Warum Ihr IT-Chef auf gar keinen Fall gleichzeitig Datenschutzbeauftragter sein sollte

Der Artikel 37 DSGVO regelt, wann Verantwortliche zwingend eine Datenschutzbeauftragte (DSB) benennen müssen.

§38 BDSG  schreibt ergänzend dazu vor, dass

….der Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten (benennen), soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Ein Datenschutzbeauftragter benötigt:

  • Fachwissen (Art. 37, Abs. 5 DSGVO) und
  • Unabhängigkeit (Art. 38 DSGVO)

Soweit so gut.

Warum sollten Sie nun aber nicht Ihren IT-Chef zum Datenschutzbeauftragten benennen?

…. Immerhin kennt sie/ er sich ja sehr gut aus mit der Verarbeitung personenbezogener Daten und Datensicherheit ist ein wichtiger Teil des Datenschutzes. Somit wäre doch nur ein geringer Aufwand nötig, um das datenschutzrechtliche Fachwissen zu ergänzen…

Was das Fachwissen angeht, stimmt das. Aber da wäre ja noch der zweite Punkt: die Unabhängigkeit.

Als Fachverantwortlicher mit Entscheidungsbefugnis bestimmt er/ sie die Mittel und Zwecke der Verarbeitung (zumindest mit) und ist somit nicht unabhängig. Ganz im Gegenteil, sie oder er ist dadurch eine Verantwortliche im Sinne der DSGVO. Es besteht ein Interessenkonflikt.

Ungeeignet als Datenschutzbeauftragte sind daher:

  • Geschäftsführung
  • Assistent*innen der Geschäftsführung
  • IT-Leitung, Marketing-Leitung
  • sonstige Führungskräfte, Entscheidungsträger oder der Geschäftsführung-Nahestehende

Und wenn der IT-Chef doch Datenschutzbeauftragter ist?

Die Belgische Aufsichtsbehörde hat im April 2020 ein Unternehmen mit einem Bußgeld in Höhe von 50.000€ behaftet, weil es seinen Verantwortlichen für Compliance, Risiko und Audit auch zum Datenschutzbeauftragten ernannt hat. Als (Mit-)Verantwortlicher hat er über Zwecke und Mittel der Datenverarbeitung entschieden und war folglich nicht unabhängig. Die Benennung war somit ungültig. Das (meines Wissens bislang höchste belgische) Bußgeld gab es, weil durch die unrechtmäßige Benennung also in der Folge überhaupt kein Datenschutzbeauftragter benannt war.

(Quelle: datenschutz-notizen.de)

 

Was bedeutet das für Unternehmen?

Unternehmen sollten unbedingt darauf achten, keinen DSB aus der Führungsebene zu benennen. Wenn Sie intern keinen DSB benennen können oder wollen, benennen Sie einfach einen externen DSB.

Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen (Art. 37, Abs. 6 DSGVO)

 

Übrigens: Wer mehr zu Bußgeldern wissen mag, findet alle bekannten Bußgelder auf https://www.enforcementtracker.com

Bildquellen

  • teacher-1280966_1920.pixabay-jerrykimbrell10: Pixabay - Jerry Kimbrell