„Niemand kann zwei Herren dienen“ – warum Geschäftsführer nicht zugleich Datenschutzbeauftragte sein dürfen?

Autorin: Ilka Kuci

In einer Entscheidung vom 16.10.2024 (GZ: 2024-0.641.771) stellte die österreichische Datenschutzbehörde (DSB) klar, dass eine Person nicht gleichzeitig Geschäftsführer und Datenschutzbeauftragter eines Unternehmens sein kann – zumindest nicht ohne besondere Maßnahmen zur Vermeidung von Interessenskonflikten.

Der Sachverhalt

Ein Geschäftsführer einer GmbH war gleichzeitig zum Datenschutzbeauftragten bestellt. Das Unternehmen hatte keine erkennbaren Vorkehrungen getroffen, um sicherzustellen, dass die Doppelrolle keine Interessenskonflikte entgegenstehen. Die DSB sah darin einen Verstoß gegen die DSGVO (Art 38 Abs 6) und verhängte eine Geldstrafe von EUR 5.000.

Die Begründung der DSB

Die DSGVO, konkret Art 38 Abs 6 DSGVO, erlaubt grundsätzlich, dass ein Datenschutzbeauftragter auch andere Aufgaben ausüben darf. Ein per-se Verbot einer Doppelfunktion ist also nicht gegeben. Jedoch darf bei der Ausübung der Doppelfunktion kein Interessenskonflikt entstehen. Die DSB meint jedoch, dass bei Geschäftsführern ein solcher Konflikt typischerweise besteht, und geht grundsätzlich von deren Unvereinbarkeit mit der Ausübung des Datenschutzbeauftragen aus. Abhängig von Gegenstand, Größe und Struktur einer Organisation, empfiehlt die Artikel-29-Datenschutzgruppe in ihren Leitlinien zum Datenschutzbeauftragten (WP 243 rev.01, abrufbar ua unter https://www.dsb.gv.at/europa-internationales/europaeischer_datenschutzausschuss_ edsa.html) auf Seite 19f zur Begegnung von „Interessenkonflikten“ in der Position des Datenschutzbeauftragten Folgendes:

die Positionen zu benennen, die mit der Funktion eines DSB unvereinbar sind,
zur Vermeidung von Interessenkonflikten diesbezügliche interne Richtlinien aufzustellen
eine allgemeine Erläuterung potenzieller Interessenkonflikte vorzunehmen
zu erklären, dass sich der DSB in Bezug auf seine Funktion in keinem Interessenkonflikt befindet und auf diese Weise das Bewusstsein für diese Anforderung zu schärfen
in die internen Richtlinien der Einrichtung Sicherungsvorkehrungen aufzunehmen und dafür Sorge zu tragen, dass die Stellenausschreibung für die Position eines DSB bzw der betreffende Dienstleistungsvertrag zwecks Vermeidung von Interessenkonflikten hinreichend genau und präzise formuliert wird. In diesem Zusammenhang ist zu beachten, dass Interessenkonflikte je nachdem, ob der DSB intern oder extern rekrutiert wird, unterschiedliche Formen annehmen können.

Zu beachten gilt

Die Personalunion „Geschäftsführer und Datenschutzbeauftragter“ ist heikel. Ein Interessenskonflikt kann möglicherweise vermieden werden, wenn gemäß den Leitlinien der DSB (WP 243 rev.01, 19 f) vorgegangen wird;
Der Datenschutzbeauftragte muss der DSB ordnungsgemäß gemeldet werden. Die gesetzten – nach außen erkennbaren – Maßnahmen zur Vermeidung eines Interessenskonflikts – sind der DSB offenzulegen.

Fazit

Die DSB verfolgt bei der Unabhängigkeit des Datenschutzbeauftragten eine strenge Linie. Seine Datenschutzverantwortung kann nach der DSB nur jener ernst nehmen, der klar dahingehend trennt, dass Kontrolle nicht von jenen Personen ausgeübt werden darf, die zugleich für die zu kontrollierenden Entscheidungen verantwortlich sind. Denn: Niemand kann zwei Herren dienen.

Disclaimer

Dieser Beitrag stellt lediglich eine allgemeine Information dar und ersetzt keine Rechtsberatung. Die Haslinger / Nagele Rechtsanwälte GmbH übernimmt keinerlei Haftung für Inhalt und Richtigkeit dieses Beitrages.