Stimmt es, dass ein IT-ler, Personaler oder die Geschäftsführung nicht als Datenschutzbeauftragte benannt werden dürfen?

Ein Datenschutzbeauftragter kann und darf nach Art. 38 Abs. 6 Satz 1 DSGVO „andere Aufgaben und Pflichten“ wahrnehmen, doch es muss gleichzeitig sichergestellt sein, dass „derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen,“ so Art. 28 Abs. 6 Satz 2 DSGVO.

Der Datenschutzbeauftragte hat eine Kontrollfunktion und darf daher nicht in die Situation kommen, dass er sich selbst kontrollieren muss. Deswegen können insbesondere Interessekonflikte entstehen, wenn ein (auch externer) Mitarbeiter auch im Bereich

  • Personal,
  • Informationstechnik (IT),
  • Geheimschutzbeauftragter oder
  • Geschäftsführer

tätig ist. Sehr beliebt ist häufig, dass das externe IT-Unternehmen auch den externen Datenschutzbeauftragten stellt. Auch wenn explizit darauf hingewiesen wird, dass der externe Datenschutzbeauftragte weisungsfrei im IT-Unternehmen oder auch bei einem Tochterunternehmen „ausgelagert“ ist, bleibt die Benennung hoch problematisch.

firstbyte digital consulting e.K. ist ein markt- und produktneutrales Unternehmen und stellt interessenkonfliktfreie, externe Datenschutzbeauftragte.