Geschäftsführer als Datenschutzbeauftragte?
Auch wenn das Thema hier schon häufiger behandelt wurde (z.B hier m.w.N.), wollte ich doch aus “Stickyness”-Gründen mal wieder ein Beispiel bringen, bei dem ein Startup es gut meint und z.B. in der Datenschutzerklärung (schon mal positiv, dass es überhaupt eine gibt - ist ja auch nicht die Regel) angibt, wer Datenschutzbeauftragte des Unternehmens sind. So gibt Beeings minidienste.de in seiner Datenschutzerklärung, die ungünstigerweise nur im PDF-Format (Stand: 31.03.08) vorliegt (was trotz der Verbreitung des PDF-Standards ein Problem sein kann), folgende Information an:
Betrieblicher Beauftragter für den Datenschutz
Andreas Jakob, Daniel Stosch
Beim Datenschutzbeauftragten gilt jedoch eigentlich das “Highlander”-Prinzip: es kann nur Einen geben! Zwei Personen zu benennen, ist daher - sagen wir mal - etwas “unüblich”.
Unzulässig wird das Ganze dann jedoch, wenn man gleichzeitig folgende Informationen zur Firma und vor allem den Geschäfsführern in derselben Datenschutzerklärung ansieht:
Verantwortliche Stelle im Sinne des BDSG:
Beeings Internet GmbH
Karl-Heine-Str. 99
04229 LeipzigGeschäftsführer:
Andreas Jakob, Daniel Stosch
Es ist nämlich als Fall der sog. verbotenen In-Sich-Kontrolle unzulässig, dass ein Geschäftsführer oder Mitglied der Geschäftsführung zugleich auch Datenschutzbeauftragter des Unternehmens ist. Es fehlt dem Geschäftsführer nämlich zumindest an der nach § 4f Abs. 2 BDSG erforderlichen Zuverlässigkeit, die in einem Fall einer solchen Interessenkollision nicht gegeben ist. So darf z.B. auch ein IT-Leiter nicht zum Datenschutzbeauftragten bestellt werden.
Minidienste.de sollte vielleicht eher prüfen, ob überhaupt ein Datenschutzbeauftragter bestellt werden muss (was allerdings schon in Anbetracht des Vorteils, dass die Meldepflichten für den Einsatz von automatisierten Verfahren bei der zuständigen Aufsichtsbehörde für den Dtenschutz im Falle einer Bestellung eines Datenschutzbeauftragten entfallen, gut abgewogen werden sollte) oder eben - noch besser - eine andere Person oder einen externen Datenschutzbeauftragten bestellen. Wichtig: zum Datenschutzbeauftragten darf nur eine Person bestellt werde, die über die erforderliche Fachkunde verfügt. Die liegt ohne umfangreiche Schulung eher selten vor. Häufig bietet sich daher gerade für kleinere Unternehmen an, einen externen Datenschutzbeauftragten zu bestellen, was auch nicht unbedingt teuer sein muss, wenn die IT und die Prozesse ansonsten gut aufgestellt sind.
[Update]: Hinzuweisen ist noch darauf, dass es sich hierbei um keinen Fehler handelt, der dazu führt, dass Nutzer einen Nachteil hätten. Auch abmahnfähig ist der Fehler nicht.
[Update2]: Der Fehler ist behoben worden, soweit ich es sehen kann.
