Interessenkonflikte bei Datenschutzbeauftragten, oder: Darf es noch etwas mehr sein? Wenn Datenschutzbeauftragte neben ihrer Funktion noch weitere Aufgaben erfüllen, stellen sich zwei Fragen: (1) Schaffen sie das? (2) Dürfen sie das? Die erste Frage betrifft den Aspekt der erforderlichen Ressourcen. Gemäß Art. 38 Abs. 2 DS-GVO haben Verantwortliche und Auftragsverarbeiter diese Ressourcen, also auch genügend Arbeitszeit, bereitzustellen. Damit wollen wir uns heute nicht weiter befassen – bei Interesse Ihrerseits: Senden Sie uns eine E-Mail! Die zweite Frage prüft mögliche Interessenkonflikte. Mit ihnen soll sich dieser Beitrag beschäftigen, weil es zu den „Interessenkonflikten“ in den letzten Monaten zwar keine grundsätzliche Klärung, aber einige Neuigkeiten gab.
Was sagt das Gesetz zu Interessenkonflikten?
Starten wir – typisch juristisch – beim Gesetz: Art. 38 Abs. 6 DS-GVO klärt in Satz 1 erst einmal, dass „der Datenschutzbeauftragte […] andere Aufgaben und Pflichten wahrnehmen“ kann. Satz 2 verlangt dann von Verantwortlichen / Auftragsverarbeitern, sicherzustellen, „das derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen“. Der „Interessenkonflikt“ wird in der DS-GVO nicht definiert. Auch die Erwägungsgründe und andere Sprachfassungen der DS-GVO helfen (anders als sonst manchmal) nicht weiter.
Bevor wir versuchen, den Interessenkonflikt genauer zu verstehen, schnell noch ein Blick auf die Sanktionen: Wenn Verantwortliche / Auftragsverarbeiter den Interessenkonflikt nicht vermeiden (also zulassen), kann das als Verstoß gegen eine Pflicht aus Art. 38 DSGVO mit Geldbußen bis 10 Millionen Euro oder bis zu zwei Prozent des Jahresweltumsatzes geahndet werden (Art. 83 Abs. 4 lit. a DSGVO). Manchmal wird behauptet, Datenschutzbeauftragte mit Interessenkollision (jedenfalls offensichtlicher Interessenkollision) seien gar nicht wirksam bestellt. Dann könnte die Aufsichtsbehörde auch die Verletzung der Bestellpflicht bestrafen.
Wahrscheinlich sprechen aber die besseren Argumente gegen eine solche Betrachtung: Wenn der Datenschutzbeauftragte mit Interessenkollision nicht wirksam bestellt wäre, müsste man ihn ja gar nicht mehr abberufen. Wie verhält er sich dann bei nachträglicher Übertragung einer kollidierenden Aufgabe? Verliert der Datenschutzbeauftragte unbemerkt und unsichtbar seine Datenschutz-Funktion? Und bei Wegfall der kollidierenden Aufgabe: Kann die Bestellung zum Datenschutzbeauftragten dann wiederaufleben? Sinnvoller ist wohl, davon auszugehen, dass auch Datenschutzbeauftragte mit kollidierenden Aufgaben wirksam bestellt sind und bleiben. Verletzt ist dann „nur“ Art. 38 Abs. 6 Satz 2 DS-GVO.
Der Verantwortliche / Auftragsverarbeiter kann das Problem lösen, indem er entweder die Bestellung zum Datenschutzbeauftragten oder die kollidierende Aufgabe widerruft. Europarechtlich sind beide Wege erlaubt; Art. 38 Abs. 3 Satz 2 DS-GVO verbietet nur die Abberufung des Datenschutzbeauftragten „wegen der Erfüllung seiner Aufgaben“, nicht zum Beispiel wegen neuer Funktionsverteilung oder Umstrukturierung im Unternehmen. Das Bundesdatenschutzgesetz (BDSG) und die meisten Landesdatenschutzgesetze sind strenger: § 6 Abs. 4 Satz 1 BDSG erlaubt die Abberufung des Datenschutzbeauftragten entsprechend § 626 BGB nur aus wichtigem Grund. Ein Aufgabentausch gegen den Willen des Datenschutzbeauftragten ist also grundsätzlich ausgeschlossen.
Was sind Interessenkonflikte?
Für Praktiker zählt natürlich die Meinung der Aufsichtsbehörden. Nachlesen kann man zum Beispiel im Tätigkeitsbericht der Landesdatenschutzbeauftragten Bremen 2022 (Textziff. 5.4, S. 26), dass Rechtsvertreter und Rechtsanwälte jedenfalls dann mit Interessenkollisionen belastet sind, wenn sie zur Verarbeitung personenbezogener Daten beraten und / oder die verantwortliche Stelle gegenüber der Aussichtsbehörde vertreten.
