525.000 Euro Bußgeld wegen Interessenkonflikt des internen Datenschutzbeauftragten

Inhalt

Die Berliner Beauftragte für Datenschutz und Informationssicherheit (BlnBDI) verhängte am 20. September 2022 ein Bußgeld in Höhe von 525.000 Euro gegen eine Tochtergesellschaft eines Berliner Handelskonzerns. Hintergrund des Bußgeldes war, dass der interne Datenschutzbeauftragte mit einer unabhängigen Kontrolle von Entscheidungen betraut war, die er aber in anderer Funktion selbst getroffen hatte.

Hintergrund des Bußgeldes

Im vorliegenden Fall war die Person Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag des Unternehmens personenbezogenen Daten verarbeiteten, für das die benannte Person gleichzeitig als betrieblicher Datenschutzbeauftragter tätig war. Die beiden Dienstleistungsgesellschaften agierten ebenfalls als Teil des Berliner Handelskonzerns.

Der betriebliche Datenschutzbeauftragte musste die Einhaltung des Datenschutzes durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die wiederum von ihm selbst in seiner Geschäftsführerfunktion geleitet wurden. Hierin sah die BlnBDI einen Interessenkonflikt, der die Neutralität eines Datenschutzbeauftragten torpediert, und somit auch einen Verstoß gegen Art. 38 Abs. 6 DSGVO. Die Berliner Aufsichtsbehörde erteilte im Jahr 2021 zunächst eine Verwarnung gegen das Unternehmen. Als bei einer erneuten Überprüfung im Jahr 2022 der geahndete Verstoß fortbestand, verhängte die BlnBDI das vorliegende Bußgeld.

Bei der Verhängung des Bußgeldes berücksichtigte die Aufsichtsbehörde den dreistelligen Millionenumsatz des Handelskonzerns, die relevante Rolle des Datenschutzbeauftragten im Unternehmen wie auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten, trotz voriger Verwarnung. Als mindernde Faktoren berücksichtigte die BlnBDI, dass das Unternehmen den Verstoß während des laufenden Bußgeldverfahrens abgestellte und umfangreich mit der Aufsichtsbehörde zusammenarbeitete.

Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!

Datenschutzrechtliche Einschätzung

Die Kernaufgaben eines Datenschutzbeauftragten liegen in der Beratung des Unternehmens im Hinblick auf den Datenschutz und die daraus für das Unternehmen resultierenden Pflichten wie auch die Kontrolle und Einhaltung der datenschutzrechtlichen Vorgaben. Aus diesem Grund ist es nach Art. 38 Abs. 6 DSGVO von größter Relevanz, dass ausschließlich Personen die Funktion des Datenschutzbeauftragten einnehmen, die in keinem Interessenkonflikt durch Ihre anderen Aufgaben stehen.

Ein derartiger Interessenkonflikt ist regelmäßig dann anzunehmen, wenn – wie auch im vorliegenden Fall – der betriebliche Datenschutzbeauftragte selbst die Verarbeitung personenbezogener Daten festlegt aber zeitgleich datenschutzrechtlich zu dieser Verarbeitung beraten soll. Aus diesem Grund darf diese Aufgabe nicht an Personen delegiert werden, die sich dadurch selbst überwachen. Eine solche Selbstkontrolle wiederspricht klar der Unabhängigkeit eines Datenschutzbeauftragten .

Tipp: In unserem Ratgeber lesen Sie, worauf es bei der Auswahl des Datenschutzbeauftragten ankommt.

Fazit

Vor allem dann, wenn eine Auftragsverarbeitung oder eine gemeinsame Verantwortlichkeit zwischen Konzerngesellschaften besteht, ist darauf zu achten, Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin zu überprüfen.

Durch die Bestellung eines externen Datenschutzbeauftragten umgehen Sie die Gefahr eines möglichen Interessenkonflikts und damit auch das einhergehende Bußgeldrisiko.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.