Der Datenschutzbeauftragte i.S.v. Art. 37 ff. DSGVO (DPO) muss u.a. unabhängig sein:
- Nach Art. 38 Abs. 3 gilt, dass ihm “bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben” erteilt werden dürfen, und der DPO “darf von dem Verantwortlichen oder dem Auftragsverarbeiter wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden”.
- Nach Art. 38 Abs. 6 DSGVO kann der DPO zwar andere Aufgaben und Pflichten wahrnehmen; es muss aber sichergestellt sein, dass diese nicht zu einem Interessenkonflikt führen.
- Erwägungsgrund 97 sagt weiter, dass DPO “unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können” müssen.
- Der EDSA bzw. damals die Artikel-29-Arbeitsgruppe hat in sich in seinen Leitlinien zu DPOs (Guidelines on Data Protection Officers) in Ziff. 3.3 und 3.5 geäussert.
Klar ist also, dass ein DPO nicht Exekutivfunktionen haben kann. Der EDSA dazu:
As a rule of thumb, conflicting positions within the organisation may include senior management positions (such as chief executive, chief operating, chief financial, chief medical officer, head of marketing department, head of Human Resources or head of IT departments) but also other roles lower down in the organisational structure if such positions or roles lead to the determination of purposes and means of processing.[…]
Das Bayrische Landesdatenschutzamt hat daher bereits 2016 entschieden, dass ein IT-Manager nicht DPO sein kann:
Eine solche Interessenkollision lag nach Auffassung des BayLDA im Falle eines Datenschutzbeauftragten eines bayerischen Unternehmens vor, der die Position des „IT-Managers“ des Unternehmens bekleidete. Eine derart exponierte Position im Hinblick auf die Datenverarbeitungsprozesse im Unternehmen ist in aller Regel unvereinbar mit den Aufgaben eines Datenschutzbeauftragten. Dies liefe letztlich auf eine Datenschutzkontrolle eines der maßgeblichen zu kontrollierenden Funktionsträger im Unternehmen durch sich selbst hinaus.
Daraus folgt aber nicht, dass etwa ein Head of Legal, General Counsel, Head of Compliance etc. nicht als DPO fungieren kann, solange damit keine Exekutivfunktion in einem Businessbereich einhergeht; in diesem Fall sollte kein Interessenkonflikt entstehen. Die Belgische Aufsichtsbehörde hat nun aber offenbar am 28. April 2020 eine Busse von EUR 50’000 gegen ein Unternehmen verhängt, dessen DPO der Leiter der internen Revision, des Risk Management und der Compliance-Abteilung war. Die Entscheidung ist auf der Website der belgischen Behörde soweit ersichtlich nicht mehr verfügbar; vgl. aber z.B. die Berichte von Linklaters und Field Fisher.
Demnach war der DPO im konkreten Fall in die Bearbeitung einer Datensicherheitsverletzung eingebunden. Über den Einzelfall hinaus war die Behörde aber der Ansicht, dass der Leiter dieser Abteilungen letztlich zwangsläufig für die Verarbeitung von Personendaten im Zusammenhang mit den Compliance‑, Risk- und Audit-Tätigkeiten verantwortlich sei, weshalb er nicht unabhängig sein könne. Als Faustregel sei die Leitung irgendeiner (Stabs- oder Business-)Funktion mit dem Amt des DPO unvereinbar.
Diese Haltung ist sicher ausserordentlich streng, und sie widerspricht einer verbreiteten Praxis.