Zum Daten­schutz­be­auf­trag­ten kön­nen jedoch nicht Per­so­nen bestellt wer­den, die dane­ben im Unter­neh­men noch sol­che Auf­ga­ben wahr­neh­men, die zu Inter­es­sen­kon­flik­ten mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten füh­ren kön­nen. Das Baye­ri­sche Lan­des­amt für Daten­schutz­auf­sicht (BayL­DA) hat in einem sol­chen Fall eine Geld­bu­ße gegen ein Unter­neh­men aus­ge­spro­chen.

Unter­neh­men und ande­re Stel­len müs­sen einen Daten­schutz­be­auf­trag­ten bestel­len, wenn bei ihnen min­de­stens zehn Per­so­nen mit der auto­ma­ti­sier­ten Ver­ar­bei­tung  per­so­nen­be­zo­ge­ner Daten befasst sind. Zahl­rei­che Unter­neh­men erfül­len die­se  Vor­aus­set­zun­gen. Das Gesetz stellt es Unter­neh­men und ande­ren Stel­len frei, ob die Funk­ti­on des Daten­schutz­be­auf­trag­ten an eine exter­ne Per­son ver­ge­ben wird („exter­ner Daten­schutz­be­auf­trag­ter“) oder aber durch einen Mit­ar­bei­ter („inter­ner Daten­schutz­be­auf­trag­ter“) erfüllt wird. Wird ein Mit­ar­bei­ter zum Daten­schutz­be­auf­trag­ten  bestellt, so darf er jedoch dane­ben  nicht  noch  für sol­che Auf­ga­ben  zustän­dig sein,  die die Gefahr von Inter­es­sen­kon­flik­ten mit sei­ner Funk­ti­on als Daten­schutz­be­auf­trag­ter mit sich brin­gen kön­nen.

Eine sol­che Inter­es­sen­kol­li­si­on lag nach Auf­fas­sung des BayL­DA im Fal­le eines Daten­schutz­be­auf­trag­ten eines baye­ri­schen Unter­neh­mens vor, der die Posi­ti­on des „IT-Mana­gers“ des Unter­neh­mens beklei­de­te. Eine  der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten. Dies lie­fe letzt­lich auf eine Daten­schutz­kon­trol­le eines der maß­geb­li­chen zu kon­trol­lie­ren­den Funk­ti­ons­trä­ger im Unter­neh­men durch sich selbst hin­aus. Eine sol­che Selbst­kon­trol­le wider­spricht der Funk­ti­on eines Daten­schutz­be­auf­trag­ten, der gera­de eine unab­hän­gi­ge Instanz sein soll, die im Unter­neh­men auf die Ein­hal­tung des Daten­schut­zes hin­wirkt. Die­se Auf­ga­be kann der Daten­schutz­be­auf­trag­te nicht erfül­len, wenn er gleich­zei­tig maß­geb­li­che ope­ra­ti­ve Ver­ant­wor­tung für Daten­ver­ar­bei­tungs­pro­zes­se besitzt.

Das BayL­DA hat­te das Unter­neh­men auf die­sen Umstand hin­ge­wie­sen und zur Bestel­lung eines Daten­schutz­be­auf­trag­ten auf­ge­for­dert, der kei­ner der­ar­ti­gen Inter­es­sen­kol­li­si­on unter­liegt. Das Unter­neh­men kün­dig­te zwar wie­der­holt an, im Zuge von Umstruk­tu­rie­run­gen auch die Funk­ti­on des Daten­schutz­be­auf­trag­ten neu zu beklei­den. Es ver­säum­te es jedoch über Mona­te, dem BayL­DA den Nach­weis für die Bestel­lung eines geeig­ne­ten Daten­schutz­be­auf­trag­ten vor­zu­le­gen. Vor  die­sem  Hin­ter­grund hat  das  BayL­DA  gegen  das  Unter­neh­men  eine Geld­bu­ße fest­ge­setzt, die inzwi­schen bestands­kräf­tig ist.

Der betrieb­li­che Daten­schutz­be­auf­trag­te ist ein Erfolgs­mo­dell und  ein  sehr  wich­ti­ges  Ele­ment der  Daten­schutz­or­ga­ni­sa­ti­on in Deutsch­land. Die Funk­ti­on des Daten­schutz­be­auf­trag­ten kann aber nicht durch eine Per­son wahr­ge­nom­men wer­den, die dane­ben im Unter­neh­men noch Auf­ga­ben inne­hat, die in einem Span­nungs­ver­hält­nis mit einer  unab­hän­gi­gen,  effek­ti­ven  inter­nen  Auf­sicht  über  den  Daten­schutz  ste­hen. Unter­neh­men,  die  gesetz­lich  zur Bestel­lung  eines  Daten­schutz­be­auf­trag­ten  ver­pflich­tet  sind, kön­nen daher  nur  eine  sol­che Per­son  zum  Daten­schutz­be­auf­trag­ten  bestel­len,  die  in der  Lage  ist,  die­se  Auf­ga­be  frei  von  sach­frem­den  Zwän­gen  aus­zu­üben.  Und wenn sie das trotz wie­der­hol­ter Auf­for­de­rung nicht machen, müs­sen sie not­falls mit Buß­geld dazu gezwun­gen wer­den.“, betont Tho­mas Kra­nig, der Prä­si­dent des BayL­DA.

Quel­le: https://​www​.lda​.bay​ern​.de/​m​e​d​i​a​/​p​m​2​0​1​6​_​0​8​.​pdf