525.000 EUR Bußgeld wegen Interessenkollision des DSB

DSB Interessenkollision

Die DS-GVO (Art. 38 Abs. 6 Satz 2) verbietet Interessenkonflikte des Datenschutzbeauftragten.

Ein Interessenkonflikt ergibt sich regelmäßig dann, wenn der Datenschutzbeauftragte im Rahmen seiner sonstigen Tätigkeit für die gleiche Organisation Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt und sich insofern selbst überwachen müsste. So kommen insbesondere der Geschäftsführer oder der IT-, Personal- oder Marketingleiter als Datenschutzbeauftragter nicht in Betracht. Ob ein „echter“ Interessenkonflikt i.S.v. Art. 38 Abs. 6 Satz 2 DS-GVO vorliegt, der die Amtsübernahme ausschließt, kann im Übrigen regelmäßig nur im konkreten Einzelfall entschieden werden.
Je nach dem in welchem DS-GVO-Kommentar eine Antwort auf die Frage gesucht wird, welche Funktionen sich nicht mit dem Amt des Datenschutzbeauftragten in Personalunion vertragen, werden die aufgezählten Funktionen, die zu einer Interessenkollision führen sollen, unterschiedlich sein.

Ist eine Interessenkollision anzunehmen, wenn der/die DSB zugleich eine Leitungsfunktion innehat (Personalabteilung, IT, Marketing, Vertrieb)? Verträgt sich das Amt mit der Tätigkeit des IT-Sicherheitsbeauftragten oder des Compliance-Officers? Auch Aufsichtsbehörden haben hier zumindest in Nuancen unterschiedliche Auffassungen.
Wenn jedoch der DSB zugleich der Geschäftsführer ist oder ein Mitglied der Geschäftsleitung, zugleich der Inhaber ist oder zum Vorstand angehört, dürften die Meinungen in der (Kommentar-)Literatur und auch in den Reihen der Aufsichtsbehörden geschlossen dahin tendieren, dass diese Tätigkeiten kaum ohne eine ernst zu nehmende Interessenkollision betrieben werden können.

Diese Erfahrung musste auch eine Tochtergesellschaft eines Berliner E-Commerce-Konzerns machen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte.
In diesem Fall erkannte die BlnBDI einen Interessenkonflikt. Der DSB war bei einer einer Tochtergesellschaft des Berliner E-Commerce-Konzerns benannt. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften waren ebenfalls Teil des Konzerns.

Die Aufsichtsbehörde ging daher davon aus, dass der Datenschutzbeauftragte die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen musste, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung.
Daraufhin erhielt die verantwortliche Stelle wohl eine Verwarnung nach Art. 58 Abs. 2 lit. b) DS-GVO, jedoch ohne, dass sie darauf angemessen reagierte. Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI das Bußgeld, das noch nicht rechtskräftig ist.

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)


(Foto: carballo – stock.adobe.com)


Letztes Update:20.09.22

  • Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Strategischer Umgang mit Bußgeldbescheiden und Verbandssanktionengesetz

    Seminar

    940.10 € Mehr erfahren
  • Online-Kompaktkurs: Der Überwachungsauftrag des DSB

    Online-Kompaktkurs: Der Überwachungsauftrag des DSB

    Online-Kompaktkurs

    138.04 € Mehr erfahren
  • Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO

    Die Überwachungsaufgabe des Datenschutzbeauftragten nach DS-GVO

    Buch

    69.99 € Mehr erfahren
  • Neue SCCerforderlich

    Frist für Umstellung auf neue Standarddatenschutzklauseln endet bald

    Der europäische Gesetzgeber hat vor dem Hintergrund der Ausweitung des internationalen Handels die Übermittlung personenbezogener Daten an Datenempfänger in Drittländern unter besondere datenschutzrechtliche Anforderungen gestellt, um Rechte und Freiheiten von Betroffenen zu schützen. Ziel ist es, das durch die Datenschutz-Grundverordnung (DS-GVO) unionsweit gewährleistete Schutzniveau für natürliche Personen nicht zu untergraben, wenn personenbezogene Daten in ein

    Mehr erfahren
  • Kündigung auf Grund der Verletzung einer „Clean-Desk-Policy“

    Die DS-GVO fordert von Verantwortlichen und Auftragsverarbeitern in Art. 32 DS-GVO ein Schutzniveau, das dem Risiko für die Rechte und Freiheiten natürlicher Personen angemessenen ist. Dabei sollen zur Gewährleistung der Sicherheit der insbesondere die Risiken berücksichtigt werden, die aus einer Verletzung der Verfügbarkeit, Vertraulichkeit und Integrität der personenbezogenen Daten, der an deren Verarbeitung beteiligten IT-Systeme,

    Mehr erfahren
  • Identitätsdiebstahl Handesregister

    Handelsregister mit Datenschutzmängeln

    Seit dem 1. August 2022 sind über das Portal „Handelsregister.de“ sämtliche Einträge in den Handels-, Genossenschafts-, Partnerschafts- und Vereinsregistern ohne weitere Einschränkungen kostenfrei abrufbar. Das hat auf dem ersten Blick Vorteile in punkto Transparenz. Das Handelsregister handelt es sich um die zentrale Registerplattform des Bundes für Firmen in Deutschland. Der Umstand, dass die Abrufe aus

    Mehr erfahren