Wenn aus diversen Gründen intern ein Datenschutzbeauftragter (DSB) benannt werden soll, muss vorab sorgfältig geprüft werden, ob derjenige wirklich fachlich und in seiner Person für das Amt geeignet ist. Ansonsten kann es teuer werden. Vor kurzem gab es ein Bußgeld in Höhe von 525.000 Euro durch den Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) gegen einen Berliner E-Commerce-Konzern. Der Grund hierfür war ein vorliegender Interessenskonflikt des betrieblichen DSB. Der Bußgeldbescheid ist noch nicht rechtskräftig.
Die Aufgabe eines betrieblichen Datenschutzbeauftragten ist es das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten zu beraten und deren Einhaltung zu kontrollieren. Um dies überhaupt zu können ist natürlich fachliches Wissen notwendig, was in einer spezifischen Ausbildung oder einem mehrtägigen Lehrgang anzueignen ist. Daher ist es häufig die kostengünstigere Wahl einen externen Datenschutzbeauftragten zu benennen.
Unabhängig davon ob interner oder externer Datenschutzbeauftragter sollte die Benennung immer gemäß Art. 37 Abs. 5 DSGVO auf Grundlage seiner beruflichen Qualifikation sowie insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis erfolgen. Zum anderen dürfen aber auch gemäß Art. 38 Abs. 6 S. 2 DSGVO lediglich die Personen das Amt des DSB ausüben, die keinem Interessenkonflikt durch andere Aufgaben unterliegen. Dies betrifft z.B. alle Mitarbeiter mit leitenden Funktionen und jene, die selbst in Entscheidungen über die Verarbeitung von personenbezogenen Daten involviert sind. Der Geschäftsführer, der Personalleiter, der Leiter der IT-Abteilung oder ein höherer Mitarbeiter aus der Marketingabteilung (Stichwort Cookies und Werbedienste) wären z.B. keine geeigneten Personen. Außerdem dürfen keine Personen das Amt des Datenschutzbeauftragten ausüben, die sich selbst überwachen müssten. Es muss immer sichergestellt sein, dass in allen Entscheidungen, Einschätzungen und Bewertungen Unabhängigkeit und Objektivität besteht.
Im vorliegenden Fall hatte das vom Bußgeld betroffene Unternehmen einen Datenschutzbeauftragten benannt, der gleichzeitig auch der Geschäftsführer zweier Dienstleistungsgesellschaften war, die im Auftrag des ersten Unternehmens personenbezogene Daten verarbeiteten. Prinzipiell sollte der DSB hier folglich die Beachtung des Datenschutzes in den Unternehmen überwachen, bei denen er selbst Geschäftsführer war, was natürlich einen erheblichen Interessenskonflikt darstellte. Die Datenschutzbehörde hatte darauf bereits einmal im Jahr 2021 hingewiesen und eine Verwarnung ausgesprochen. Da bei der erneuten Überprüfung im Jahr 2022 festgestellt wurde, dass sich an den Gegebenheiten nichts geändert hatte, wurde das Bußgeld durch den BInBDI ausgesprochen. Bei der Berechnung des Bußgeldes wurden der dreistellige Millionenumsatz des E-Commerce-Konzerns und die Tatsache, dass bereits eine Verwarnung ausgesprochen wurde, berücksichtigt. Zur Minderung des Bußgeldes hatben hingegen die gute Zusammenarbeit mit der Datenschutzbehörde und das sofortige Abstellen des Verstoßes im Verlauf des Bußgeldverfahrens beigetragen.
Quellenangabe:
- Artikel „Interessenkonflikt des DSB: Bußgeld durch BInBDI“, abgerufen am 25.10.2022 unter: https://www.dr-datenschutz.de/interessenkonflikt-des-dsb-bussgeld-durch-binbdi/