Auch nach Inkrafttreten der Datenschutz-Grundverordnung gilt: Die Tätigkeiten eines IT-Sicherheitsbeauftragten und Datenschutzbeauftragten in Personalunion führen zu Interessenkonflikten und sind nicht miteinander vereinbar.
Ein Mitarbeiter eines Unternehmens wandte sich mit der Frage, ob es nach Inkrafttreten der europäischen Datenschutz-Grundverordnung (DSGVO) möglich sei, die Tätigkeiten des IT-Sicherheitsbeauftragten und des Datenschutzbeauftragten in Personalunion auszuführen, an die Datenschutz Aufsichtsbehörde. Für die Entscheidung, eine Person beide Aufgaben übernehmen zu lassen, spreche die hohe Arbeitsbelastung, das knappe Personal und die Tatsache, dass in beiden Funktionen sehr gute IT-Kenntnisse notwendig seien. Der in Frage kommende Mitarbeiter fungierte in dem Unternehmen zudem als IT-Administrator und sei sich, nach eigenem Bekunden, der Interessenkonflikte bewusst und versuche die Aufgabenbereiche zu trennen.
Bereits zur alten Rechtslage vertrat die Aufsichtsbehörde die Auffassung, dass in dieser Konstellation Interessenkonflikte drohen und daher die Bestellung zum betrieblichen Datenschutzbeauftragten (bDSB) unzulässig sei.
Auch nach neuem Recht hat die Aufsichtsbehörde grundsätzliche Bedenken hinsichtlich der Bestellung zum IT-Sicherheitsbeauftragten und Datenschutzbeauftragten in Personalunion.
Nach Art. 37 Abs. 5 DSGVO wird der Datenschutzbeauftragte aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis sowie seiner Fähigkeit, die Aufgaben des Datenschutzbeauftragten zu erfüllen, benannt. Nach Art. 38 Abs. 6 DSGVO ist es grundsätzlich möglich, dass der Datenschutzbeauftragte auch andere Aufgaben übernehmen kann. Dabei muss allerdings zwingend sichergestellt werden, dass es nicht zu Interessenkonflikten kommt. Interessenkonflikte sind immer dann anzunehmen, wenn der Datenschutzbeauftragte sich selbst (im Rahmen seiner anderweitigen Tätigkeit) kontrollieren müsste, oder die Unabhängigkeit des Datenschutzbeauftragten gefährdet wäre. Für eine Vereinbarkeit der Tätigkeiten des IT-Sicherheitsbeauftragten und Datenschutzbeauftragten spricht zunächst, dass ein umfassendes Wissen im Bereich der IT und IT-Sicherheit für Beurteilungen des bDSB hilfreich ist. Der bDSB muss auch an der Erstellung eines IT-Sicherheitskonzeptes mitarbeiten.
Während die Tätigkeit des bDSB auf die Gewährleistung der Betroffenenrechte ausgerichtet ist, sind die Aufgaben des IT-Sicherheitsbeauftragten auf die Gewährleistung der Informationssicherheit des Unternehmens ausgerichtet. Dies führt dazu, dass der IT-Sicherheitsbeauftragte im Rahmen der Gefahrenabwehr von Angriffen Dritter auf ITSysteme des Unternehmens oftmals an einer umfangreichen Sammlung personenbezogener Daten interessiert ist, um Missbrauch zu entdecken, während der dDSB unter Berücksichtigung der Schutzziele der DSGVO eine Begrenzung der Sammlung personenbezogener Daten anstrebt. Auch mit Blick auf die Speicherdauer personenbezogener Daten vertreten IT-Sicherheitsbeauftragte und Datenschutzbeauftragte häufig unterschiedliche Positionen. Während der Datenschutzbeauftragte aus Gründen der Datensparsamkeit für eine kurze Speicherdauer ist, strebt der IT-Sicherheitsbeauftragte zu Zwecken der Störungserkennung und -analyse eine möglichst langfristige Speicherung der Daten an. Auch ist es im Interesse des IT-Sicherheitsbeauftragten, mit Audit-Logs herauszufinden, welche Personen (intern oder extern) welche Aktionen auf welchen Systemen durchführen, um Schwachstellen herauszufinden. Dies widerspricht der Aufgabe des Datenschutzbeauftragten, der möglichst wenig Überwachung der Mitarbeiter anstrebt. Zudem bestehen hinsichtlich der weiteren Funktion als IT-Administrator Interessenkonflikte, da der Mitarbeiter insoweit weisungsgebunden in die Struktur der IT eingebunden ist und sich in seiner Funktion als Datenschutzbeauftragter selbst kontrollieren müsse.
Der Anfragende wurde darauf hingewiesen, dass die Aufsichtsbehörde die Bestellung eines Datenschutzbeauftragten als von Anfang an unwirksam ansieht, da ein Interessenkonflikt vorlag.
Quelle: TLfDI
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks