Der Datenschutzbeauftragte als interne Meldestelle im Sinne des Hinweisgeberschutzgesetzes-E

Sowohl das Hinweisgeberschutzgesetzes-E (HinSchG-E) als auch die DS-GVO zeigen sich grundsätzlich offen für eine doppelfunktionale Beset­zung der betroffenen Stellen. Nach § 15 Abs. 1 S. 2 HinSchG-E steht es den Personen, die mit den Aufgaben einer internen Meldestelle beauftragt sind, ausdrücklich frei, neben dieser Tätigkeit zusätzlich andere Auf­gaben und Pflichten innerhalb des Unternehmens wahrzunehmen. Gleiches ergibt sich für den Daten­schutz­beauftrag­ten, der gemäß Art. 38 Abs. 6 S. 1 der DS-GVO ebenfalls andere Aufgaben und Pflichten neben seiner Rolle als DSB wahrnehmen kann. In erstaunlich ähnlichem Wortlaut zeigen HinSchG-E und DS-GVO jedoch direkt im Anschluss auch die Grenze zusätzlicher Aufgabenübertra­gungen auf: In beiden Regelungen wird verankert, dass die parallele Wahrnehmung von Aufgaben nicht zu Interessenskonflikten führen darf (§ 15 Abs. 1 S. 3 bzw. Art. 38 Abs. 6 S. 2 DS-GVO). Liegen interne Meldestelle und Datenschutz­beauftragter in Personal­u­nion vor, muss also gewährleistet werden, dass beide Funktionen unabhängig ausgeübt werden können.

Mögliche Auslöser für Interessenskonflikte liegen bei einer gleichzeitigen Tätigkeit als interne Meldestelle und Datenschutzbeauftragter in vielerlei Hinsicht vor. Eines der zentralen Probleme stellt dabei die faktische Selbstkontrolle des Datenschutzbeauftragten dar.

Während der jeweilige Verantwortliche im Sinne der DS-GVO die Mittel und Zwecke einer Datenverarbeitung festlegt, besteht die Kernaufgabe des Datenschutzbeauftragten gemäß Art. 37 Abs. 1 lit. b DS-GVO neben der Unterstützung und Beratung insbesondere in der Kontrolle des Verantwortlichen. Wenn eine Person in ihrer Rolle als interne Meldestelle für den Verantwortlichen das Meldeverfahren (§ 17 HinSchG-E) oder Folgemaß­nah­men in Bezug auf einen internen Hinweis (§ 18 HinSchG-E) festlegt, bestimmt sie damit für das Unterneh­men über die Mittel (Meldeverfahren) und Zwecke (Folgemaßnahmen) einer Datenverarbeitung. Soll dieselbe Person – nun in ihrer Funktion als Datenschutzbeauftragter – das Unternehmen als datenschutzrechtlich Verantwortlichen bei der Festlegung der Mittel und Zwecke überwachen, kontrolliert sie somit faktisch ihre eigene Tätigkeit. Das führt zur vollständigen Aushöhlung der Überwachungsfunktion des Datenschutzbeauf­tragten und damit zu einer Kollisionslage beider Tätigkeiten. Die faktische Selbstkontrolle des Datenschutz­beauftragten stellt häufig auch in Zusammenhang mit anderen ihm zusätzlich aufgetragenen Tätigkeiten einen Interessenskonflikt dar.

 

Gemäß Art. 38 Abs. 2 DS-GVO hat der Verantwortliche dem Datenschutzbeauftragten die für die Erfüllung seiner Aufgaben erforderlichen Ressourcen zur Verfügung zu stellen. Neben personellen, sachlichen und finanziellen Ressourcen gehört dazu insbesondere auch eine zeitliche Komponente. Aufgrund der Weisungs­unabhängigkeit des Datenschutzbeauftragten wird ein bestimmter zeitlicher Faktor nicht festgelegt. Der Verantwortliche hat jedoch im Zweifel nachzuweisen, dass der Datenschutzbeauftragte über ein Zeitbudget verfügt, welches zur ordnungsgemäßen Wahrnehmung seiner Aufgaben ausreicht. Je größer das verantwortliche Unternehmen bzw. die Anzahl und Komplexität der Datenverarbeitungsprozesse ist, desto höher ist häufig der Zeitbedarf des Datenschutzbeauftragten zur Bewältigung seiner Aufgaben. Mit der Größe des Unternehmens wird in der Praxis jedoch oftmals auch die Nutzung interner Meldekanäle in Korrelation stehen. Auch die für die interne Meldestelle zuständige Person muss über hinreichende zeitliche Ressourcen zur Aufgabenerfüllung verfügen können. In kleineren Unternehmen geht der Gesetzgeber zwar davon aus, dass der Bedarf nicht so groß sei, dass eine Beschäftigte oder ein Beschäftigter ausschließlich für das Betreiben der internen Melde­stelle zuständig sein müsse (vgl. Gesetzesbegründung zu § 15 Abs. 1 HinSchG-E). Jedenfalls ab Erreichen einer gewissen Unternehmensgröße bzw. eines bestimmten Umfangs an Datenverarbeitungs- und Hinweisgeber­prozessen ist jedoch laufend zu prüfen und zu gewährleisten, dass einer Person, die für beide Bereiche in Personalunion tätig wird, noch ausreichend Zeit verbleibt, beide Aufgaben ordnungsgemäß zu erfüllen.