Im Tätigkeitsbericht des Landesdatenschutzbeauftragten Hessen 2021 (Textziff. 11.4, S. 141 ff.) findet sich eine lange Auflistung von Personen, bei denen Interessenkollisionen angeblich immer oder häufig vorliegen: Geschäftsführer und Vorstände (Unternehmens-/Behördenleitungen), Unternehmensinhaber, Gesellschafter und deren Familienangehörige, Vertriebsleiter, Personalleiter und IT-Leiter. Aber auch IT-Beschäftigte, wenn sie Administrationssaufgaben erfüllen; IT-Sicherheitsbeauftragte, wenn sie gleichzeitig umsetzungszuständig sind und Budgetverantwortung tragen; Compliance-Beauftragte sowie Leiter von Rechtsabteilungen.
Personalvertretungen sind durch eine aktuelle Entscheidung des Bundesarbeitsgerichtes (wir berichteten) ins Gerede gekommen und externe Dienstleister, die für den Verantwortlichen Vertriebsaufgaben erfüllen oder IT-Produkte bereitstellen, durch ein Bußgeldverfahren der Berliner Aufsichtsbehörde. Gibt es in diesem bunten Sammelsurium irgendeinen roten Faden, der Orientierung bietet? Ja!
Datenschutzbeauftragte müssen nach Art. 39 DS-GVO bestimmte Aufgaben erfüllen, so unter anderem die Unterrichtung, Beratung und Überwachung der Verantwortlichen / Auftragsverarbeiter sowie die Zusammenarbeit mit der Aufsichtsbehörde. Wenn sich Parallelfunktionen mit den Aufgaben des Datenschutzbeauftragten beißen, dürfen sie dem Datenschutzbeauftragten nicht übertragen werden. Aber: Kleinigkeiten bleiben außen vor, also unbeachtet. Das betrifft solche Interessenkollisionen, die praktisch auf jede Person zutreffen und die man als Datenschutzbeauftragter aushalten muss.
Konkrete Beispiele:
- Die Einhaltung der Betroffenenrechte verursacht Aufwand, z.B. und vor allem die Pflichten zur ungefragten Information. Wenn Datenschutzbeauftragte parallel irgendeine Tätigkeit übertragen bekommen, die mit personenbezogenen Daten verbunden ist, müssen sie unter Umständen Datenschutzinformationen erstellen oder verteilen. Dann könnten sie versucht sein, solche Informationen gesetzwidrig kurz zu halten oder ganz auf sie zu verzichten, um eigenen Aufwand zu sparen. Dies ist ein Interessenkonflikt, der dem Datenschutzbeauftragten sogar bei seiner Tätigkeit begegnet; er steht deshalb entsprechenden anderen Aufgaben nicht entgegen.
- Das Gleiche gilt für das Gebot der Datensparsamkeit: In vielen betrieblichen und behördlichen Tätigkeiten entsteht die Versuchung, Daten auf Vorrat zu erheben und zu speichern. Auch in der Arbeit des Datenschutzbeauftragten selbst kann das geschehen. Dieser abstrakte Umstand begründet keinen Interessenkonflikt.
- Auch das recht häufig zu hörende Argument, bestimmte Arbeitsaufgaben seien mit besonders schneller, billiger, unkomplizierter Datenverarbeitung verbunden und würden deshalb Interessenkollisionen begründen, trifft nicht den Kern des Problems: Schnelle, billige und unkomplizierte Datenverarbeitung ist ja nicht verboten. Auch Datenschutzbeauftragte dürfen sich dergleichen durchaus wünschen. Wenn jemand Daten schnell, billig und unkompliziert verarbeiten möchte, heißt dies nicht gleichzeitig, dass er / sie rechtswidrige Datenverarbeitungen in Kauf nimmt.
- Bei den Themen Beratung und Schulung könnten sich sogar große Effizienz-Vorteile ergeben, wenn die / der Datenschutzbeauftragte gleichzeitig zu den hauptsächlichen Verarbeitern gehört.
- Die Zusammenarbeit mit der Aufsichtsbehörde und Funktion als deren Anlaufstelle (Art. 39 Abs. 1 lit. d) und e) DS-GVO) wird zum Beispiel von der Aufsichtsbehörde Bremen als Argument für die Interessenkollision bei Rechtsvertretern / Rechtsanwälten angeführt. Betriebliche / behördliche Datenschutzbeauftragte sind aber nicht verlängerte Arme der Aufsichtsbehörde, sondern deren Ansprechpersonen. Sie können die verantwortliche Stelle gegenüber der Aufsichtsbehörde nur insoweit vertreten, wie das von der verantwortlichen Stelle erlaubt wird. Das gilt auch für die Herausgabe von Unterlagen (z.B. Datenschutz-Dokumentationen, vgl. Art. 30 Abs. 4 DS-GVO für das Verzeichnis der Verarbeitungstätigkeiten).
Letztlich bleiben zwei gute Gründe übrig, aus denen sich Interessenkollisionen und damit unvereinbare Zusatzaufgaben ergeben:
- Nach nationalem Recht (§ 6 Abs. 5 Satz 2 BDSG und die vergleichbaren Vorschriften der Landesdatenschutzgesetze) sind Datenschutzbeauftragte zum Schutz betroffener Personen verpflichtet, über deren Identität und weitere Faktoren Verschwiegenheit zu wahren. Diese Verschwiegenheitspflicht gilt auch gegenüber der verantwortlichen Stelle und sie ist natürlich dann nicht einzuhalten, wenn der Datenschutzbeauftragte selbst zur Leitung der verantwortlichen Stelle gehört oder zum Beispiel als Unternehmensinhaber sogar selbst die verantwortliche Stelle darstellt. Unter diesem Gesichtspunkt ist eine Interessenkollision immer gegeben, wenn jemand Aufgaben wahrnimmt, bei denen Betroffene nicht auf die Verschwiegenheit des Datenschutzbeauftragten vertrauen können. Das ist eine Einzelfallfrage.
- Für die Überwachung als Aufgabe des Datenschutzbeauftragten gilt: Wer selbst alle oder sehr viele Datenverarbeitungen einer verantwortlichen Stelle auslöst / prägt / vollzieht, ist als Überwachung fehl am Platz. Eine Überwachung der eigenen Tätigkeit ist sinnentleert und wenn dies nennenswerte Bereiche der Datenverarbeitung eines Verantwortlichen betrifft, kann der Datenschutzbeauftragte seine Aufgaben nicht sinnvoll erfüllen. IT-Leitung oder zum Beispiel die Leitung im Projekt „Neue Vertriebsstrukturen“ wird sich also meist nicht mit der Tätigkeit als Datenschutzbeauftragter vertragen. Aber auch das kann im Einzelfall anders sein. Zum Beispiel: Projekt für neue, datenschutzfreundliche Betriebsstrukturen, nachdem ein Unternehmen öffentlich für Datenschutzmängel kritisiert wurde.
Damit bleibt als Zwischenergebnis festzuhalten: Interessenkollisionen des Datenschutzbeauftragten bestehen dann, wenn er den Betroffenen keine Verschwiegenheit garantieren kann und / oder große Teile der Datenverarbeitung einer verantwortlichen Stelle selbst (mit-)prägt.
Überblick
Mit diesem roten Faden lassen sich die von den Aufsichtsbehörden und der Fachliteratur gegebenen Beispiele bewerten: Es zeigt sich, dass nur selten eine Interessenkollision von vornherein feststeht. Dazu gehören zum Beispiel Unternehmens-/Behördenleitung, Alleininhaber und Mehrheitsgesellschafter, (meist) Vertriebs-, Personal- und IT-Leiter, nicht jedoch zwangsläufig Personen mit (auch leitenden) Aufgaben in den Bereichen Compliance, Recht, Revision, IT-Sicherheit und Informationssicherheit.
Bei Personen, die auch ansonsten Kontroll-/Prüfaufgaben wahrnehmen, wird normalerweise keine Interessenkollision anzunehmen sein. Vor allem ergibt sich ein solcher Interessenkonflikt nicht schon daraus, dass diese Personen auch bei ihren sonstigen Prüfaufgaben personenbezogene Daten verwenden. Regelmäßig liegt der Schwerpunkt der Datenverarbeitung in einem Unternehmen / einer Behörde nicht bei den Compliance-Beauftragten, der Innenrevision oder dem IT-Sicherheitsbeauftragten. Die Überwachungsaufgabe des Datenschutzbeauftragten wird also durch diese Zusatzfunktionen nicht eingeschränkt. Oft ergeben sich sogar erhebliche Effizienzgewinne. Allerdings kann im Einzelfall ein Interessenkonflikt auftreten, wenn zum Beispiel Entscheidungsbefugnisse für umfangreiche Datenverarbeitungen übertragen werden.
Bei externen Dienstleistern bestehen Interessenkonflikte dann, wenn der externe Dienstleister einerseits Datenschutzbeauftragter ist und andererseits für das selbe Unternehmen wichtige Datenverarbeitungsaufgaben erfüllt. Im Extremfall: umfassender IT-Support, CRM-Anbieter oder externe Personalverwaltung. Auch die Wahrnehmung der Aufgabe als interne Meldestelle nach Hinweisgeberschutzgesetz und zugleich als Datenschutzbeauftragter kann problematisch sein.
Für Praktiker gilt natürlich wieder als kurzer und dicker roter Faden: Bei Beanstandung einer angeblichen Interessenkollision durch die Aufsichtsbehörde wird nicht diskutiert, sondern Abhilfe geschaffen – entweder durch Bestellung eines neuen Datenschutzbeauftragten oder durch Entlastung des Datenschutzbeauftragten von der problematischen Zusatzaufgabe.
Über den Autor: Prof. Dr. Ralph Wagner ist Vorstand des DID Dresdner Institut für Datenschutz, Vorsitzender des ERFA-Kreis Sachsen der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) sowie Mitglied des Ausschusses für Datenschutzrecht der Bundesrechtsanwaltskammer (BRAK). Als Honorarprofessor an der Technischen Universität Dresden hält er regelmäßig Vorlesungen und Seminare zum Thema Datenschutzrecht. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.