Berliner Datenschutzbeauftragte: Datenschutz ist Leitungssache, aber nicht so (Fachklinik: Klinikleiter/Gesellschafter kann wegen Interessenkollision nicht zugleich Datenschutzbeauftragter sein)

Berliner Beauftragte für Datenschutz und Informationsfreiheit

Aus dem Jahresbericht 2021 (Pressemitteilung / BERICHT KOMPLETT) vom 24. Mai 2022:

 

13.5 Datenschutz ist Leitungssache, aber nicht so

Ein Bußgeldfall zeigt exemplarisch die Wichtigkeit der Auswahl der betrieblichen Datenschutzbeauftragten auf. Eine Fachklinik hatte den Klinikleiter, der gleichzeitig Gesellschafter der Klinik war, zum Datenschutzbeauftragten ernannt.

Ein:e Datenschutzbeauftragte:r kann zwar andere Aufgaben und Pflichten wahrnehmen, das Unternehmen hat allerdings sicherzustellen, dass andere Aufgaben und Pflichten der/des Datenschutzbeauftragten nicht zu einem Interessenkonflikt führen.215 Die/Der Datenschutzbeauftragte hat im Rahmen ihrer/seiner Aufgabenwahrnehmung216 gerade bei einem Konflikt zwischen wirtschaftlichen oder fachlichen Zielvorgaben und Interessen mit datenschutzrechtlichen Belangen (z. B. von Beschäftigten oder Kund:innen) die Geschäftsleitung zu beraten, ohne selbst diesem Konflikt ausgesetzt zu sein. Sofern Datenschutzbeauftragte selbst über die Datenverarbeitung entscheiden, führt dies grds. zu einem Interessenkonflikt, da diese sich insofern nicht selbst kontrollieren können. Ein unzulässiger Interessenkonflikt kann sich daher zunächst schon aus der Stellung der Person im Unternehmen ergeben, insbesondere darf ein:e Datenschutzbeauftragte:r nicht Inhaber:in des jeweiligen Unternehmens oder Mitglied des geschäftsführenden Organs sein.

Einem solchen Interessenkonflikt unterlag der Klinikleiter, da er zum einen in seiner Leitungsposition strategische und operative Entscheidungen über die Zwecke und Mittel der Verarbeitung von Beschäftigten- und Patient:innendaten zu treffen und als Gesellschafter ein wirtschaftliches Interesse am Erfolg der Klinik hat, er andererseits als Datenschutzbeauftragter die Einhaltung des Datenschutzrechts durch die Klinik kontrollieren muss.

Aus einer solchen Doppelrolle folgt auch die Gefahr, dass eine erhebliche psychische Barriere für Patient:innen und Mitarbeitende besteht, mit kritischen Fragen zur Verarbeitung personenbezogener Daten zum Datenschutzbeauftragten, der gleichzeitig Klinikleiter ist, zu gehen.

Zwar sollte die Unternehmensleitung die Einhaltung des Datenschutzrechts immer im Blick behalten, die Entscheidungsbefugnis der Leitungspersonen über die Verarbeitung personenbezogener Daten sorgt allerdings dafür, dass sie sich nicht selbst als Datenschutzbeauftragte benennen können. Wenn es bisher keine Mitarbeitenden im Unternehmen gibt, die datenschutzrechtliches Wissen haben, können solche eingestellt werden oder vorhandene Mitarbeitende für diese Position auf Kosten des Unternehmens geschult werden. Ansonsten besteht die Möglichkeit, externe Datenschutzbeauftragte zu engagieren.