Datenschutzbeauftragter - wer darf?

mike_river · 12. November 2019 um 08:25

Hallöchen liebe Weise und Wissende,

nehmen wir mal ein kleines fiktives Unternehmen, so eine Mischung aus der „Softwareschmiede von um die Ecke“ mit „der Personalvermittlung aus dem Telefonbuch“.

Man stellt im Hinterhof ein bisschen Software her und vermittelt im Rahmen von Dienstleistungsverträgen Freiberufler an Konzerne und Behörden.

Jetzt sei der Laden groß genug, einen Datenschutzbeauftragten zu benötigen.

Der Leiter der Produktentwicklung sei im Ermessen der Geschäftsführung sowohl charakterlich als auch fachlich für diese Position qualifiziert.

In Wikipedia kann man Folgendes lesen:
„Die erforderliche Zuverlässigkeit erfordert, dass kein Interessenkonflikt bei der Wahrnehmung der Funktion besteht. Ein solcher besteht vor allem bei allen Personen, die ein eigenes Interesse am Unternehmen (etwa wegen Beteiligung an seinem Vermögen, wie z. B. Teilhaber oder Gesellschafter) oder Leitungsfunktion haben. Geschäftsführer oder der Abteilungsleiter, vor allem der Personal- oder der IT-Abteilung, scheiden deshalb regelmäßig aus.“

Auch das LDI sagt:
„Es gilt das Grundprinzip, dass die zu Kontrollierenden nicht selbst die Kontrolle ausüben dürfen. Daraus ergibt sich, dass die Leitung sowie Beschäftigte der Personal- und EDV-Abteilung nicht gleichzeitig Datenschutzbeauftragte sein können.“

Jetzt zur Frage, ist jemand, der eine Führungsposition hat, automatisch als DSB disqualifiziert?

Ist auch der Leiter Produktentwicklung automatisch disqualifiziert, obwohl er im Sinne seiner Funktion herzlich wenig mit personenbezogenen Daten zu tun hat, sogar in der Tat derjenige sei, der in der Vergangenheit TOM’en initiiert und überwacht hat?

Müsste das Unternehmen den DSB als externe Dienstleistung einkaufen, obwohl sie eine ihrer Ansicht nach eine hinreichend neutrale & qualifizierte Person besitzen, nur weil diese Person bereits Führungsverantwortung hat?

Gruß und Danke,
Michael

godam_a8fc45 · 12. November 2019 um 08:26

Hallo,

zu:

„Jetzt zur Frage, ist jemand, der eine Führungsposition hat, automatisch als DSB disqualifiziert?“

Entscheidend ist die Frage nach möglichen Interessenskonflikten. Vermieden werden soll eine „Selbstkontrolle“, wie ja auch der Wiki-Artikel betont. Ob ein solcher Interessenskonflikt in dem von dir geschilderten Fall gegeben ist, kann aus der Ferne nicht beurteilt werden. Ein Automatismus besteht nicht.

Wie so oft empfiehlt sich ein Anruf beim Landesdatenschutzbeauftragten.

Zu:

„obwohl sie eine ihrer Ansicht nach eine hinreichend neutrale & qualifizierte Person besitzen“.

Eine hinreichende Qualifikation wird in den wenigstens Fällen gegeben sein. Eine zusätzliche Qualifikation (Lehrgang) mit entsprechender Zertifizierung (TÜV etc.) ist in jedem Fall sinnvoll.

In einer Reihe von Fällen ist der einsatzt eines externen Datenschutzbeauftragten eine preiswertere und sichere Lösung.

Grüße

godam

EK1 · 12. November 2019 um 08:29

Hallo,

der DSB soll bei der Produktentwicklung von Software, die personenbezogene Daten verarbeitet, ja den Counterpart zum Leiter der Entwicklung darstellen, denn da bestehen gegenläufige Interessen. Die Entwickler wollen möglichst viele Zugriffsrechte ohne Einschränkungen für die Entwickler und den Support auf Echtdaten und möglichste Zurückverfolgung von Benutzern und so viele Daten wie möglich für Auswertungen, die heute noch gar nicht angedacht sind, der DSB das totale Gegenteil.

Das ist also objektiv inkompatibel, auch wenn subjektiv der Leiter das hier vernünftig machen würde, weil er stets auch aus der DSB Brille die Entwicklung betrachtet hat.

VG
EK

mike_river · 12. November 2019 um 08:34

Hallöchen noch mal zurück.

Ehrlich gesagt verstehe ich den Konflikt nicht.

kann im Normalfall der 3rd Level Support ohnehin auf die Datenbank zugreifen, es besteht also voller Zugriff auf sämtliche verfügbaren Informationen (naja, außer Passworten vielleicht).
Außerdem sind in Großprojekten Support und Entwicklung separate Leistungen, die von separaten Personen wahrgenommen werden.
wird Software normalerweise „lean“ entwickelt.
Kein Entwicklungsleiter würde Features realisieren lassen, die keinen geschäftlichen Mehrwert haben, d.h. nicht angefordert sind.
Dass er dann noch mal nachfragt „Braucht ihr diese Daten wirklich?“ ist doch eher eine Wahrnehmung der Datenschützerrolle als ein Interessenskonflikt. Er ist ja nicht der Anforderer der pbz Daten.
wird Software „im Auftrag“ entwickelt. Also für externe Kunden. Welche Daten der externe Kunde verarbeiten lassen möchte, darauf kann der Entwicklungsleiter ohnehin keinen Einfluss nehmen.
Außerdem hat weder er noch sein Team auf Produktivdaten Zugriff. Entsprechend läge dort die Verantwortung beim DSB des Kunden, nicht im eigenen Unternehmen.

Oder habe ich hier was falsch verstanden?

Gruß,
Michael