DSB: Benennung unwirksam wegen Interessenkollision

Interessenkollision

Die DS-GVO (Art. 38 Abs. 6 Satz 2) verbietet Interessenkonflikte des Datenschutzbeauftragten.

Ein Interessenkonflikt ergibt sich regelmäßig dann, wenn der Datenschutzbeauftragte im Rahmen seiner sonstigen Tätigkeit für die gleiche Organisation Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt und sich insofern selbst überwachen müsste. So kommen insbesondere der Geschäftsführer oder der IT-, Personal- oder Marketingleiter als Datenschutzbeauftragter nicht in Betracht. Ob ein „echter“ Interessenkonflikt i.S.v. Art. 38 Abs. 6 Satz 2 DS-GVO vorliegt, der die Amtsübernahme ausschließt, kann im Übrigen regelmäßig nur im konkreten Einzelfall entschieden werden.

Nach Art. 38 Abs. 6 DS-GVO ist es grundsätzlich möglich, dass der Datenschutzbeauftragte auch andere Aufgaben übernimmt. Dabei muss allerdings zwingend sichergestellt werden, dass es nicht zu Interessenkonflikten kommt. Interessenkonflikte sind immer dann anzunehmen, wenn der Datenschutzbeauftragte sich selbst (im Rahmen seiner anderweitigen Tätigkeit) kontrollieren muss, oder die Unabhängigkeit des Datenschutzbeauftragten gefährdet wäre.

Dass es sich hierbei um kein rein akademisches Problem handelt, sondern um eine praxisrelevante Problematik, musste auch eine Tochtergesellschaft eines Berliner E-Commerce-Konzerns machen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)verhängte im Jaher 2022 gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten.

Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte.
In diesem Fall erkannte die BlnBDI einen Interessenkonflikt. Der DSB war bei einer einer Tochtergesellschaft des Berliner E-Commerce-Konzerns benannt. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften waren ebenfalls Teil des Konzerns.

Die italienische Datenschutz-Ausichtsbehörde („Garante“) berichtet aktuell von einem vergleichbaren Fall einer Interessenkollision:
Die Garante hat sich gegen die Ernennung einer Person zum Datenschutzbeauftragten ausgesprochen, wenn diese Person gleichzeitig eine leitende Position in einem Unternehmen innehat, das für die Verarbeitung personenbezogener Daten im Auftrag der Einrichtung, für die sie als Datenschutzbeauftragter tätig ist (in diesem Fall eine Gemeinde), verantwortlich ist.
Ein Datenschutzbeauftragter eines Unternehmens darf also nicht gleichzeitig in leitender Position bei einem Auftragsverarbeiter des benennenden Unternehmens beschäftigt sein.
Dieser Konflikt können sich aus der Tatsache ergeb en, dass die Person eine Position innehat, die zu wichtigen Entscheidungen über die Datenverarbeitung innerhalb des Unternehmens beiträgt, das von der Gemeinde als Auftragsverarbeiter benannt wurde.

(Foto: bht2000 – stock.adobe.com)




Letztes Update:05.11.23

  • Fernmeldegeheimnis

    Kein Fernmeldegeheimnis (mehr) bei privater Nutzung von E-Mail am Arbeitsplatz

    Es ist durchaus anzunehmen, dass viele Verantwortliche und Datenschutzinteressierte die Änderungen der rechtlichen Rahmenbedingungen im Zusammenhang mit der privaten Nutzung von E-Mail und Internet am Arbeitsplatz noch nicht verinnerlicht haben.Daher ist es sicher hilfreich, dass auch Datenschutz-Aufsichtsbehörden (Ziffer 12.2 , 29. Tätigkeitsbericht LDI NRW) auf diese (neuen) Rahmenbedingungen hinweisen. Mit dem Inkrafttreten des Telekommunikation-Telemedien-Datenschutz-Gesetzes (TTDSG)

    Mehr erfahren
  • Krebsvorsorge Meldedaten

    Übermittlung von Meldedaten für Krebsfrüherkennung ist rechtens

    Vielfach wird das Thema Datenschutz (in der Regel zu Unrecht) mit der Verhinderung oder der Erschwerung von Prozessen, Projekten oder der Digitalisierung in Verbindung gebracht.Die Frage, ob die Nutzung von Einwohnermeldedaten für den Versand von Einladungen zur Teilnahme am Mammographie-Screening zulässig ist, ist ein gutes Beispiel dafür, dass der Gesetzgeber einige Fälle von Datenübermittlungen sogar

    Mehr erfahren
  • bDSB Kontrolle

    BfDI: Kontrolle zur Organisation und der Stellung des behördlichen Datenschutzbeauftragten

    Im Rahmen seiner Zuständigkeit kann der BfDI Beratungs- und Kontrollbesuche bei den unter seiner Aufsicht stehenden Verantwortlichen durchführen.Im Dezember 2023 wurden in diesem Zusammenhang zahlreiche Kontrollen nach den Art. 55 Abs. 1, 57 Abs. 1 lit. a) sowie 58 Abs. 1 lit. b) DS-GVO und den §§ 9 Abs. 1 Satz 1, 14 Abs. 1

    Mehr erfahren