1. Home
  2. DSB: Benennung unwirksam wegen...
DataAgenda

DSB: Benennung unwirksam wegen Interessenkollision

Interessenkollision

Die DS-GVO (Art. 38 Abs. 6 Satz 2) verbietet Interessenkonflikte des Datenschutzbeauftragten.

Ein Interessenkonflikt ergibt sich regelmäßig dann, wenn der Datenschutzbeauftragte im Rahmen seiner sonstigen Tätigkeit für die gleiche Organisation Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt und sich insofern selbst überwachen müsste. So kommen insbesondere der Geschäftsführer oder der IT-, Personal- oder Marketingleiter als Datenschutzbeauftragter nicht in Betracht. Ob ein „echter“ Interessenkonflikt i.S.v. Art. 38 Abs. 6 Satz 2 DS-GVO vorliegt, der die Amtsübernahme ausschließt, kann im Übrigen regelmäßig nur im konkreten Einzelfall entschieden werden.

Nach Art. 38 Abs. 6 DS-GVO ist es grundsätzlich möglich, dass der Datenschutzbeauftragte auch andere Aufgaben übernimmt. Dabei muss allerdings zwingend sichergestellt werden, dass es nicht zu Interessenkonflikten kommt. Interessenkonflikte sind immer dann anzunehmen, wenn der Datenschutzbeauftragte sich selbst (im Rahmen seiner anderweitigen Tätigkeit) kontrollieren muss, oder die Unabhängigkeit des Datenschutzbeauftragten gefährdet wäre.

Dass es sich hierbei um kein rein akademisches Problem handelt, sondern um eine praxisrelevante Problematik, musste auch eine Tochtergesellschaft eines Berliner E-Commerce-Konzerns machen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)verhängte im Jaher 2022 gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten.

Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte.
In diesem Fall erkannte die BlnBDI einen Interessenkonflikt. Der DSB war bei einer einer Tochtergesellschaft des Berliner E-Commerce-Konzerns benannt. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften waren ebenfalls Teil des Konzerns.

Die italienische Datenschutz-Ausichtsbehörde („Garante“) berichtet aktuell von einem vergleichbaren Fall einer Interessenkollision:
Die Garante hat sich gegen die Ernennung einer Person zum Datenschutzbeauftragten ausgesprochen, wenn diese Person gleichzeitig eine leitende Position in einem Unternehmen innehat, das für die Verarbeitung personenbezogener Daten im Auftrag der Einrichtung, für die sie als Datenschutzbeauftragter tätig ist (in diesem Fall eine Gemeinde), verantwortlich ist.
Ein Datenschutzbeauftragter eines Unternehmens darf also nicht gleichzeitig in leitender Position bei einem Auftragsverarbeiter des benennenden Unternehmens beschäftigt sein.
Dieser Konflikt können sich aus der Tatsache ergeb en, dass die Person eine Position innehat, die zu wichtigen Entscheidungen über die Datenverarbeitung innerhalb des Unternehmens beiträgt, das von der Gemeinde als Auftragsverarbeiter benannt wurde.

(Foto: bht2000 – stock.adobe.com)




Letztes Update:05.11.23

Verwandte Produkte

  • Zertifizierung zum Betrieblichen Datenschutzbeauftragten (GDDcert. EU)

    Zertifizierung zum Betrieblichen Datenschutzbeauftragten (GDDcert. EU)

    Seminar

    1.249,50 € Mehr erfahren
  • Ausbildung zum/zur Datenschutzkoordinator/in

    Ausbildung zum/zur Datenschutzkoordinator/in

    Seminar

    1.243,55 € Mehr erfahren

Das könnte Sie auch interessieren

  • Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Webinar Ver­ar­bei­tungs­ver­zeich­nis soft­ware­ge­stützt er­stel­len, do­ku­men­tie­ren, pfle­gen und ar­chi­vie­ren

    Mit dem webbasierten Management-System DataAgenda Datenschutz Manager können Sie alle Maßnahmen zum Datenschutz erfassen, verwalten und dokumentieren (VVT, DSFA etc.) und so Ihre Rechenschaftspflicht gemäß DS-GVO erfüllen. Der Referent zeigt, wie Sie mit einem Verzeichnis der Verarbeitungstätigkeiten (VVT) gemäß Art. 30 DS-GVO einen zentralen Baustein der Datenschutzdokumentation erstellen. Sie erfahren, wie der DataAgenda Datenschutz Manager

    Mehr erfahren
  • NIs-2 und Geschäftsführerschulung

    BSI veröffentlicht Handreichung zur NIS-2-Geschäftsleitungsschulung

    Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat eine neue Handreichung zur Geschäftsleitungsschulung im Rahmen der NIS-2-Umsetzung veröffentlicht. Die Publikation richtet sich an Führungsebenen von Unternehmen und Einrichtungen, die künftig unter die NIS-2-Regulierung fallen – also als „wichtige“ oder „besonders wichtige Einrichtungen“ gelten. Ziel ist es, Geschäftsleitungen auf ihre neuen Pflichten im Bereich Cybersicherheit

    Mehr erfahren
  • Refurbished Notebook und Datenpanne

    Refurbished Notebook mit ungelöschten Daten – wer ist verantwortlich?

    Der Erwerb gebrauchter oder „refurbished“ IT-Geräte wirft nicht nur technische, sondern auch datenschutzrechtliche Fragen auf. Besonders heikel wird es, wenn auf einem erworbenen Notebook noch personenbezogene Daten des Vorbesitzers vorzufinden sind. Doch wer trägt in diesem Fall die Verantwortung nach der DS-GVO? Verantwortlichenbegriff nach Art. 4 Nr. 7 DS-GVO Nach Art. 4 Nr. 7 DS-GVO

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.  

WordPress Cookie Hinweis von Real Cookie Banner