Muss ein Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen so stellt sich die Frage, welche Person für die Ausführung des Amtes geeignet ist. Unabhängig von der Frage, ob ein interner Datenschutzbeauftragter oder ein externer Datenschutzbeauftragter für das Unternehmen die geeignetere Lösung darstellt, soll in diesem Artikel geklärt werden, welche Beschäftigten im Unternehmen die Aufgaben des Datenschutzbeauftragten wahrnehmen können und wann sich bei einer Beauftragung Schwierigkeiten stellen können.
Welche Fähigkeiten muss der Datenschutzbeauftragte besitzen?
Der Datenschutzbeauftragte muss nach dem Gesetz dazu befähigt sein, sein Amt sachgerecht auszuüben. Dies erfordert insbesondere, dass der Datenschutzbeauftragte Verfahren und Techniken der automatisierten Datenverarbeitung kennen und daneben auch Kenntnisse über rechtliche und betriebswirtschaftliche Zusammenhänge besitzen muss. Der Datenschutzbeauftragte muss insbesondere auch mit der Organisation des Betriebes und dessen Funktionen vertraut sein. Dies umfasst einen Überblick zu sämtlichen betrieblichen Fachaufgaben, zu deren Erfüllung personenbezogene Daten verarbeitet werden.
Zuverlässigkeit des Datenschutzbeauftragten
Zudem dürfen nur diejenigen Personen zum Beauftragten für Datenschutz bestellt werden, die die notwendige Zuverlässigkeit zur Ausführung ihres Amtes besitzen. Der Begriff der Zuverlässigkeit umfasst neben einer sorgfältigen und gründlichen Arbeitsweise auch Belastbarkeit, Lernfähigkeit, Loyalität und Gewissenhaftigkeit. Unter den Begriff der Zuverlässigkeit fällt daneben auch die Vereinbarkeit der Aufgabe des Datenschutzbeauftragten mit dessen anderen hauptamtlichen und nebenamtlichen Aufgaben.
Die Unabhängigkeit des Datenschutzbeauftragten
Damit der Datenschutzbeauftragte seine Aufgaben gesetzeskonform wahrnehmen kann, muss er in seiner Entscheidung und Bewertung von Sachverhalten unabhängig sein. Dass die Unabhängigkeit gerade im Bereich des Datenschutzes eine große Rolle spielt wurde in diesem Jahr bereits durch den Europäischen Gerichtshof bestätigt.
Welche Berufe bergen einen Interessenkonflikt?
In der juristischen Literatur werden einige Berufsgruppen mit einem potentiellen Interessenkonflikt gesehen, der die Unabhängigkeit des Datenschutzbeauftragten und damit eine wirksame Tätigkeit in Frage stellt. Dies sind - neben Mitgliedern der Unternehmensleitung, die auf Grund § 4f Abs. 3 S. 1 BDSG nicht zum Datenschutzbeauftragten bestellt werden dürfen - nach zumeist vertretener Ansicht die Inhaber eines Unternehmens sowie EDV- und Personalverantwortliche und IT- Administratoren.
Aus den genannten Gründen sind auch Bestellungen von engeren Verwandten der Unternehmensleitung und ähnlichen Personen zu vermeiden.
Welche Personen kommen für die Bestellung zum internen Datenschutzbeauftragten in Frage?
Die Mitarbeiter der Revision, der Rechtsabteilung und der Organisation können zum Datenschutzbeauftragten bestellt werden, soweit ein Interessenkonflikt nicht besteht. In der Literatur werden sowohl der Leiter der Innenrevision sowie der EDV-Revision für die Position als grundsätzlich geeignet erachtet.
Vermeidung von Interessenkollisionen durch externen Datenschutzbeauftragten
Ein interner Interessenkonflikt lässt sich in der Praxis durch die Bestellung eines externen Datenschutzbeauftragten vermeiden.
Der Rechtsbeistand als externer Datenschutzbeauftragter
Unternehmensanwälte, die das Unternehmen sowohl in allgemeinen Rechtsangelegenheiten als auch als externer Datenschutzbeauftragter betreuen, unterliegen in der Regel einem Interessenkonflikt, da diese zugleich die Interessen des Mandanten und - quasi interessenneutral - die Aufgaben als Datenschutzbeauftragter wahrnehmen müssen.
Dem Rechtsanwalt ist es gemäß § 43 BRAO i.V.m. § 43a Abs. 4 BRAO, § 3 BORA indes berufsrechtlich verboten, widerstreitende Interessen zu vertreten. Das Verbot der Vertretung widerstreitender Interessen gilt gemäß § 3 Abs. 2 S. 1 BORA auch für alle mit einem Rechtsanwalt in derselben Berufsausübungs- oder Bürogemeinschaft verbundenen Rechtsanwälte. Liegt eine Vertretung widerstreitender Interessen vor sind alle Mandate in derselben Rechtssache unverzüglich niederzulegen. Eine derartige Interessenkollision kann zudem die Unzulässigkeit der Bestellung zum Datenschutzbeauftragten und damit die Abberufung durch die Datenschutz-Aufsichtsbehörde zur Folge haben (mit entsprechenden Bußgeldrisiken für das Unternehmen).
Fazit
Soll ein interner Datenschutzbeauftragter bestellt werden ist darauf zu achten, dass dieser unabhängig und unter Meidung von Interessenkonflikten seinen gesetzlichen Aufgaben nachkommen kann. Auch bei Bestellung von externen Datenschutzbeauftragten, die unabhängig ihrer Aufgabe nachkommen müssen, muss darauf geachtet werden, dass diese keinen Interessenskonflikten unterliegen. Rechtsanwälte, die für die Tätigkeit als externer Datenschutzbeauftragter in der Regel besonders geeignet sind, sollten zur Wahrung ihrer Unabhängigkeit als Datenschutzbeauftragter die Unternehmen daher nicht gleichzeitig zu allgemeinen Rechtsthemen beraten. (oe)
Der Autor Dr. Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter im IITR Institut für IT-Recht - Kraska GmbH. Die Autorin Alma Lena Fritz ist Rechtsassessorin.
Kontakt:
IITR Institut für IT-Recht - Kraska GmbH, Eschenrieder Straße 62c, 82194 Gröbenzell, Tel.: 089 5130392-0, E-Mail: skraska@iitr.de, Internet: www.iitr.de