2. DSB: Benennung unwirksam wegen...
DataAgenda

DSB: Benennung unwirksam wegen Interessenkollision

Interessenkollision

Die DS-GVO (Art. 38 Abs. 6 Satz 2) verbietet Interessenkonflikte des Datenschutzbeauftragten.

Ein Interessenkonflikt ergibt sich regelmäßig dann, wenn der Datenschutzbeauftragte im Rahmen seiner sonstigen Tätigkeit für die gleiche Organisation Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt und sich insofern selbst überwachen müsste. So kommen insbesondere der Geschäftsführer oder der IT-, Personal- oder Marketingleiter als Datenschutzbeauftragter nicht in Betracht. Ob ein „echter“ Interessenkonflikt i.S.v. Art. 38 Abs. 6 Satz 2 DS-GVO vorliegt, der die Amtsübernahme ausschließt, kann im Übrigen regelmäßig nur im konkreten Einzelfall entschieden werden.

Nach Art. 38 Abs. 6 DS-GVO ist es grundsätzlich möglich, dass der Datenschutzbeauftragte auch andere Aufgaben übernimmt. Dabei muss allerdings zwingend sichergestellt werden, dass es nicht zu Interessenkonflikten kommt. Interessenkonflikte sind immer dann anzunehmen, wenn der Datenschutzbeauftragte sich selbst (im Rahmen seiner anderweitigen Tätigkeit) kontrollieren muss, oder die Unabhängigkeit des Datenschutzbeauftragten gefährdet wäre.

Dass es sich hierbei um kein rein akademisches Problem handelt, sondern um eine praxisrelevante Problematik, musste auch eine Tochtergesellschaft eines Berliner E-Commerce-Konzerns machen. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)verhängte im Jaher 2022 gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten.

Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte.
In diesem Fall erkannte die BlnBDI einen Interessenkonflikt. Der DSB war bei einer einer Tochtergesellschaft des Berliner E-Commerce-Konzerns benannt. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften waren ebenfalls Teil des Konzerns.

Die italienische Datenschutz-Ausichtsbehörde („Garante“) berichtet aktuell von einem vergleichbaren Fall einer Interessenkollision:
Die Garante hat sich gegen die Ernennung einer Person zum Datenschutzbeauftragten ausgesprochen, wenn diese Person gleichzeitig eine leitende Position in einem Unternehmen innehat, das für die Verarbeitung personenbezogener Daten im Auftrag der Einrichtung, für die sie als Datenschutzbeauftragter tätig ist (in diesem Fall eine Gemeinde), verantwortlich ist.
Ein Datenschutzbeauftragter eines Unternehmens darf also nicht gleichzeitig in leitender Position bei einem Auftragsverarbeiter des benennenden Unternehmens beschäftigt sein.
Dieser Konflikt können sich aus der Tatsache ergeb en, dass die Person eine Position innehat, die zu wichtigen Entscheidungen über die Datenverarbeitung innerhalb des Unternehmens beiträgt, das von der Gemeinde als Auftragsverarbeiter benannt wurde.

(Foto: bht2000 – stock.adobe.com)




Letztes Update:05.11.23

Verwandte Produkte

  • Zertifizierung zum Betrieblichen Datenschutzbeauftragten (GDDcert. EU)

    Zertifizierung zum Betrieblichen Datenschutzbeauftragten (GDDcert. EU)

    Seminar

    13.12.2023, 09:00 Uhr | Köln

    27.06.2024, 08:00 Uhr | Köln

    1.249,50 € Mehr erfahren
  • Ausbildung zum/zur Datenschutzkoordinator/in

    Ausbildung zum/zur Datenschutzkoordinator/in

    Seminar

    06.03.2024, 09:00 Uhr | Köln

    28.05.2024, 08:00 Uhr | online

    18.09.2024, 08:00 Uhr | Mannheim

    1.243,55 € Mehr erfahren

Das könnte Sie auch interessieren

  • Wissenschaftspreis für Datenschutz und Datensicherheit

    GDD-Wissenschaftspreise für den akademischen Nachwuchs 2023

    Anlässlich der 47. Datenschutzfachtagung (DAFTA) wurden die Wissenschaftspreise der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) verliehen. Jedes Jahr vergibt der wissenschaftliche Beirat der GDD unter Vorsitz von Prof. Dr. Tobias Keber den GDD-Wissenschaftspreis als Würdigung für herausragende wissenschaftliche Arbeiten. Der Preis ist auf 5.000 € dotiert und geht an Nachwuchswissenschaftler aller Disziplinen, die sich

    Mehr erfahren
  • chnatGPT_Questions

    KI-Verordnung: Zwischen Selbstverpflichtung und klaren Verantwortlichkeiten

    Seit April 2021 wird in Brüssel ein Rechtsrahmen für KI, der Artificial Intelligence Act (AI Act), verhandelt. Dieser soll Regeln und Qualitätsvorgaben für Betreiber von KI-Systemen definieren. Der Rat hatte sich bereits am 6. Dezember 2022 auf eine Position zum AI Act geeinigt. Das Europäische Parlament folgte am 14. Juni 2023. Im Rahmen der Trilog-Verhandlungen

    Mehr erfahren
  • KI-Entwicklung

    Leitfaden: Entwicklung von sicheren KI-Systemen

    KI-Systeme finden vielfältige Anwendungen, darunter die Prognose von Klima- und Finanzmärkten, automatisierte medizinische Diagnosen sowie (teil-) autonome Transportmittel. Um sicherzustellen, dass diese Systeme den Anforderungen der Informationssicherheit gerecht werden, ist nicht nur eine sichere Planung und Entwicklung, sondern auch eine sichere Implementierung und Betrieb erforderlich. In Zusammenarbeit mit 23 internationalen Cybersicherheitsbehörden aus 18 Ländern hat

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.