Die IT kann sich in Sachen Datenschutz nicht selbst kontrollieren. Bild: Corbis

Zum internen Datenschutzbeauftragten eines Unternehmens können keine Personen bestellt werden, die daneben im Unternehmen Aufgaben wahrnehmen, die zu Interessenkonflikten mit den Aufgaben eines Datenschutzbeauftragten führen können. Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat in einem solchen Fall eine Geldbuße gegen ein Unternehmen ausgesprochen.

Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn bei ihnen mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten befasst sind. Das Gesetz stellt es Unternehmen frei, ob die Funktion des Datenschutzbeauftragten an eine externe Person vergeben wird oder durch einen Mitarbeiter erfüllt wird. Wird ein Mitarbeiter zum Datenschutzbeauftragten bestellt, so darf er jedoch daneben nicht noch für solche Aufgaben zuständig sein, die die Gefahr von Interessenkonflikten mit seiner Funktion als Datenschutzbeauftragter mit sich bringen können. Darauf weist das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hin.

Keine maßgebliche operative Verantwortung für Datenverarbeitungsprozesse

Eine solche Interessenkollision lag nach Auffassung des BayLDA im Falle eines Datenschutzbeauftragten eines bayerischen Unternehmens vor, der die Position des "IT-Managers" des Unternehmens bekleidete. Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist demnach in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten. Dies liefe nach Auffassung des BayLDA letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt. Diese Aufgabe kann der Datenschutzbeauftragte nicht erfüllen, wenn er gleichzeitig maßgebliche operative Verantwortung für Datenverarbeitungsprozesse besitzt.

Das BayLDA hatte das Unternehmen auf diesen Umstand hingewiesen und zur Bestellung eines Datenschutzbeauftragten aufgefordert, der keiner derartigen Interessenkollision unterliegt. Das Unternehmen kündigte zwar wiederholt an, im Zuge von Umstrukturierungen auch die Funktion des Datenschutzbeauftragten neu zu bekleiden, versäumte es jedoch über Monate, einen Nachweis für die Bestellung eines geeigneten Datenschutzbeauftragten vorzulegen. Vor diesem Hintergrund hat das BayLDA gegen das  Unternehmen eine Geldbuße festgesetzt, die inzwischen bestandskräftig ist.

Schlagworte zum Thema:  Datenschutz, Big Data, Analytics, Database

Aktuell
Meistgelesen