Gemäß Art. 38 Abs. 6 DS-GVO ist es gestattet, dass der Datenschutzbeauftragte grundsätzlich weitere Aufgaben und Pflichten wahrnehmen kann. Eine Grenze dieser Möglichkeit ist jedoch spätestens dann erreicht, wenn solche Aufgaben und Pflichten zu einem Interessenskonflikt des Datenschutzbeauftragten führen. Aus einem Beschluss der italienischen Datenschutz-Aufsichtsbehörde Garante per la Protezione dei Dati Personali aus April 2025 geht nun hervor, dass ein solcher Interessenskonflikt des Datenschutzbeauftragten beispielsweise dann besteht, wenn dieser datenschutzrechtliche Dokumente nicht nur prüft, sondern auch selbst erstellt.
Aufgaben des Datenschutzbeauftragten und des Verantwortlichen
Unter Berücksichtigung des Art. 39 Abs. 1 DS-GVO obliegen dem Datenschutzbeauftragten insbesondere die Unterrichtung und Beratung hinsichtlich datenschutzrechtlicher Pflichten, die Überwachung der Einhaltung datenschutzrechtlicher Anforderungen sowie die Tätigkeit als Kommunikationsschnittstelle mit der jeweiligen Datenschutz-Aufsichtsbehörde. Dem Datenschutzbeauftragten kommt demnach ausschließlich eine unterstützende Aufgabe zu.
Die operative Umsetzung des Datenschutzes ist entsprechend Aufgabe des jeweiligen Verantwortlichen. Dies wird beispielsweise aus den einschlägigen Normen zur Umsetzung eines Datenschutzmanagements (Art. 24 Abs. 1 DS-GVO: „Der Verantwortliche setzt […] um […].“), zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten (Art. 30 Abs. 1 DS-GVO: „Jeder Verantwortliche und gegebenenfalls sein Vertreter führen […].“) oder zur Durchführung einer Datenschutz-Folgenabschätzung (Art. 35 Abs. 1 DS-GVO: „[…] so führt der Verantwortliche […].“)deutlich. In Bezug auf die Datenschutz-Folgenabschätzung tritt die Aufgabentrennung auch noch einmal durch Art. 35 Abs. 2 DS-GVO hervor. Demnach holt der Verantwortliche bei der Durchführung einer Datenschutz-Folgenabschätzung den Rat des Datenschutzbeauftragten ein, sofern ein solcher benannt wurde.
Durch die dargestellte Verteilung der Aufgaben soll eine wirksame Eigenkontrolle ermöglicht werden, sodass Organisationen in die Lage versetzt werden, effektive Maßnahmen zur Gewährleistung des Datenschutzes zu etablieren und deren Wirksamkeit selbstständig zu prüfen.
Interessenskonflikt bei fehlender Trennung
Dass eine unzureichende Trennung beider Aufgabenfelder zu einem Interessenskonflikt des Datenschutzbeauftragten führen kann, zeigt ein Fall aus Italien. Dort bemängelte die hiesige Datenschutz-Aufsichtsbehörde die Tätigkeit des Datenschutzbeauftragten, als dieser im Rahmen der Einführung eines KI-basierten Systems als Autor einer Datenschutz-Folgenabschätzung auftrat. Die Aufsichtsbehörde sah hierin einen Interessenskonflikt gegeben, da:
- der Datenschutzbeauftragte bei der Durchführung einer Datenschutz-Folgenabschätzung eine unabhängige Beratungsfunktion innehat, Art. 35 Abs. 2 DS-GVO, Art. 39 Abs. 1 lit. c) DS-GVO;
- eine ausreichende Unabhängigkeit des Datenschutzbeauftragten nicht mehr gegeben ist, wenn dieser selbst als Verfasser der Datenschutz-Folgenabschätzung tätig wird;
- die erforderliche Trennung zwischen der Beratungsfunktion des Datenschutzbeauftragten und der Umsetzungsverantwortung des Verantwortlichen nicht gegeben ist.
Der Datenschutzbeauftragte stand somit faktisch auf zwei Seiten zugleich: Er entschied als Autor der Datenschutz-Folgenabschätzung über Risiko und erforderliche Maßnahmen und hätte gleichzeitig die Angemessenheit dieser Entscheidungen überwachen sollen – ein unauflösbarer Widerspruch. Die Folge: Die italienische Aufsichtsbehörde erkannte hierin einen Verstoß gegen Art. 38 Abs. 6 DS-GVO und verhängte ein entsprechendes Bußgeld. Auch wenn dieses Bußgeld mit 9.000 Euro relativ gering ausfiel, kommt der grundsätzlichen Aussage der Entscheidung eine wesentliche Bedeutung zu.
Fazit
Interessenkonflikte lassen sich vermeiden, wenn Organisationen klare Zuständigkeiten festlegen und die Aufgaben des Datenschutzbeauftragten strikt von operativen Tätigkeiten trennen. Der Datenschutzbeauftragte sollte keine Entscheidungsbefugnisse über Datenverarbeitungen haben, die er später selbst prüfen muss. Dokumentationspflichten wie Verzeichnisse der Verarbeitungstätigkeiten oder Datenschutz-Folgenabschätzungen sind von den jeweiligen Fachbereichen zu erstellen; der Datenschutzbeauftragte darf nur beratend und prüfend unterstützen.
Bei kleinen Organisationen kann die Bestellung eines externen Datenschutzbeauftragten helfen, Interessenkonflikte zu vermeiden – entscheidend ist die tatsächliche Unabhängigkeit. Regelmäßige Überprüfungen der Aufgabenverteilung, insbesondere nach organisatorischen Änderungen, sind empfehlenswert. Insgesamt gilt: Der Datenschutzbeauftragte soll beraten und kontrollieren, nicht selbst handeln. Nur eine klare Trennung von Verantwortung und Kontrolle sichert Unabhängigkeit, vermeidet Bußgelder und stärkt das Vertrauen in die Datenschutzorganisation.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Security & Privacy wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
