09/2020 – Fachartikel Swiss Infosec AG
Einige Hinweise zur Stellung des Datenschutzbeauftragten und -verantwortlichen sowie zu möglichen Interessenskonflikten
Müssen Sie einen Datenschutzbeauftragten oder -verantwortlichen bestellen und fragen sich, ob dies mit seiner bisherigen Position in Ihrem Unternehmen vereinbar ist?
Das Datenschutzteam der Swiss Infosec AG informiert Sie über mögliche Interessenskonflikte und wie Sie diese vermeiden können.
1 Data Protection Officer / Betrieblicher Datenschutzverantwortlicher
Das Datenschutzrecht sieht in gewissen Fällen vor, dass Unternehmen einen Datenschutzbeauftragten – auf Englisch Data Protection Officer (nachfolgend «DPO») – nach EU-Datenschutz-Grundverordnung (DSGVO) oder einen Datenschutzverantwortlichen (nachfolgend «BDSV») nach dem schweizerischen Datenschutzgesetz (DSG) bestellen müssen.
2 Rechtliche Vorgaben
Nach Art. 38 Abs. 3 DSGVO hat der DPO unabhängig zu sein, d.h. weisungsfrei, er darf nicht aufgrund der Erfüllung seiner Aufgaben abberufen werden und berichtet direkt an die höchste Managementstufe des Unternehmens.
Ein DPO darf zwar andere Aufgaben und Pflichten innerhalb des Unternehmens wahrnehmen; das Unternehmen hat nach Art. 38 Abs. 6 DSGVO allerdings dafür zu sorgen, dass «derartige Aufgaben und Pflichten nicht zu einem Interessenskonflikt führen».
Ähnliche Vorgaben finden sich für den BDSV in Art. 12a Abs. 2 VDSG («keine anderen Tätigkeiten ausüben, die mit seinen Aufgaben als Datenschutzverantwortlicher unvereinbar sind») und Art. 12b Abs. 2 lit. a («fachlich unabhängig […] ohne diesbezüglich Weisungen […] zu unterliegen») VDSG.
Es ist in der Folge unabdingbar, dass der DPO/BDSV eine unabhängige und organisatorisch herausgehobene Stellung innehat, um den Vorgaben von DSGVO und DSG zu genügen.
3 Interessenskonflikte
In der Praxis zeigt sich die unzulässige Abhängigkeit oder Weisungsgebundenheit regelmässig in Interessenskonflikten, also im Vorliegen von Unvereinbarkeiten oder einer Befangenheit. Das ursprüngliche Beschäftigungsverhältnis des Mitarbeitenden steht dabei im Konflikt mit seiner Funktion als DPO/BDSV.
DPO/BDSVs sollten keine Stelle auf Leitungs-, Chef- oder Inhaberebene innehaben (Interessenskonflikte aufgrund einer Exekutivfunktion). Auch Positionen auf tieferer Hierarchiestufe, z.B. im Senior Management, sind regelmässig ungeeignet, wenn diese Positionen die Zwecke und Mittel der Datenverarbeitung festlegen können. Darunter fallen Heads of IT/Marketing/HR/Legal & Compliance oder Leiter des operativen Geschäftsbereichs. Auch bei Prokuristen birgt die Nähe zur Geschäftsleitung die Gefahr von Interessenskonflikten. Denn in solchen Positionen steht oft das Interesse an der wirtschaftlichen Führung des Unternehmens im Vordergrund.
Ein DPO/BDSV muss dafür sorgen, dass Datenschutzregeln ungeachtet der betrieblichen Auswirkungen eingehalten werden. Er ist verpflichtet, notfalls auch gegen die Interessen der Geschäftsleitung zu handeln. Ein DPO/BDSV soll nicht sich selbst in einer anderen Position kontrollieren.
Solange jedoch keine Exekutivfunktion mit der Position im Unternehmen einhergeht, kann auch ein General Counsel, Head of Legal, Informationssicherheitsbeauftragter etc. als DPO/BDSV fungieren. In diesem Fall sollte kein Interessenskonflikt gegeben sein.
Nicht zu vergessen sind mögliche familiäre Interessenskonflikte: Wie kritisch und bestimmt tritt ein DPO/BDSV auf, wenn der CEO des Unternehmens der Ehegatte oder ein Elternteil ist? Mitglieder der erweiterten Kernfamilie sollten daher nicht als DPO/BDSV benannt werden, unabhängig davon, ob sie auch andere Arbeitstätigkeiten im Familienunternehmen wahrnehmen.
Ein DPO darf schliesslich nicht gleichzeitig als EU-Vertreter tätig sein. Der EU-Vertreter erhält vom Unternehmen regelmässig Instruktionen bezüglich der Ausübung seiner Tätigkeit und handelt als Repräsentant des beauftragenden Unternehmens, womit Interessenskonflikte entstehen können.
4 Entscheide der Aufsichtsbehörden
Im Jahre 2016 – also noch unter altem deutschen BDSG, jedoch wohl weiterhin mit Signalwirkung für deutsche Aufsichtsbehörden – erteilte das Bayerische Landesamt für Datenschutz einem Unternehmen eine Busse, weil der DPO gleichzeitig die Position des «IT-Managers» innehatte. Diese Position sei zu exponiert, als dass sie mit der Unabhängigkeit eines DPO vereinbar wäre.
Im April dieses Jahres erliess die belgische Aufsichtsbehörde eine Busse von EUR 50’000 gegen ein Unternehmen, das den Leiter der internen Revision, des Risk Managements und der Compliance-Abteilung als DPO bestellt hatte. Die belgische Aufsichtsbehörde sah im Leiter dieser Abteilung eine Verantwortlichkeit für die Verarbeitung von Personendaten in Revisions-, Risk- und Compliance-Tätigkeiten und somit sei die Unabhängigkeit nicht gegeben gewesen.
In der Schweiz sind solche Entscheide noch nicht ergangen. Wir sind jedoch der Auffassung, dass der EDÖB das entsprechende Unternehmen zuerst vor die Wahl, einen anderen BDSV zu benennen, stellen wird, bevor er entsprechende rechtliche Schritte einleitet.
5 Unser Fazit
Ein DPO/BDSV muss seine Aufgabe unabhängig, frei von Interessenskollision ausüben. Eine Unabhängigkeit ist nicht gegeben, wenn er sich selbst überprüfen muss und/oder eine Exekutivfunktion ausübt.
Neben dem Kriterium der Unabhängigkeit stellt sich aber auch die Frage, ob diese in Frage stehende Person über die benötigten fachlichen Qualifikationen verfügt.
Je nachdem ist die Bestellung eines externen DPO/BDSV zu empfehlen; denn hier sind sowohl die nötige Distanz zur Bearbeitung der Daten wie auch das gebotene fachliche Know-how gegeben.
Gerne beantworten wir Ihre Fragen und unterstützen Sie bei der Einhaltung von Schweizer Datenschutz und DSGVO als DPO und BDSV.
Swiss Infosec AG; 28.08.2020
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch