Wenn Machtspiele auf regulatorische Vorgaben treffen
Stellen wir uns ein Szenario vor, das vielleicht auch ein bisschen an einen Krimi erinnert, in dem DSB (Datenschutzbeauftragte) sich plötzlich in einem Spannungsfeld zwischen gesetzlich zugesicherter Unabhängigkeit und den persönlichen Interessen oder Karrierezielen von Führungskräften befinden.
Der schmale Grat zwischen Alltag und Pflicht
Was wäre, wenn…
- DSB schon kurz nach Benennung gravierende Lücken in der Datenschutzorganisaion feststellten, wie unzureichende Verarbeitungsverzeichnisse, mangelnde Rechtsgrundlagen für Datenverarbeitungen, fehlende Prozesse, unklare Zuständigkeiten und ein wachsendes, enormes Haftungsrisiko, den Verantwortlichen aufzeigten?
- Compliance-Verantwortliche Berichte und Präsentationen von DSB, akribisch überarbeiten, Folien umbenennen, Risikodarstellungen streichen, Berichte für die höchste Ebene der Geschäftsführung zurückhalten und schließlich von DSB eigeninitiative Assessments zur objektiven Bestandsaufnahme der Datenschutzorganisation stoppen?
- DSB (Compliance-)Verantwortliche daran erinnerten, dass Art. 38 Abs. 3 DSGVO ausdrücklich Unabhängigkeit und Weisungsfreiheit zusichert, jedoch stattdessen zu persönlichen Gesprächen eingeladen würden, in denen disziplinarische Maßnahmen angedeutet werden?
- sich DSB bei unveränderten Risiken und steter Aufforderung zur Umsetzung von Compliance, die höchste Ebene der Geschäftsführung mehrfach ansprechen, um nicht nur wiederholte Eingriffe, die Verletzung der Unabhängigkeit sondern auch eindrücklich die daraus resultierenden Gefahren für das Unternehmen schilderten?
- DSB als Whistleblower agierten, und interne Untersuchungen einleiten, die das Vorgehen von Compliance-Verantwortlichen schließlich als schweren Regelverstoß klassifizieren würden?
Unabhängigkeit ist kein Nice‑to‑have, sondern ein Muss
Die DSGVO schreibt klar vor, dass DSB frei von Interessenkonflikten agieren und in der Ausübung ihrer Tätigkeit weisungsfrei sind. Jeder Versuch, die Berichterstattung zu filtern oder Entscheidungen zu beeinflussen, stellt nicht nur eine Verletzung der gesetzlichen Vorgaben dar, sondern gefährdet das gesamte Datenschutzprogramm des Unternehmens.
Klare Berichtslinien verhindern das „Wer‑macht‑was“-Chaos
Wenn die Zuständigkeit für den Datenschutz in einer breiteren Compliance-Struktur versinkt, verliert das Thema seine Sichtbarkeit. Ein eigenes Reporting‑Board, das direkt an die Geschäftsführung berichtet, schafft Transparenz und schützt DSB vor ungewolltem Druck.
Frühzeitige, offene Kommunikation spart Kosten und Nerven
Der Moment, in dem DSB die höchste Ebene der Geschäftsführung erreichen, ist der einzige Zeitpunkt, an dem Unternehmen die Chance haben, intern gegenzusteuern, bevor externe Ermittlungen aufgenommen werden oder rechtliche Konsequenzen ergriffen werden könnten.
Die Benennung von DSB durch die Geschäftsführung, in der bestenfalls schriftlich zugleich Rolle, Aufgaben, Rechte und Pflichen von DSB festgehalten sind, hat große Wirkung im Unternehmen. Daneben wirkt eine schriftlich festgelegte Stellenbeschreibung, die die Rechte und Pflichten von DSB definiert, wie ein Schutzschild. Beides macht klar, dass DSB weder von operativen Aufgaben noch von Personalentscheidungen abgelenkt werden dürfen. Ohne solche Dokumentation ist das Risiko hoch, dass DSB in Machtspiele verwickelt werden oder in Interessenkonflikte geraten.
Auch wenn einige DSB anmerken, dass sie „wie ein Schweizer Taschenmesser“ eingesetzt würden, also vielseitig und immer im richtigen Fach, verdeutlicht dies zugleich, dass ein Werkzeug nur dann effektiv ist, wenn jedes Teil seine eigene Schublade hat.
Fazit
DSB treffen höchstpersönliche Entscheidungen, ob sie in einem Umfeld arbeiten, das ihre Unabhängigkeit systematisch untergräbt. Wenn sich DSB entscheiden Unternehmen zu verlassen, sollte das ein Weckruf sein, sowohl für betreffende Unternehmen, als auch für Mitarbeitende, Kunden und Partner. Ohne eine unabhängige Stimme im Datenschutz kann selbst ein technisch hochentwickeltes Unternehmen schnell in rechtliche Stolperfallen geraten.
Kurz gesagt:
- unabhängige DSB sind das Rückgrat jeder DSGVO‑konformen Organisation.
- Klare Berichtslinien und eine offene Kommunikation schützen vor Interessenkonflikten.
- Frühzeitige Meldungen verhindern kostspielige Audits und Reputationsschäden.
- Humor darf die Stimmung heben, darf aber niemals die Ernsthaftigkeit des Themas verwässern.
Hinweis: Dieser Beitrag dient ausschließlich zu Informationszwecken. Für konkrete (arbeits-)rechtliche Beratung wende dich bitte an qualifizierte Rechtsberater:innen.
Wer heute darüber nachdenkt, wie die eigene Datenschutzorganisation strukturiert ist, sollte sich auch fragen:
Ist der oder die DSB wirklich frei, seine/ ihre Arbeit zu tun?
Wenn daran Zweifel aufkommen, ist jetzt der richtige Zeitpunkt, die Prozesse zu prüfen, klare Linien zu ziehen und gegebenenfalls externe Expertise hinzuzuziehen. Denn am Ende des Tages ist das Vertrauen von Kunden, Partnern und Mitarbeitenden das wertvollste Gut deines Unternehmens und das wird nur gewahrt, wenn Datenschutz funktioniert – unbeeinflusst und stark.