Bei der Wahrnehmung der Funktionen als Datenschutzbeauftragter und interne Meldestelle ist ein Kontakt mit sensiblen personenbezogenen Daten – jedenfalls bei nicht anonymen Meldungen – unumgänglich. Um diese Informationen zu schützen, erlegen sowohl das HinSchG-E als auch die DS-GVO der zuständigen Person umfangreiche Verschwiegenheitsverpflichtungen auf. Einen Interessenskonflikt kann hier das unterschiedliche Schutzniveau der Verschwiegenheitsregelungen auslösen. Gemäß Art. 38 Abs. 5 DS-GVO ist der Datenschutz­beauftragte bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung oder der Vertraulichkeit gebunden. Auch gemäß § 8 HinSchG-E haben die Meldestellen die Vertraulichkeit der Identität der betroffenen Personen unabhängig von ihrer Zuständigkeit für die eingehenden Meldungen zu wahren. Im Gegensatz zur DS-GVO wird die Verschwiegenheitsverpflichtung der Meldestellen jedoch in § 9 HinSchG-E zumindest partiell aufgeweicht. Obwohl die dortigen Einschränkungen der Verschwiegenheitspflicht sachlich nachvollziehbar sind, verbleibt es bei einem unterschiedlich starken Informationsschutz. Werden beide Tätigkeiten von dersel­ben Person ausgeübt, sind Fälle denkbar, in denen sie angesichts dieser Regelungsdivergenzen einem Dilemma ausgesetzt wird.

Zunächst stellen die Sanktionsvorschriften mit ihren Bußgeldandrohungen ein direktes Risiko dar. Diese drohen immer dann, wenn die doppelfunktionale Besetzung nicht so ausgestaltet und durchgeführt wird, dass beide Funktionen ordnungsgemäß erfüllt werden können; das wäre insbesondere bei einem Interessenkonflikt der Fall. Die DS-GVO Bußgeldpraxis der Aufsichtsbehörden kann hier bereits einige Fallbeispiele aufzeigen. Bereits im Jahr 2018 hat die luxemburgische Aufsichtsbehörde ein Bußgeld in Höhe von 18.000 Euro gegen einen Verantwortlichen verhangen, u.a. weil dem Datenschutzbeauftragten nicht die erforderlichen zeitlichen Ressourcen zugewiesen wurden, damit dieser seine Aufgaben erfüllen kann. Weitaus höher sind zwei Bußgelder ausgefallen, die aufgrund eines Interessenskonflikts des Datenschutzbeauftragten mit anderen ihm aufgetra­genen Tätigkeiten verhangen wurden. Am 16. Dezember 2021 wurde von der Belgischen Aufsichtsbehörde ein Bußgeld in Höhe von 75.000 Euro und am 20. September 2022 vom Berliner Beauftragten für Datenschutz und Informationsfreiheit in Höhe von 525.000 Euro verhangen (letzteres ist noch nicht rechtskräftig). Derartige Bußgelder sind – wenn auch in beschränkter Höhe – ebenfalls im Rahmen des HinSchG-E denkbar. Gemäß § 40 Abs. 2 Nr. 2, Abs. 6 HinSchG-E ist ein Bußgeld in Höhe von bis zu 20.000 Euro gegen Unternehmen möglich, in denen nicht dafür gesorgt ist, dass eine interne Meldestelle eingerichtet ist und betrieben wird. Welche Schwelle eines Interessenskonflikts bzw. einer unzureichenden Bereitstellung von Ressourcen erreicht sein muss, damit die interne Meldestelle als nicht ausreichend eingerichtet oder betrieben gilt und somit ein Buß­geld auslöst, wird jedoch erst die entsprechende Bußgeldpraxis der Aufsichtsbehörden zeigen.

 

Eine zeitliche Überlastung der Person, die für die interne Meldestelle zuständig ist (etwa aufgrund umfang­reicher Tätigkeiten als DSB), birgt in der Praxis noch eine zusätzliche Gefahr. Ist die Meldestelle für Hinweis­geber nicht ordnungsgemäß erreichbar, läuft die Kommunikation nach einer Meldung nur schleppend oder ist der Kanal in anderer Weise unattraktiv für Hinweisgeber, könnten diese angeregt werden, sich an externe Meldekanäle zu wenden. Dadurch würde dem Unternehmen die wertvolle Chance genommen, Missständen frühzeitig entgegenzuwirken und damit behördlichen Verfahren zuvorzukommen.