DSB: Benennung unwirksam wegen Interessenkollision

Die DS-GVO (Art. 38 Abs. 6 Satz 2) verbietet Interessenkonflikte des Datenschutzbeauftragten.

Ein Interessenkonflikt ergibt sich regelmäßig dann, wenn der Datenschutzbeauftragte im Rahmen seiner sonstigen Tätigkeit für die gleiche Organisation Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt und sich insofern selbst überwachen müsste. So kommen insbesondere der Geschäftsführer oder der IT-, Personal- oder Marketingleiter als Datenschutzbeauftragter nicht in Betracht. Ob ein „echter“ Interessenkonflikt i.S.v. Art. 38 Abs. 6 Satz 2 DS-GVO vorliegt, der die Amtsübernahme ausschließt, kann im Übrigen regelmäßig nur im konkreten Einzelfall entschieden werden.

Nach Art. 38 Abs. 6 DS-GVO ist es grundsätzlich möglich, dass der Datenschutzbeauftragte auch andere Aufgaben übernimmt. Dabei muss allerdings zwingend sichergestellt werden, dass es nicht zu Interessenkonflikten kommt. Interessenkonflikte sind immer dann anzunehmen, wenn der Datenschutzbeauftragte sich selbst (im Rahmen seiner anderweitigen Tätigkeit) kontrollieren muss, oder die Unabhängigkeit des Datenschutzbeauftragten gefährdet wäre.

Dass es sich hierbei um kein rein akademisches Problem handelt, sondern um eine praxisrelevante Problematik, musste auch eine Tochtergesellschaft eines Berliner E-Commerce-Konzerns machen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)verhängte im Jaher 2022 gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten.

Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte.
In diesem Fall erkannte die BlnBDI einen Interessenkonflikt. Der DSB war bei einer einer Tochtergesellschaft des Berliner E-Commerce-Konzerns benannt. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften waren ebenfalls Teil des Konzerns.

Die italienische Datenschutz-Ausichtsbehörde („Garante“) berichtet aktuell von einem vergleichbaren Fall einer Interessenkollision:
Die Garante hat sich gegen die Ernennung einer Person zum Datenschutzbeauftragten ausgesprochen, wenn diese Person gleichzeitig eine leitende Position in einem Unternehmen innehat, das für die Verarbeitung personenbezogener Daten im Auftrag der Einrichtung, für die sie als Datenschutzbeauftragter tätig ist (in diesem Fall eine Gemeinde), verantwortlich ist.
Ein Datenschutzbeauftragter eines Unternehmens darf also nicht gleichzeitig in leitender Position bei einem Auftragsverarbeiter des benennenden Unternehmens beschäftigt sein.
Dieser Konflikt können sich aus der Tatsache ergeb en, dass die Person eine Position innehat, die zu wichtigen Entscheidungen über die Datenverarbeitung innerhalb des Unternehmens beiträgt, das von der Gemeinde als Auftragsverarbeiter benannt wurde.

(Foto: bht2000 – stock.adobe.com)