Der Datenschutzbeauftragte eines Unternehmens muss nach dem Gesetz dazu befähigt sein, sein Amt sachgerecht auszuüben. Dies erfordert insbesondere, dass er Verfahren und Techniken der automatisierten Datenverarbeitung kennt und daneben Kenntnisse über rechtliche und betriebswirtschaftliche Zusammenhänge besitzt. Der Datenschutzbeauftragte muss zudem insbesondere mit der Organisation des Betriebes und dessen Funktionen vertraut sein. Dies umfasst einen Überblick über sämtliche betriebliche Fachaufgaben, zu deren Erfüllung personenbezogene Daten verarbeitet werden.
Zudem dürfen nur Personen zum Beauftragten für Datenschutz bestellt werden, die die notwendige Zuverlässigkeit zur Ausführung ihres Amtes besitzen. Der Begriff der Zuverlässigkeit umfasst neben einer sorgfältigen und gründlichen Arbeitsweise auch Belastbarkeit, Lernfähigkeit, Loyalität und Gewissenhaftigkeit. Unter den Begriff der Zuverlässigkeit fällt auch die Vereinbarkeit der Aufgabe des Datenschutzbeauftragten mit dessen anderen haupt- und nebenamtlichen Aufgaben.
Damit der Datenschutzbeauftragte seine Aufgaben gesetzeskonform wahrnehmen kann, muss er in seiner Entscheidung und Bewertung von Sachverhalten unabhängig sein. Dass die Unabhängigkeit gerade im Bereich des Datenschutzes eine große Rolle spielt, wurde bereits im vergangenen Jahr durch den Europäischen Gerichtshof noch einmal bestätigt.
Welche Berufe bergen einen Interessenkonflikt?
In der juristischen Literatur werden einige Berufsgruppen mit einem potenziellen Interessenkonflikt gesehen, der ihre Unabhängigkeit als Datenschutzbeauftragte und damit eine wirksame Tätigkeit in Frage stellt. Dazu gehören Mitglieder der Unternehmensleitung, die auf Grund § 4f Absatz 3 Satz 1 des Bundesdatenschutzgesetztes (BDSG) nicht zum Datenschutzbeauftragten bestellt werden dürfen. Außerdem zählen nach der zumeist vertretenen Ansicht die Inhaber eines Unternehmens, EDV- und Personalverantwortliche sowie IT-Administratoren dazu. Aus den genannten Gründen ist es auch zu vermeiden, engere Verwandte der Unternehmensleitung und ähnliche Personen für das Amt zu bestellen.
Soweit kein Interessenkonflikt besteht, können die Mitarbeiter der Revision, der Rechtsabteilung und der Organisation zum Datenschutzbeauftragten bestellt werden. In der Literatur werden sowohl der Leiter der Innenrevision sowie der Leiter der EDV-Revision grundsätzlich für die Position als geeignet erachtet.
Worauf bei externen Datenschutzbeauftragten zu achten ist
Ein interner Interessenkonflikt lässt sich in der Praxis durch die Bestellung eines externen Datenschutzbeauftragten umgehen. Unternehmensanwälte, die das Unternehmen sowohl in allgemeinen Rechtsangelegenheiten als auch als externer Datenschutzbeauftragter betreuen, unterliegen in der Regel jedoch einem Interessenkonflikt, da sie zugleich die Interessen des Mandanten und – quasi interessenneutral – die Aufgaben als Datenschutzbeauftragter wahrnehmen müssen.
Rechtsanwälten ist es indes berufsrechtlich verboten, widerstreitende Interessen zu vertreten. Das Verbot der Vertretung widerstreitender Interessen gilt nicht nur für eine Person, sondern auch für alle ihr in derselben Berufsausübungs- oder Bürogemeinschaft verbundenen Rechtsanwälte. Liegt eine Vertretung widerstreitender Interessen vor, sind alle Mandate in derselben Rechtssache unverzüglich niederzulegen. Eine derartige Interessenkollision kann zudem die Unzulässigkeit der Bestellung zum Datenschutzbeauftragten und damit die Abberufung durch die Datenschutz-Aufsichtsbehörde zur Folge haben – was zudem Bußgeldrisiken für das Unternehmen birgt.
Fazit
Soll ein interner Datenschutzbeauftragter bestellt werden, ist darauf zu achten, dass dieser seinen gesetzlichen Aufgaben unabhängig und unter Meidung von Interessenkonflikten nachkommen kann. Auch bei Bestellung von externen Datenschutzbeauftragten, die unabhängig ihrer Aufgabe nachkommen müssen, ist darauf zu achten, dass diese keinen Interessenskonflikten unterliegen. Rechtsanwälte, die für die Tätigkeit als externer Datenschutzbeauftragter in der Regel besonders geeignet sind, sollten zur Wahrung ihrer Unabhängigkeit als Datenschutzbeauftragter die Unternehmen daher nicht gleichzeitig zu allgemeinen Rechtsthemen beraten.
Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter, Alma Lena Fritz Rechtsassessorin im IITR Institut für IT-Recht - IITR GmbH. Das Institut berät Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen. Zur Förderung wissenschaftlicher Angelegenheiten wird es von einem wissendschaftlichen Beirat unterstützt.
Sie decken die Identität des Kopfs der Gruppe auf. Britische Behörden fahnden mit einem Foto…
Er treibt das neue iPad Pro mit OLED-Display an. Apple verspricht eine deutliche Leistungssteigerung gegenüber…
Davon entfällt ein Viertel auf staatliche Einrichtungen und 12 Prozent auf Industrieunternehmen.
Forscher umgehen die Verschlüsselung und erhalten Zugriff auf VPN-Datenverkehr im Klartext. Für ihren Angriff benötigen…
Weitere 40 Prozent der Deutschen erledigen ihre Geldgeschäfte überwiegend online und gehen nur noch selten…
Zwei Schwachstellen in Chrome gehören nun der Vergangenheit an. Von ihnen geht ein hohes Risiko…