So befürworte ich bei einer Anzahl von mehr als 1.000 Beschäftigten in der Regel die vollständige Freistellung
allein aufgrund des Umfangs der im Zusammenhang mit dem Beschäftigtendatenschutz bestehenden Aufgaben
des Datenschutzbeauftragten. In Abhängigkeit vom Umfang oder der Komplexität der Verarbeitung personenbezogener Daten oder von deren Sensibilität kann auch bei einer geringeren Beschäftigtenzahl eine vollständige
Freistellung erforderlich sein.
Bei meiner Tätigkeit hat sich sowohl im Zusammenhang mit Kontrollbesuchen bei Behörden als auch in Konsultationen mit den Datenschutzbeauftragten der obersten Bundesbehörden gezeigt, dass in der Praxis die besondere Rechtstellung der behördlichen Datenschutzbeauftragten nicht immer beachtet wird und oftmals in
einem Spannungsverhältnis zu den tatsächlichen Gegebenheiten steht.
Bei der Umsetzung der notwendigen Freistellung hat die öffentliche Stelle einen organisatorischen Spielraum,
der von den Gegebenheiten vor Ort und den konkreten Bedürfnissen des Datenschutzbeauftragten und seines
Hilfspersonals abhängt. So kann es beispielsweise hingenommen werden, wenn der Datenschutzbeauftragte
selbst zu 50 Prozent freigestellt ist und er einen Mitarbeiter hat, der ebenfalls von seinen sonstigen Aufgaben zu
50 Prozent freigestellt ist, was zusammengenommen einer vollständigen Freistellung entspricht. Maßstab muss
dabei immer sein, insgesamt die notwendige Freistellung von sonstigen Aufgaben und eine effektive Aufgabenwahrnehmung zu gewährleisten (vgl. u. Nr. 14.1).
Vertretung des Datenschutzbeauftragten
Das BDSG sieht die Bestellung eines Vertreters nicht vor, schließt diese Möglichkeit jedoch auch nicht aus.
Dieser ist als „Hilfspersonal“ im Sinne von § 4f Absatz 5 BDSG anzusehen, die Bestellung mehrerer Datenschutzbeauftragten wäre mit der Unabhängigkeit des Amtes aber nicht vereinbar. Die Bestellung eines Vertreters muss sich daher auf Fälle von Abwesenheit oder sonstiger Verhinderung des Beauftragten für den Datenschutz beschränken. Die nach dem BDSG dem Datenschutzbeauftragten eingeräumten besonderen Rechte wie
der besondere Kündigungsschutz und das Zeugnisverweigerungsrecht gelten nicht für das Hilfspersonal und
damit auch nicht für den Stellvertreter des Datenschutzbeauftragten.
Datenschutzbeauftragter als IT-Sicherheitsbeauftragter? Zwei Seelen sollten nicht in einer Brust schlagen
Bei meiner Beratungstätigkeit hatte ich zu prüfen, ob der Datenschutzbeauftragte zugleich auch die Funktion
des IT-Sicherbeauftragten innehaben kann. Beide Aufgaben haben insbesondere in stark IT-basierten Unternehmen, wie Telekommunikations- oder Postdienstleistungsunternehmen, hohe synergetische Effekte, da sich
beide das faktische Wissen zur Datenerhebung, Verarbeitung und Speicherung erarbeiten müssen. Insofern ist
gerade bei Unternehmen mit einer schmalen Personaldecke eine Personalunion von Datenschutzbeauftragten
und IT-Sicherheitsbeauftragten verlockend.
Allerdings stehen beide Rollen potentiell in Konflikt, z. B. wenn es um die Speicherfristen personenbezogener
Daten geht. Während der Datenschutzbeauftragte eines Telekommunikationsunternehmens gemäß den Vorgaben des Telekommunikationsgesetzes (TKG) für eine restriktive Speicherung eintreten muss, strebt der
IT-Sicherheitsbeauftragte zu Zwecken der Störungserkennung und -analyse eine möglichst langfristige Speicherung der Daten an. Hier besteht ein handfester Interessenskonflikt. Belegt wird dies beispielsweise durch Telekommunikationsunternehmen, die immer wieder die Speicherfrist für Verkehrsdaten, wie sie im gemeinsamen
Leitfaden der BfDI und der Bundesnetzagentur für eine datenschutzgerechte Speicherung von Verkehrsdaten
2012 festgelegt wurde, mit verschiedensten Argumenten hinterfragen. Schließlich ist auch eine objektive Prüfung z. B. des IT-Sicherheitskonzeptes durch den Datenschutzbeauftragten in Frage zu stellen, wenn er selbst
das Konzept zuvor in seiner Funktion als IT-Sicherheitsbeauftragter erstellt hat.
– 50 –
BfDI 26. Tätigkeitsbericht 2015-2016