Zu diesem Konflikt haben Prof. Dr. Stefanie Fehr und Kevin Refenius einen Aufsatz in der Fachzeitschrift Compliance-Berater verfasst (CB 2023, 289 ff.). Den Aufsatz können Sie hier erwerben.
Die Frage, ob ein Datenschutzbeauftragter als interner Meldestellenbeauftragter fungieren kann, richtet sich laut Fehr/ Refenius ausschließlich nach der DSGVO und nicht nach der Hinweisgeberschutzgesetz. Es sei daher allein am Maßstab der DSGVO zu prüfen, ob der betriebliche Datenschutzbeauftragte eine solche Aufgabe übernehmen kann bzw. sollte.
Dem betrieblichen Datenschutzbeauftragen können zwar neben seiner eigentlichen Tätigkeit noch weitere Aufgaben nach Art. 38 Abs. 6 S. 1 DSGVO übertragen werden. Dies sei gemäß Fehr/ Refenius zulässig, soweit es nicht zu Interessenkonflikten mit den Tätigkeiten eines Datenschutzbeauftragten führt (Art. 38 Abs. 6 S. 2 DSGVO). Es müsse aber dabei sichergestellt werden, dass derartige Aufgaben und Pflichten nicht zu Interessenkonflikten führen. Entscheidend ist dabei, dass der Datenschutzbeauftragte seine Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben kann.
Fehr/ Refenius begründen den attestierten Konflikt mit kollidierenden Interessen des Datenschutzbeauftragten, welcher dessen Unabhängigkeit zu stark gefährde. Denn bereits bei der Implementierung von Meldekanälen seien betriebliche Datenschutzbeauftragte nach Art. 38 Abs. 1 DSGVO zum Schutz personenbezogener Daten einzubinden. Im weiteren Verlauf müssten Datenschutzbeauftragte, wenn sie die Funktion des internen Meldestellen-Beauftragten innehaben, auch z. B. Folgemaßnahmen einleiten, wie Datenanalysen, um Hinweise aufzuklären. Laut Fehr/ Refenius müsste eine Bearbeitung des Hinweises durch den betrieblichen Datenschutzbeauftragten in diesem Fall unterbleiben und der Sachverhalt würde nicht aufgeklärt werden. Fehr/ Refenius: „Eine völlige Unabhängigkeit eines betrieblichen Datenschutzbeauftragten in der Doppelfunktion als interner Meldestellen-Beauftragter ist nicht gegeben.“
Fehr/ Refenius: „In seiner Entscheidung hat der EuGH festgesetellt, dass die Unabhängigkeit des Datenschutzbeauftragten im Zusammenhang mit einer Doppelfunktion weiterhin gewährleistet sein muss. Daraus folge, dass einem Datenschutzbeauftragten keine Aufgaben oder Pflichten übertragen werden dürfen, die ihn dazu veranlassen würden, die Zwecke und Mittel der Verarbeitung personenbezogener Daten bei dem Verantwortlichen festzulegen. Denn der Datenschutzbeauftragte müsse die Überwachung dieser Zwecke und Mittel unabhängig durchführen.“
Diese These wird auch durch ein auf das EuGH-Urteil folgende Urteil des Bundesarbeitsgerichts (BAG, 6. Juni 2023 – 9 AZR 383/19 ) gestützt. Hiernach darf der Betriebsratsvorsitzende nicht zugleich Datenschutzbeauftragter sein. Damit änderte das BAG seine bisherige Rechtsprechung.
Im Ergebnis sollten verpflichtete Unternehmen und Organisationen daher zurückhaltend sein, wenn es darum geht, ob der Datenschutzbeauftragte die interne Meldestelle verantworten darf. Denn die Strafen bei Verstößen gegen das Hinweisgeberschutzgesetz sind beträchtlich.
Wir raten dazu, das Hinweisgeberschutzgesetz mit Compliance Experten umzusetzen – selbstverständlich unter Einbindung des jeweiligen Datenschutzbeauftragten. Sprechen Sie uns hierzu gerne an.
Kontakt zu Hinweisgeberexperte
Informationen zum Hinweisgeberschutzgesetz
Hinweisgeberexperte.de – Compliance Beratung + Service Rechtsanwaltsgesellschaft mbH
Maximilianstraße 24, 80539 München
© 2024 Compliance Beratung + Service Rechtsanwaltsgesellschaft mbH.
Alle Rechte vorbehalten