschaftsprüfer oder eine Unternehmensberaterin bereits umfassend für einen Verantwortlichen tätig ist.

Hier ist sicherzustellen, dass die Beratung klar von der Tätigkeit als DSB abgegrenzt wird. Das lässt sich umsetzen, indem die Person, die als externer Datenschutzbeauftragter benannt wird, nicht mehr beratend tätig ist, sondern – durch entsprechende Chinese Walls abgesichert – diese Aufgaben andere Mitarbeitende des externen Unternehmens  übernehmen.

Auch hier: Interessenkollision vermeiden

Zudem ist sicherzustellen, dass der externe Datenschutzbeauftragte nicht selbst in Interessenkonflikte gerät, weil er beispielsweise sowohl einen Auftraggeber als auch einen Auftragnehmer als externer Datenschutzbeauftragter berät.

Hier wird er jeweils im Einzelfall prüfen müssen, ob ein Interessenkonflikt vorliegt, bzw. bereits bei der Auswahl seiner Mandate mit Sorgfalt prüfen, welche Mandate er überhaupt annehmen kann. Hier empfiehlt sich eine Konzentration auf bestimmte Branchen wie die Krankenhausbranche oder Pharmahersteller.

Silvia C. Bauer