Hohes Bußgeld wegen Interessenkonflikt eines Datenschutzbeauftragten
Datenschutzbeauftragter muss unabhängige Instanz sein
„Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden“, begründet Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI, die Entscheidung in einer Pressemitteilung.
„Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“
Datenschutzbeauftragte sollen beraten und kontrollieren
Als unabhängige Instanz sollen betriebliche Datenschutzbeauftragte ihr Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten beraten und die Einhaltung der Datenschutzvorschriften kontrollieren.
Diese Funktion dürfen – laut Artikel 38 der Europäischen Datenschutz-Grundverordnung (DSGVO) – nur Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen.
Unternehmen müssen Interessenkonflikte ausschließen
Gleichwohl dürfen auch betriebliche Datenschutzbeauftragte andere Aufgaben und Pflichten innerhalb einer Stelle wahrnehmen – es darf aber zu keinem Interessenkonflikt kommen. Das müssen Unternehmen und Organisationen sicherstellen.
Artikel 38 Absatz 6 der DSGVO gibt das eindeutig vor: „Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“
„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, empfiehlt Brozio in der Pressemitteilung. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“
Berliner Fall: Interessenkonflikt durch Doppelrolle
Im konkreten Fall in Berlin hatte das Unternehmen einen Datenschutzbeauftragten benannt, der selbst der Geschäftsführer von zwei Dienstleistungsgesellschaften war. Diese verarbeiteten im Auftrag des Unternehmens personenbezogene Daten. Der Datenschutzbeauftragt sollte seine eigenen getroffenen Entscheidungen unabhängig kontrollieren.
Ein klarer Interessenkonflikt, sagte die BlnBDI – und damit ein Verstoß gegen die Datenschutz-Grundverordnung.
Erst Verwarnung – dann Bußgeld
Die Berliner Datenschutz-Aufsichtsbehörde sprach deshalb bereits im Jahr 2021 eine Verwarnung gegen das Unternehmen aus. Der E-Commerce-Konzerns zog aber keine Konsequenzen, das ergab eine erneute Überprüfung durch die BlnBDI in diesem Jahr.
Der Verstoß bestand trotz der Verwarnung weiter, deshalb verhängte die Berliner Beauftragte für Datenschutz und Informationsfreiheit das Bußgeld in Höhe von 525.000 Euro. Das Bußgeld ist noch nicht rechtskräftig.
Inzwischen hat das Unternehmen während des laufenden Bußgeldverfahrens den Verstoß abgestellt.
Datenschutz-Management kompakt ist die umfassende Lösung für die effiziente und rechtssichere Umsetzung der gesetzlichen Datenschutz-Vorgaben.
Profitieren Sie von den Erläuterungen und Umsetzungstipps zahlreicher erfahrener Datenschutzbeauftragter und Fachanwälten zum Datenschutzrecht.
Mehr Informationen:
- Pressemitteilung der BlnBDI am 20. September 2022: https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2022/20220920-BlnBDI-PM-Bussgeld-DSB.pdf