Ein Interessenkonflikt Datenschutzbeauftragter kommt häufiger vor als man vermutet.
Dass Aufsichtsbehörden die Vorgaben der DSGVO auch in Bezug auf einen Interessenkonflikt eines Datenschutzbeauftragten ernst nehmen zeigt ein von der Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängtes Bußgeld: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220920-BlnBDI-PM-Bussgeld-DSB.pdf
Betriebliche Datenschutzbeauftragte nehmen in Unternehmen die Aufgabe der Beratung zu den datenschutzrechtlichen Pflichten. Zudem sollen Sie die Einhaltung der Datenschutzvorschriften kontrollieren.
Genau das dürfen Datenschutzbeauftragte nach Art. 38 Abs. 6 Satz 2 DSGVO aber ausschließlich, wenn sie keinem Interessenkonflikten einer anderen Aufgabe unterliegen.
Die Aufgabe des Datenschutzbeauftragten darf also nicht durch Personen ausgeübt werden, die sich und Ihre Entscheidungen im Anschluss selbst kontrollieren müssten.
Definition von Interessenkonflikt bei Datenschutzbeauftragten
Der Interessenkonflikt entsteht, wenn eine Person wegen ihrer Aufgaben unterschiedliche Interessen vertreten und diese sich entgegenstehen.
Genau das Risiko besteht in leitenden Funktionen, wenn die Personen selbst maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen, und dabei gleichzeitig die Einhaltung der gesetzlichen Vorgaben kontrollieren sollen.
Ursachen für einen Interessenkonflikt bei Datenschutzbeauftragten
Ein Interessenkonflikt entsteht in der Regel immer dann, wenn die Stellung und Aufgaben des Datenschutzbeauftragten nicht richtig festgelegt, oder voneinander abgegrenzt wurden.
Immer dann, wenn jemand nicht mehr nur den Auftrag hat, die Einhaltung des Datenschutzes im Unternehmen zu kontrollieren, sondern auch andere Ziele verfolgt, die mit dem Datenschutz in Konflikt stehen könnten, entstehen zwangsläufig Interessenkonflikte.
Lösungsansätze bei einem Interessenkonflikt
Legen Sie die Aufgaben des Datenschutzbeauftragten am besten anhand der Vorgaben aus der DSGVO fest (Art. 38 und 39 DSGVO) und trennen Sie die Aufgaben.
Achten Sie darauf, dass ihr Datenschutzbeauftragter sich und seine Entscheidungen nicht selbst kontrollieren soll.
Speziell Personen der Leitungsebene, die u.a. die als Prozess- oder Fachverantwortliche die Einhaltung der gesetzlichen Vorgaben als Aufgabe haben, können nur bedingt, und in Ausnahmefällen auch Datenschutzbeauftragte eines Unternehmens sein.
Gleiches gilt für externe Dienstleister. Beauftragen Sie einen externen Dienstleister mit der Umsetzung einer Aufgabe, ist es im Prinzip nur schwer vorstellbar, wenn dieser gleichzeitig auch ihr Datenschutzbeauftragter wäre und sich in dieser Funktion selbst kontrollieren würde.
Fazit: Der Umgang mit einem Interessenkonflikt bei Datenschutzbeauftragten
Eigentlich ist es ganz einfach: vermeiden Sie Interessenkonflikte von Vornherein!
Grenzen Sie dazu die Aufgaben des Datenschutzbeauftragten von anderen ab, und legen Sie die Stellung des Datenschutzbeauftragten konkret fest.
Jemand der seine eigene Arbeit kontrollieren soll, ist nicht frei von einem Interessenkonflikt. Leitende Positionen eignen sich nur sehr selten für eine unabhängige Kontrolle.
Bei externen Dienstleistern als Datenschutzbeauftragte können Sie davon ausgehen, dass diese ihre eigene Arbeit nicht kontrollieren, wenn diese keine anderen Aufgaben in Ihrem Unternehmen wahrnehmen.
Das Phänomen des Interessenkonfliktes von Datenschutzbeauftragten ist häufig auch bei IT-Dienstleistern zu beobachten wenn einerseits administrative Aufgaben in Bezug auf die IT-Systeme und Sicherheitseinstellungen vorgenommen werden um diese im Anschluss zu beurteilen.
Ausgehend von der aktuellen Prüfpraxis der Aufsichtsbehörden und den gesetzlichen Vorgaben der DSGVO kann man von solchen Konstellation nur abraten.
