525.000 EUR Bußgeld wegen Interessenkollision des DSB

Die DS-GVO (Art. 38 Abs. 6 Satz 2) verbietet Interessenkonflikte des Datenschutzbeauftragten.

Ein Interessenkonflikt ergibt sich regelmäßig dann, wenn der Datenschutzbeauftragte im Rahmen seiner sonstigen Tätigkeit für die gleiche Organisation Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt und sich insofern selbst überwachen müsste. So kommen insbesondere der Geschäftsführer oder der IT-, Personal- oder Marketingleiter als Datenschutzbeauftragter nicht in Betracht. Ob ein „echter“ Interessenkonflikt i.S.v. Art. 38 Abs. 6 Satz 2 DS-GVO vorliegt, der die Amtsübernahme ausschließt, kann im Übrigen regelmäßig nur im konkreten Einzelfall entschieden werden.
Je nach dem in welchem DS-GVO-Kommentar eine Antwort auf die Frage gesucht wird, welche Funktionen sich nicht mit dem Amt des Datenschutzbeauftragten in Personalunion vertragen, werden die aufgezählten Funktionen, die zu einer Interessenkollision führen sollen, unterschiedlich sein.

Ist eine Interessenkollision anzunehmen, wenn der/die DSB zugleich eine Leitungsfunktion innehat (Personalabteilung, IT, Marketing, Vertrieb)? Verträgt sich das Amt mit der Tätigkeit des IT-Sicherheitsbeauftragten oder des Compliance-Officers? Auch Aufsichtsbehörden haben hier zumindest in Nuancen unterschiedliche Auffassungen.
Wenn jedoch der DSB zugleich der Geschäftsführer ist oder ein Mitglied der Geschäftsleitung, zugleich der Inhaber ist oder zum Vorstand angehört, dürften die Meinungen in der (Kommentar-)Literatur und auch in den Reihen der Aufsichtsbehörden geschlossen dahin tendieren, dass diese Tätigkeiten kaum ohne eine ernst zu nehmende Interessenkollision betrieben werden können.

Diese Erfahrung musste auch eine Tochtergesellschaft eines Berliner E-Commerce-Konzerns machen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte.
In diesem Fall erkannte die BlnBDI einen Interessenkonflikt. Der DSB war bei einer einer Tochtergesellschaft des Berliner E-Commerce-Konzerns benannt. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften waren ebenfalls Teil des Konzerns.

Die Aufsichtsbehörde ging daher davon aus, dass der Datenschutzbeauftragte die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen musste, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung.
Daraufhin erhielt die verantwortliche Stelle wohl eine Verwarnung nach Art. 58 Abs. 2 lit. b) DS-GVO, jedoch ohne, dass sie darauf angemessen reagierte. Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)


(Foto: carballo – stock.adobe.com)