Immer wieder kommt es vor, dass wir in Unternehmen auf bestellt Datenschutzbeauftragte treffen, die laut Gesetz diese Tätigkeit gar nicht ausführen dürften. Die Aufsichtsbehörden greifen hier auch durch, wie ein aktueller Fall in Bayern zeigt, bei dem das BayLDA eine Gelbuße aussprechen musste.

DER DSB IM UNTERNEHMEN

Unternehmen genau wie andere Stellen müssen dann einen Datenschutzbeauftragten bestellen, wenn mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Dabei überlässt es das Bundesdatenschutzgesetz dem jeweiligen Unternehmen, ob dies durch einen Datenschutzbeauftragten oder durch einen Mitarbeiter in Form eines internen Datenschutzbeauftragten realisiert wird.

KEINE SELBSTKONTROLLE

Wird nun ein Mitarbeiter als Datenschutzbeauftragter bestellt, so darf er darüberhinaus für keinerlei andere Aufgaben zuständig
sein, die die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen könnten. Es darf keine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst geben. Dies widerspricht der Funktion eines Datenschutzbeauftragten, da dieser eine unabhängige Instanz sein muss, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt. Dies ist so in § 4f BDSG festgelegt.
Thomas Kranig, Präsident des BayLDA, erklärt die Problematik:
„Die Funktion des Datenschutzbeauftragten kann aber nicht durch eine Person wahrgenommen werden, die daneben im Unternehmen noch Aufgaben innehat, die in einem Spannungsverhältnis mit einer unabhängigen, effektiven internen Aufsicht über den Datenschutz stehen. Unternehmen, die gesetzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet sind, können daher nur eine solche Person zum Datenschutzbeauftragten bestellen, die in der Lage ist, diese Aufgabe frei von sachfremden Zwängen auszuüben.“

KONKRETER FALL IN BAYERN

Nach Auffassung des BayLDA lag ein solcher Interessenkonflikt bei einem Unternehmen vor. Hier war der IT-Manager zugleich auch interner Datenschutzbeauftragter im Unternehmen. Das BayLDA hatte laut Pressemitteilung vom 20. Oktober „das Unternehmen auf diesen Umstand hingewiesen und zur Bestellung eines Datenschutzbeauftragten aufgefordert, der keiner derartigen Interessenkollision unterliegt. Das Unternehmen kündigte zwar wiederholt an, im Zuge von Umstrukturierungen auch die Funktion des Datenschutzbeauftragten neu zu bekleiden. Es versäumte es jedoch über Monate, dem BayLDA den Nachweis für die Bestellung eines geeigneten Datenschutzbeauftragten vorzulegen. Vor diesem Hintergrund hat das BayLDA gegen das Unternehmen eine Geldbuße festgesetzt, die inzwischen bestandskräftig ist.“