Betriebliche Datenschutzbeauftragte haben eine verantwortungsvolle Aufgabe: Sie beraten nicht nur Ihr Unternehmen über alle datenschutzrechtlichen Pflichten. Sie kontrollieren auch, ob Datenschutzvorschriften regelkonform eingehalten werden. Für die zuverlässige Ausübung dieser Aufgabe sind spezielle Voraussetzungen festgelegt. Andernfalls gerät ein Datenschutzbeauftragter schnell in einen Interessenkonflikt, der den Bestimmungen der DSGVO entgegensteht. Eine solche Interessenkollision kann für Unternehmen sogar richtig teuer werden. Dies zeigt der aktuelle Fall eines Berliner Handelskonzerns. Hier wurde ein Bußgeld in Höhe von 525.000 Euro gegen einen betrieblichen Datenschutzbeauftragten verhängt. Lesen Sie, was es damit auf sich hat und inwiefern ein externer DSB einem Interessenkonflikt vorbeugen kann.
Jetzt externen Datenschutzbeauftragten miteinbeziehen
Das Bußgeld in Höhe von 525.000 Euro zeigt: Konflikte mit Datenschutzbeauftragten können auftreten und im schlimmsten Fall sogar gegen die Bestimmungen der DSGVO gehen. Wir beraten Unternehmen als externe Datenschutzbeauftragte. So sind Sie und Ihr Unternehmen auf der sicheren Seite.
Wann besteht ein Interessenkonflikt bei Datenschutzbeauftragten
Ein Datenschutzbeauftragter sollte einen neutralen Blick auf alle datenschutzrechtlichen Belange des Unternehmens haben. Dies setzt voraus, dass die betreffende Person keinerlei Einfluss darauf hat, welche Zwecke die Verarbeitung personenbezogener Daten im Unternehmen verfolgt. Auch die dabei eingesetzten Mittel dürfen nicht im Aufgaben- und Verantwortungsbereich des DSB liegen.
Es gibt drei verschiedene Arten von Interessenkonflikten, die einem Datenschutzbeauftragten die Ausübung seiner Tätigkeit unmöglich machen:
- Wenn etwa datenschutzfremde Interessen einen Einfluss auf die Beratung des Unternehmens haben.
- Wenn die gewissenhafte und lückenlose Kontrolle und Überwachung des Datenschutzes durch persönliche Interessen in Gefahr geraten.
- Wenn die Neutralität bei der Zusammenarbeit mit Aufsichtsbehörden nicht gewährleistet ist. Denn die sachgemäße Darstellung datenschutzrechtlicher Belange kann nur durch einen neutralen Datenschutzbeauftragten sichergestellt werden.
Personen auf oberer und zweiter Führungsebene kommen demzufolge nicht in Betracht für die Tätigkeit eines Datenschutzbeauftragten. Mitarbeiter mit leitenden Funktionen treffen selbst maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten in ihrem Unternehmen. In der Rolle des Datenschutzbeauftragten würden sie sich also selbst überwachen. Interessenkonflikte bei Datenschutzbeauftragten kommen aber auch häufig bei Betriebsratsmitgliedern vor. Hier kollidieren ebenfalls verschiedene Verantwortungsbereiche im Umgang mit personenbezogenen Daten.
Kommentar von Prof. Dr. Boris Paal
„Zur Vermeidung von Datenschutzverstößen gilt es, im Sinne einer datenschutzrechtlichen Compliance etwaige Doppelrollen von Datenschutzbeauftragten auf das Bestehen von Interessenkonflikten zu prüfen. Ob ein „echter“ Interessenkonflikt im Sinne der DS-GVO vorliegt, erfordert eine Betrachtung des konkreten Einzelfalles. Allgemein können Interessenkonflikte durch eine Trennung von operativen und überwachenden Tätigkeiten vermieden werden.“
Interessenkonflikte werden ebenfalls von Aufsichtsbehörden überwacht
Ein betrieblicher Datenschutzbeauftragter gerät schnell in einen Interessenkonflikt. Gerade KMU bringt das in eine missliche Lage. Kleinere Unternehmen stehen nämlich schnell vor dem Problem, dass unterhalb der Führungsebene keine Mitarbeiter mehr zur Verfügung stehen, die die berufliche Qualifikation und das Fachwissen für die Ausübung der Tätigkeit besitzen. Und doch ist die konsequente Einhaltung der Vorschriften unbedingt erforderlich. Datenschutzbeauftragte arbeiten nicht nur eng mit den Aufsichtsbehörden zusammen. Sie werden auch durch diese kontrolliert. Aufsichtsbehörden schätzen verschiedene Fälle zwar individuell ein. In den übergeordneten Punkten sind sie sich jedoch einig. Demnach kann ein Mitglied der Geschäftsführung nicht gleichzeitig die Aufgabe des DSB erfüllen, ohne eine Interessenkollision zu riskieren. Die Brisanz wird klar durch ein aktuelles Beispiel: Trotz eingehender Warnungen der Aufsichtsbehörden reagierte ein Berliner Unternehmen nicht auf den Vorwurf einer Interessenkollision und sieht sich heute mit hohen Strafzahlungen konfrontiert.
Dieses Bußgeld sorgt für Aufsehen
Nach Ansicht der Aufsichtsbehörden handelt es sich in diesem Fall um einen klassischen Interessenkonflikt: Die Tochtergesellschaft eines Berliner E-Commerce-Konzerns bestellte einen Datenschutzbeauftragten, der zugleich Geschäftsführer von zwei Dienstleistungsgesellschaften des Unternehmens war. Diese sind ebenfalls Teil des Konzerns, übernehmen den Kundenservice und führen Bestellungen aus. Die Gesellschaften verarbeiteten also im großen Stil personenbezogene Daten und der DSB sollte die Praktiken von Unternehmen überwachen, an deren Geschäftsführung er selbst beteiligt war. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) sah hier einen eindeutigen Fall einer Interessenkollision und damit einen Verstoß gegen die DSGVO. Die Aufsichtsbehörde erteilte im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen. Nachdem der Verstoß jedoch nicht behoben wurde, verhängte sie ein Bußgeld in Höhe von 525.000 Euro, das Stand heute noch nicht rechtskräftig ist. Das Bußgeld bemisst sich am dreistelligen Millionenumsatz des Unternehmens im Vorjahr und berücksichtigt dabei unter anderem auch die bedeutende Rolle des DSB in Anbetracht der hohen Zahl an Beschäftigten und Kunden.
Die verantwortungsvolle Umsetzung von Datenschutz und DSGVO kann nur durch einen Datenschutzbeauftragten erfolgen, der frei von Interessenkonflikten ist. Neutralität ist hier ein absolutes Muss. Sie schließt aus, dass der DSB in anderer Tätigkeit für sein Unternehmen Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Er würde sich damit selbst überwachen. Gerade KMU stellt dies vor Herausforderungen. Hier stehen oft nicht genügend Mitarbeiter zur Verfügung, die allen Anforderungen entsprechen. Die Bestellung eines externen Datenschutzbeauftragten wirkt dem Risiko eines Interessenkonfliktes entgegen. Er sollte weder mit dem Unternehmen in Verbindung stehen noch in anderer Funktion eine Interessenkollision provozieren. Unser Team aus Datenschutz-Experten berät Sie gerne in allen datenschutzrechtlichen Belangen. Sprechen Sie uns einfach an und vereinbaren Sie direkt einen Termin!
Autor: Team datenschutzexperte.de
Artikel veröffentlicht am 04.11.2022