Bel­gi­en: Lei­tung von Stabs­stel­len (Head Legal, Head Risk usw.) unver­ein­bar mit der Rol­le des DPO?

Der Daten­schutz­be­auf­trag­te i.S.v. Art. 37 ff. DSGVO (DPO) muss u.a. unab­hän­gig sein:

  • Nach Art. 38 Abs. 3 gilt, dass ihm “bei der Erfül­lung sei­ner Auf­ga­ben kei­ne Anwei­sun­gen bezüg­lich der Aus­übung die­ser Auf­ga­ben” erteilt wer­den dür­fen, und der DPO “darf von dem Ver­ant­wort­li­chen oder dem Auf­trags­ver­ar­bei­ter wegen der Erfül­lung sei­ner Auf­ga­ben nicht abbe­ru­fen oder benach­tei­ligt wer­den”.
  • Nach Art. 38 Abs. 6 DSGVO kann der DPO zwar ande­re Auf­ga­ben und Pflich­ten wahr­neh­men; es muss aber sicher­ge­stellt sein, dass die­se nicht zu einem Inter­es­sen­kon­flikt füh­ren.
  • Erwä­gungs­grund 97 sagt wei­ter, dass DPO “unab­hän­gig davon, ob es sich bei ihnen um Beschäf­tig­te des Ver­ant­wort­li­chen han­delt oder nicht, ihre Pflich­ten und Auf­ga­ben in voll­stän­di­ger Unab­hän­gig­keit aus­üben kön­nen” müs­sen.
  • Der EDSA bzw. damals die Arti­kel-29-Arbeits­grup­pe hat in sich in sei­nen Leit­li­ni­en zu DPOs (Gui­de­li­nes on Data Pro­tec­tion Offi­cers) in Ziff. 3.3 und 3.5 geäu­ssert.

Klar ist also, dass ein DPO nicht Exe­ku­tiv­funk­tio­nen haben kann. Der EDSA dazu:

As a rule of thumb, con­flic­ting posi­ti­ons wit­hin the orga­ni­sa­ti­on may inclu­de seni­or manage­ment posi­ti­ons (such as chief exe­cu­ti­ve, chief ope­ra­ting, chief finan­cial, chief medi­cal offi­cer, head of mar­ke­ting depart­ment, head of Human Resour­ces or head of IT depart­ments) but also other roles lower down in the orga­ni­sa­tio­nal struc­tu­re if such posi­ti­ons or roles lead to the deter­mi­na­ti­on of pur­po­ses and means of pro­ces­sing.[…]

Das Bay­ri­sche Lan­des­da­ten­schutz­amt hat daher bereits 2016 ent­schie­den, dass ein IT-Mana­ger nicht DPO sein kann:

Eine sol­che Inter­es­sen­kol­li­si­on lag nach Auf­fas­sung des BayL­DA im Fal­le eines Daten­schutz­be­auf­trag­ten eines baye­ri­schen Unter­neh­mens vor, der die Posi­ti­on des „IT-Mana­gers“ des Unter­neh­mens beklei­de­te. Eine der­art expo­nier­te Posi­ti­on im Hin­blick auf die Daten­ver­ar­bei­tungs­pro­zes­se im Unter­neh­men ist in aller Regel unver­ein­bar mit den Auf­ga­ben eines Daten­schutz­be­auf­trag­ten. Dies lie­fe letzt­lich auf eine Daten­schutz­kon­trol­le eines der maß­geb­li­chen zu kon­trol­lie­ren­den Funk­ti­ons­trä­ger im Unter­neh­men durch sich selbst hin­aus.

Dar­aus folgt aber nicht, dass etwa ein Head of Legal, Gene­ral Coun­sel, Head of Com­pli­an­ce etc. nicht als DPO fun­gie­ren kann, solan­ge damit kei­ne Exe­ku­tiv­funk­ti­on in einem Busi­ness­be­reich ein­her­geht; in die­sem Fall soll­te kein Inter­es­sen­kon­flikt ent­ste­hen. Die Bel­gi­sche Auf­sichts­be­hör­de hat nun aber offen­bar am 28. April 2020 eine Bus­se von EUR 50’000 gegen ein Unter­neh­men ver­hängt, des­sen DPO der Lei­ter der inter­nen Revi­si­on, des Risk Manage­ment und der Com­pli­an­ce-Abtei­lung war. Die Ent­schei­dung ist auf der Web­site der bel­gi­schen Behör­de soweit ersicht­lich nicht mehr ver­füg­bar; vgl. aber z.B. die Berich­te von Lin­kla­ters und Field Fisher.

Dem­nach war der DPO im kon­kre­ten Fall in die Bear­bei­tung einer Daten­si­cher­heits­ver­let­zung ein­ge­bun­den. Über den Ein­zel­fall hin­aus war die Behör­de aber der Ansicht, dass der Lei­ter die­ser Abtei­lun­gen letzt­lich zwangs­läu­fig für die Ver­ar­bei­tung von Per­so­nen­da­ten im Zusam­men­hang mit den Compliance‑, Risk- und Audit-Tätig­kei­ten ver­ant­wort­lich sei, wes­halb er nicht unab­hän­gig sein kön­ne. Als Faust­re­gel sei die Lei­tung irgend­ei­ner (Stabs- oder Business-)Funktion mit dem Amt des DPO unver­ein­bar.

Die­se Hal­tung ist sicher ausser­or­dent­lich streng, und sie wider­spricht einer ver­brei­te­ten Pra­xis.