Kann eine behördliche oder betriebliche Datenschutzbeauftragte bzw. ein behördlicher oder betrieblicher Datenschutzbeauftragter interne Meldestelle im Sinne von § 12 HinSchG sein ?

Nach § 15 Abs. 1 Satz 2 HinSchG dürfen mit den Aufgaben einer internen Meldestelle betraute Personen neben ihrer Tätigkeit für die interne Meldestelle andere Aufgaben und Pflichten wahrnehmen. Nach Satz 3 ist dabei sicherzustellen, dass derartige Aufgaben und Pflichten nicht zu Interessenskonflikten führen. Erwägungsgrund 56 der durch das Hinweisgeberschutzgesetz umgesetzten Richtlinie (EU) 2019/1937 nennt als mögliche interne Meldestellen in kleineren Unternehmen Mitarbeiterinnen oder Mitarbeiter mit einer Doppelfunktion, Leiterinnen oder Leiter der Complianceabteilung, Integritätsbeauftragte, Rechts- oder Datenschutzbeauftragte oder Auditverantwortliche. Dies zeigt die Bandbreite der möglichen Umsetzung der Verpflichtung, die ausweislich der Gesetzesbegründung nicht durch das HinSchG eingeschränkt werden soll, solange die gesetzlichen Vorgaben insbesondere in Bezug auf die Unabhängigkeit und Vertraulichkeit eingehalten werden (BT-Drs. 372/22, S. 87). Art. 38 Abs. 6 DS-GVO gestattet, dass der Datenschutzbeauftragte andere Aufgaben und Pflichten wahrnehmen kann, wenn sichergestellt ist, dass diese nicht zu einem Interessenkonflikt führen.

Gleichzeitig ist zu sehen, dass eine solche Doppelfunktion – ohne zusätzliche Maßnahmen seitens des Verantwortlichen – einen grundsätzlichen Interessenkonflikt darstellen würde: So können einerseits Meldungen bei der Meldestelle die oder den Datenschutzbeauftragten selbst oder einen Vorgang betreffen, bei dem diese/r bereits involviert war. Andererseits unterfallen auch die mit der Meldestelle einhergehenden Datenverarbeitungen – insbesondere die Folgemaßnahmen in eigener Zuständigkeit nach § 18 HinSchG – nach Art. 39 Abs. 1 Buchstabe b DS-GVO der Kontrolle der/des Datenschutzbeauftragten. Mit Urteil vom 6. Juni 2023, Az. 9 AZR 383/19, hat das BAG eine generelle Unvereinbarkeit bei den Funktionen von Betriebsratsvorsitzenden und Datenschutzbeauftragten angenommen. Inwieweit diese Rechtsprechung, welche sicherlich hohe Hürden für die Wahrnehmung anderer Aufgaben und Pflichten durch die/den Datenschutzbeauftragte/n aufstellt, auch auf andere Funktionen übertragbar ist, bleibt offen. So ist nach der zu Grunde liegenden EuGH-Rechtsprechung für die Frage eines konkreten Interessenkonfliktes die Organisationsstruktur des Verantwortlichen, einschließlich interner Vorschriften, maßgeblich (vgl. EuGH, Urteil vom 09.02.2023, Az. C 453/21, Rz. 46). Hierbei ist eine Einzelfallbetrachtung geboten, auch abhängig von der Größe der verantwortlichen Stelle (vgl. ErwG 56 der Richtlinie (EU) 2019/1937). Dementsprechend ist es nicht von vornherein ausgeschlossen, dass im Einzelfall eine Doppelfunktion Datenschutzbeauftragte/r und Meldestelle zulässig ist. Hierbei zu berücksichtigende Mindestvoraussetzungen für die Vermeidung eines Interessenkonfliktes wären geeignete Vertretungsregelungen auf beiden Seiten (so erlaubt § 14 HinSchG – und damit anders als die Funktion des Betriebsratsvorsitzenden – eine arbeitsteilige Organisationsstruktur), klare Zuständigkeiten und Rollentrennungen (organisatorisch und sachlich, z.B. bei Aktenführung und Archivierung) sowie eine lückenlose Prozessdokumentation.

Zu berücksichtigen ist auch, dass die Kombination der Funktionen der/des Datenschutzbeauftragten und der internen Meldestelle nicht dazu führen darf, dass die damit betraute Person aus Zeitgründen nicht in der Lage ist, beide Funktionen ordnungsgemäß auszufüllen.

Soll die/der Datenschutzbeauftragte die Aufgabe der internen Meldestelle übernehmen, muss er oder sie, wie jeder andere, die notwendige Sachkunde nachweisen. Soweit sich die Sachkunde auf die Einhaltung des Datenschutzes und der Vertraulichkeit bezieht, kann hierbei auf bereits zur Vorbereitung auf bzw. während der Tätigkeit als Datenschutzbeauftragte/r erworbene Sachkunde zurückgegriffen werden.