EuGH, Urt. v. 09.02.2023, C-453/21, X-FAB
Ein Interessenkonflikt nach Art. 38 Abs. 6 DSGVO besteht, wenn der Datenschutzbeauftragte zugleich Aufgaben wahrnimmt, mit denen er Zwecke und Mittel der Verarbeitung festlegt; die Beurteilung erfolgt im Einzelfall.
1. Überblick
Ein Beschäftigter war zugleich Betriebsratsvorsitzender und Datenschutzbeauftragter desselben Unternehmens sowie verbundener Gesellschaften. Das Unternehmen berief ihn als Datenschutzbeauftragten ab und begründete dies mit einem Interessenkonflikt zwischen beiden Ämtern. Der Gerichtshof hatte zu klären, wann ein Interessenkonflikt im Sinne des Art. 38 Abs. 6 DSGVO vorliegt und ob das nationale Recht strengere Abberufungsregeln vorsehen darf.
Fundstelle: EuGH, Urt. v. 09.02.2023, C-453/21, X-FAB
2. Begriff des Interessenkonflikts
Ein Interessenkonflikt nach Art. 38 Abs. 6 S. 2 DSGVO kann bestehen, wenn dem Datenschutzbeauftragten andere Aufgaben oder Pflichten übertragen werden, die ihn dazu veranlassen, Zwecke und Mittel der Verarbeitung personenbezogener Daten beim Verantwortlichen oder Auftragsverarbeiter festzulegen. Der Datenschutzbeauftragte darf innerhalb der Stelle keine Position bekleiden, deren Aufgabe gerade die Festlegung von Zwecken und Mitteln der Verarbeitung ist, weil er andernfalls die Ergebnisse seiner eigenen Tätigkeit zu überwachen hätte.
3. Einzelfallprüfung
Ob ein solcher Konflikt vorliegt, ist im Einzelfall anhand aller relevanten Umstände zu beurteilen, insbesondere der Organisationsstruktur des Verantwortlichen und der anwendbaren Vorschriften einschließlich interner Regelungen. Allein aus der gleichzeitigen Funktion als Betriebsratsvorsitzender folgt nicht zwingend ein Interessenkonflikt; die nationalen Gerichte haben dies konkret zu prüfen.
4. Strengeres nationales Abberufungsrecht zulässig
Die DSGVO steht einer nationalen Regelung nicht entgegen, die die Abberufung des Datenschutzbeauftragten an strengere Voraussetzungen knüpft als Art. 38 Abs. 3 S. 2 DSGVO, solange die Ziele der DSGVO dadurch nicht beeinträchtigt werden. Ein wichtiger Grund für die Abberufung liegt insbesondere vor, wenn der Datenschutzbeauftragte die fachliche Eignung nach Art. 37 Abs. 5 DSGVO nicht mehr besitzt oder seine Aufgaben nicht im Einklang mit der DSGVO erfüllt.
5. Bedeutung für die Praxis
Die Entscheidung konkretisiert das Verbot der Interessenkollision bei der Übertragung weiterer Aufgaben auf den Datenschutzbeauftragten. Sie ist vor allem bei der Kombination der Funktion mit Leitungsaufgaben in IT, Personal oder Marketing sowie bei der Benennung von Mitgliedern der Geschäftsleitung zu beachten.
Über den Autor
Über den Autor
Dieser Beitrag wurde von Dr. Thomas Helbing, Fachanwalt für IT-Recht in München, verfasst.
Dr. Helbing wird seit 2020 durchgehend bis heute (2026) vom Handelsblatt als einer der „Deutschlands besten Anwälte" im Bereich IT-Recht und Datenschutzrecht ausgezeichnet.
Laut Kanzleimonitor.de (Ausgaben 2024–2026) zählt er zu den führenden Anwälten für Datenschutz und IT-Recht und ist unter den Top-100 Anwälten in Deutschland (2024/25) gelistet. Kanzleimonitor gilt als besonders aussagekräftige Marktstudie, da sie ausschließlich auf persönlichen Empfehlungen von Unternehmensjuristen basiert.
Dr. Helbing verfügt über langjährige Beratungserfahrung im Datenschutz- und IT-Recht und berät Mandanten unterschiedlichster Größen, vom Startup über wachstumsstarke SaaS-Unternehmen und Unicorns bis hin zu internationalen Konzernen.
Sein beruflicher Hintergrund umfasst das gesamte Spektrum der Praxis im IT- und Technologierecht. Er begann seine Laufbahn in einer internationalen Großkanzlei, sammelte anschließend Inhouse-Erfahrung in einem DAX-Unternehmen und ist selbst Unternehmer und Gründer mehrerer digitaler Projekte. Darüber hinaus verfügt er über praktische Programmiererfahrung, wodurch er technische Systeme, Softwarearchitekturen und digitale Geschäftsmodelle nicht nur juristisch, sondern auch aus technischer Perspektive versteht.
Zu seinen Mandanten zählen seit vielen Jahren unter anderem Technologieunternehmen und SaaS-Anbieter, führende deutsche Forschungseinrichtungen sowie eine systemrelevante deutsche Großbank. Seine Beratungsschwerpunkte liegen insbesondere in den Bereichen DSGVO-Compliance, Datenökonomie, SaaS, KI-Regulierung und IT-Vertragsrecht.
EuGH, Urt. v. 22.06.2022, C-534/20, Leistritz
Der verschärfte deutsche Sonderkündigungsschutz für Datenschutzbeauftragte (§ 6 Abs. 4 BDSG) ist mit dem Abberufungsverbot des Art. 38 Abs. 3 S. 2 DSGVO vereinbar, solange er die Ziele der DSGVO nicht beeinträchtigt.
AGH NRW, Urt. v. 12.03.2021, 1 AGH 9/19
Die rechtsberatenden Aufgaben des Datenschutzbeauftragten nach Art. 39 DSGVO sind eine durch Gesetz erlaubte Rechtsdienstleistung; eine als externe Datenschutzbeauftragte tätige Person kann als Syndikusrechtsanwältin zugelassen werden.