…Als Faustregel lassen sich zu den mit Interessenkonflikten einhergehenden Positionen solche des leitenden Managements (wie etwa Leiter des Unternehmens, Leiter des operativen Geschäftsbereichs, Finanzvorstand, leitender medizinischer Direktor, Leiter der Marketingabteilung, Leiter der Personalabteilung oder Leiter der IT- Abteilung) zählen, jedoch auch hierarchisch nachgeordnete Positionen, wenn die betreffenden Funktionen oder Aufgabenfelder die Festlegung von Zwecken und Mitteln der Datenverarbeitung mit sich bringen…
Quelle: ARTIKEL-29-DATENSCHUTZGRUPPE
…Insbesondere darf er als Datenschutzbeauftragter mit Kontrollfunktionen nicht in die Situation kommen, dass er sich selbst kontrollieren muss. Nicht jede weitere Aufgabe, die mit der Verarbeitung personenbezogener Daten verbunden ist, ist mit dem Amt eines Datenschutzbeauftragten unvereinbar. Interessenkonflikte können aber insbesondere dann auftreten, wenn der Datenschutzbeauftragte gleichzeitig Aufgaben in den Bereichen
– Personal,
– Automatisierte Datenverarbeitung (ADV) /Informationstechnik (IT) oder in
– Organisationseinheiten mit besonders umfangreicher oder sensitiver Verarbeitung von personenbezogenen Daten wahrnimmt oder
– Geheimschutzbeauftragter ist.
Eine Beschäftigung im Personalbereich ist regelmäßig mit eigenverantwortlichen Entscheidungen über Einstellungen, Einstufungen, Beförderungen oder Entlassungen verbunden. Die gleichzeitige Wahrnehmung des Amtes eines Beauftragten für den Datenschutz ist daher grundsätzlich ausgeschlossen.
Das Gleiche gilt für den IT-Bereich. Der Leiter der IT-Abteilung oder ein sonst maßgeblich für die IT Verantwortlicher kann keinesfalls zugleich Datenschutzbeauftragter sein. Wegen seiner umfassenden Einsichtsmöglichkeiten in personenbezogene Daten ist eine Kontrolle durch eine andere Person zwingend geboten.
Der Beauftragte für den Datenschutz kann grundsätzlich nicht zugleich IT-Sicherheitsbeauftragter sein. So zählt es oftmals gerade zu den Aufgaben des IT-Sicherheitsbeauftragten, auch das IT-Sicherheitskonzept zu erstellen und zu aktualisieren. Das würde aber bedeuten, dass sich der IT-Sicherheitsbeauftragte dann als Beauftragter für den Datenschutz selbst kontrollieren müsste. Eine solche In-Sich-Kontrolle wäre unzulässig und das Erfordernis der objektiven Zuverlässigkeit des Datenschutzbeauftragten wäre nicht erfüllt…
Quelle: Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
#dsgvo38a2 #bdsg6 #gdpr38p2 #fdpa6