Wer kann in Firmen die Position des Datenschutzbeauftragten bekleiden?

Muss ein Unternehmen einen betrieblichen Datenschutzbeauftragten bestellen, stellt sich die Frage, welche Person dafür geeignet ist. Anwalt Sebastian Kraska erklärt im Gastbeitrag für ZDNet, wer die Aufgaben wahrnehmen kann und wann mit Schwierigkeiten zu rechnen ist.

Der Datenschutzbeauftragte eines Unternehmens muss nach dem Gesetz dazu befähigt sein, sein Amt sachgerecht auszuüben. Dies erfordert insbesondere, dass er Verfahren und Techniken der automatisierten Datenverarbeitung kennt und daneben Kenntnisse über rechtliche und betriebswirtschaftliche Zusammenhänge besitzt. Der Datenschutzbeauftragte muss zudem insbesondere mit der Organisation des Betriebes und dessen Funktionen vertraut sein. Dies umfasst einen Überblick über sämtliche betriebliche Fachaufgaben, zu deren Erfüllung personenbezogene Daten verarbeitet werden.

Zudem dürfen nur Personen zum Beauftragten für Datenschutz bestellt werden, die die notwendige Zuverlässigkeit zur Ausführung ihres Amtes besitzen. Der Begriff der Zuverlässigkeit umfasst neben einer sorgfältigen und gründlichen Arbeitsweise auch Belastbarkeit, Lernfähigkeit, Loyalität und Gewissenhaftigkeit. Unter den Begriff der Zuverlässigkeit fällt auch die Vereinbarkeit der Aufgabe des Datenschutzbeauftragten mit dessen anderen haupt- und nebenamtlichen Aufgaben.

Sebastian Kraska ist Rechtsanwalt im IITR Institut für IT-Recht und einer der Autoren dieses ZDNet-Gastbeitrags (Bild: IITR).
Sebastian Kraska ist Rechtsanwalt im IITR Institut für IT-Recht und Mitautor dieses ZDNet-Gastbeitrags (Bild: IITR).

Damit der Datenschutzbeauftragte seine Aufgaben gesetzeskonform wahrnehmen kann, muss er in seiner Entscheidung und Bewertung von Sachverhalten unabhängig sein. Dass die Unabhängigkeit gerade im Bereich des Datenschutzes eine große Rolle spielt, wurde bereits im vergangenen Jahr durch den Europäischen Gerichtshof noch einmal bestätigt.

Welche Berufe bergen einen Interessenkonflikt?

In der juristischen Literatur werden einige Berufsgruppen mit einem potenziellen Interessenkonflikt gesehen, der ihre Unabhängigkeit als Datenschutzbeauftragte und damit eine wirksame Tätigkeit in Frage stellt. Dazu gehören Mitglieder der Unternehmensleitung, die auf Grund § 4f Absatz 3 Satz 1 des Bundesdatenschutzgesetztes (BDSG) nicht zum Datenschutzbeauftragten bestellt werden dürfen. Außerdem zählen nach der zumeist vertretenen Ansicht die Inhaber eines Unternehmens, EDV- und Personalverantwortliche sowie IT-Administratoren dazu. Aus den genannten Gründen ist es auch zu vermeiden, engere Verwandte der Unternehmensleitung und ähnliche Personen für das Amt zu bestellen.

Soweit kein Interessenkonflikt besteht, können die Mitarbeiter der Revision, der Rechtsabteilung und der Organisation zum Datenschutzbeauftragten bestellt werden. In der Literatur werden sowohl der Leiter der Innenrevision sowie der Leiter der EDV-Revision grundsätzlich für die Position als geeignet erachtet.

Worauf bei externen Datenschutzbeauftragten zu achten ist

Ein interner Interessenkonflikt lässt sich in der Praxis durch die Bestellung eines externen Datenschutzbeauftragten umgehen. Unternehmensanwälte, die das Unternehmen sowohl in allgemeinen Rechtsangelegenheiten als auch als externer Datenschutzbeauftragter betreuen, unterliegen in der Regel jedoch einem Interessenkonflikt, da sie zugleich die Interessen des Mandanten und – quasi interessenneutral – die Aufgaben als Datenschutzbeauftragter wahrnehmen müssen.

Rechtsanwälten ist es indes berufsrechtlich verboten, widerstreitende Interessen zu vertreten. Das Verbot der Vertretung widerstreitender Interessen gilt nicht nur für eine Person, sondern auch für alle ihr in derselben Berufsausübungs- oder Bürogemeinschaft verbundenen Rechtsanwälte. Liegt eine Vertretung widerstreitender Interessen vor, sind alle Mandate in derselben Rechtssache unverzüglich niederzulegen. Eine derartige Interessenkollision kann zudem die Unzulässigkeit der Bestellung zum Datenschutzbeauftragten und damit die Abberufung durch die Datenschutz-Aufsichtsbehörde zur Folge haben – was zudem Bußgeldrisiken für das Unternehmen birgt.

Fazit

Soll ein interner Datenschutzbeauftragter bestellt werden, ist darauf zu achten, dass dieser seinen gesetzlichen Aufgaben unabhängig und unter Meidung von Interessenkonflikten nachkommen kann. Auch bei Bestellung von externen Datenschutzbeauftragten, die unabhängig ihrer Aufgabe nachkommen müssen, ist darauf zu achten, dass diese keinen Interessenskonflikten unterliegen. Rechtsanwälte, die für die Tätigkeit als externer Datenschutzbeauftragter in der Regel besonders geeignet sind, sollten zur Wahrung ihrer Unabhängigkeit als Datenschutzbeauftragter die Unternehmen daher nicht gleichzeitig zu allgemeinen Rechtsthemen beraten.

AUTOR

Die Autoren

Sebastian Kraska ist Rechtsanwalt und externer Datenschutzbeauftragter, Alma Lena Fritz Rechtsassessorin im IITR Institut für IT-Recht - IITR GmbH. Das Institut berät Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen. Zur Förderung wissenschaftlicher Angelegenheiten wird es von einem wissendschaftlichen Beirat unterstützt.

Themenseiten: Big Data, Compliance, Datenschutz, Gastbeiträge, IT-Business, IT-Jobs, Karriere

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu Wer kann in Firmen die Position des Datenschutzbeauftragten bekleiden?

Kommentar hinzufügen
  • Am 25. April 2018 um 23:00 von C. T.

    Guten Abend,
    heißt eine „Vermeidung“ von Verwandschaft automatisch, dass Verwandte ausgeschlossen sind, oder das es lediglich unpraktisch / unschicklich ist?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *