Unternehmen, die einen behördlichen Datenschutzbeauftragten (DSB) einstellen oder dies planen, müssen bei der Auswahl des richtigen Bewerbers für diese Funktion sehr vorsichtig sein.
Durch die Ernennung eines Datenschutzbeauftragten, der auch eine Position als IT-Manager in der Branche innehatte, gehörte ein etabliertes deutsches Unternehmen 2019 zu den ersten Unternehmen, gegen die auf lokaler Ebene eine Geldstrafe wegen Verstoßes gegen das Datenschutzrecht verhängt wurde.
Kürzlich, im April 2020, verhängte die belgische Datenschutzbehörde jedoch eine Geldstrafe in Höhe von 50.000 EUR gegen ein Unternehmen, weil es Artikel 31 der EU-DSGVO nicht eingehalten hatte, und ernannte einen Leiter mehrerer Abteilungen zum Datenschutzbeauftragten des Unternehmens.
In dieser Entscheidung wird schwarz auf weiß dargelegt, dass jede Organisation, die einen behördlichen Datenschutzbeauftragten einstellt, die Position strikt auf die Aufgaben des Datenschutzbeauftragten beschränken und seine Fähigkeiten nicht in einer Weise nutzen darf, die zu einem Interessenkonflikt führt.
So müssen die Unternehmen ihrem Datenschutzbeauftragten eine andere Rolle zuweisen als die eines IT-Managers, eines Rechtsberaters, eines Leiters der Innenrevision, eines Risikomanagers usw.
Was sind die Pflichten der Unternehmen bei der Einstellung eines DSB nach der DSGVO?
Da die neuesten DSGVO-Richtlinien bereits in Kraft sind, ist die Einstellung eines qualifizierten Datenschutzbeauftragten für Unternehmen aller Größenordnungen unerlässlich geworden.
Qualifizierte Experten in diesem Bereich sind jedoch schwer zu finden, und lokale Unternehmen machen häufig den Fehler, einen ihrer derzeitigen Mitarbeiter zum Datenschutzbeauftragten zu ernennen. Dies kann zu Interessenkonflikten führen, und obwohl dies eine realistische und umsichtige Investition zu sein scheint, können die Kosten und Folgen dazu führen, dass Unternehmen Geldstrafen in Höhe von mehreren tausend Euro zahlen müssen.
Allerdings ist es den Unternehmen nicht gänzlich verwehrt, intern einen DSB zu bestellen.
Wenn beispielsweise die beruflichen Aufgaben des neu ernannten Datenschutzbeauftragten vollständig mit denen eines Datenschutzbeauftragten übereinstimmen und – was noch wichtiger ist – nicht zu einem Interessenkonflikt führen, kann ein bereits vorhandener Mitarbeiter als Datenschutzbeauftragter benannt werden.
Um es kurz zu wiederholen: Wenn eine bestimmte Abteilung bereits vom internen Datenschutzbeauftragten kontrolliert, verwaltet oder geleitet wird, ist die Ernennung dieses Beauftragten zum Datenschutzbeauftragten problematisch – sie kann zu hohen Geldstrafen führen, da es sich um einen Interessenkonflikt im Sinne der Datenschutzgrundverordnung handelt.
Für das Amt des behördlichen Datenschutzbeauftragten ist es erforderlich, die rechtlichen Anforderungen zu kennen:
Unabhängigkeit
Die DSGVO schreibt vor, dass der DSB (unabhängig davon, ob er intern oder extern bestellt wurde) unabhängig und ohne Anweisungen des Leiters, Direktors oder Managers der Organisation arbeiten muss, wie die Aufgaben des DSB zu erfüllen sind.
So sollten Unternehmen den Datenschutzbeauftragten beispielsweise nicht vorschreiben, wie sie die Datenschutzgesetze zu betrachten haben, wie sie eine Datenschutzbeschwerde zu untersuchen haben oder wann sie sich an die ICO wenden müssen.
Keine Interessenkonflikte
Die meisten Führungspositionen in einem Unternehmen, wie CEO, COO, CMO, CFO, IT-Leiter, Personalleiter usw., stehen in einem direkten Interessenkonflikt mit der Position eines DSB.
Outsourcing eines DSB: eine gute Wahl
Unternehmen können die Rolle des DSB in Übereinstimmung mit der DSGVO auslagern. Dies kann sich auch als die richtige Wahl erweisen, weil es möglich ist, Zugang zu einem professionellen und qualifizierten Experten zu haben und gleichzeitig das Hauptziel zu erreichen: keinen Interessenkonflikt.