23. November 2022 | Compliance/Recht

Interessenkonflikt Datenschutzbeauftragter: 525.000€ Strafe

 

Der Datenschutzbeauftragte im Unternehmen

Die Pflicht zur Bestellung eines Datenschutzbeauftragten trifft Unternehmen, die in bestimmten Bereichen angesiedelt sind, zum Beispiel Banken, Versicherungen, Kreditauskunfteien. Und natürlich Unternehmen, die von Berufs wegen Daten verarbeiten, wie jegliche IT-Dienstleister (Auftragsverarbeiter!), APP-Anbieter, Softwareanbieter. Darüber hinaus, auch Unternehmen, die sensible Daten verarbeiten, wie Gesundheitsdienstleister, Ärztezentren, Krankenhäuser, und etliche andere mehr. Freiwillig bestellen kann natürlich jedes Unternehmen einen oder eine. Dies wird auch immer populärer, einerseits aus Gründen der Rechtssicherheit, andererseits aus Gründen des Marketings („wir passen besonders gut auf Ihre Daten auf“).  Hat ein Unternehmen einen eigenen Datenschutzbeauftragten (freiwillig) bestellt, nimmt dieser dort auch eine wichtige Stellung ein: Er oder sie berät das Unternehmen hinsichtlich datenschutzrechtlicher Pflichten und stellt sicher, dass alle Datenschutzvorschriften eingehalten werden (das ominöse, mit Malware versehene Testmail an alle Mitarbeiter zur Schaffung von Awareness kommt von ihm! Oder ihr ;-)).

Auf Grund dieser wichtigen Rolle schreibt die DSGVO vor, dass diese Position nur Personen ausüben dürfen, die keinem Interessenkonflikt durch andere Aufgaben unterliegen (Art 38 Abs. 6 DSGVO).

Wer, wie, was, Konflikt?

Ein solcher Interessenkonflikt lag bei einem Datenschutzbeauftragten einer Tochtergesellschaft eines E-Commerce-Konzerns in Berlin vor. Der Mann war nämlich nicht nur Datenschutzbeauftragter des Unternehmens sondern freundlicherweise auch noch Geschäftsführer von zwei Gesellschaften, die im Auftrag des Unternehmens personenbezogene Daten verarbeiteten. Damit nicht genug, sind die beiden Gesellschaften auch noch Teil des Konzerns. Also alles unter einem Dach, kein Problem, oder?

Die Ansicht der Berliner Aufsichtsbehörde

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDl) sah das naturgemäß anders: „Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden“, so ein Sprecher des BlnBDl. So aber im vorliegenden Fall geschehen, da der Datenschutzbeauftragte des E-Commerce Unternehmens die Einhaltung des Datenschutzes nicht nur im Unternehmen, für das er bestellt war, überwachen musste, sondern eben auch im Rahmen der Auftragsverarbeitung für die beiden Dienstleistungsgesellschaften, die von ihm selbst als Geschäftsführer geleitet wurden. Laut BlnBDI und wohl auch für viele Leserinnen und Leser dieses Beitrags ein eindeutiger Interessenkonflikt!

Die Folge: Eine Verwarnung des BLNBDI im Jahr 2021 und da sich am Prozedere der Doppelfunktion im Unternehmen seitdem nichts geändert hatte – ein Bußgeld in Höhe von 525.000 Euro!

Unsere Praxistipps

  • Überprüfen Sie bei der Bestellung eines Datenschutzbeauftragten für Ihr Unternehmen, dass dieser weisungsfrei und nicht in einer Doppelfunktionsrolle tätig ist.
  • Kontaktieren Sie uns: Die Funktion als externer Datenschutzbeauftragter können wir vom Team MeineBerater gerne für Sie übernehmen. Frei von Interessenkonflikten und mit Herz, Hirn und Humor! 😉

 

 

 

Meine Berater
News abonnierenen

Weitere Informationen finden Sie in unserer Datenschutzerklärung.