Ein betrieblicher Datenschutzbeauftragter hat die Aufgabe, das betreffende Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten zu beraten und die Einhaltung der Datenschutzvorschriften zu kontrollieren. Diese Funktion dürfen gemäß Art. 38 Abs. 6 Satz 2 Datenschutz Grundverordnung (DS-GVO) ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen. Art. 38 Abs. 6 DS-GVO sieht demnach vor, dass der Datenschutzbeauftrage seine Rolle frei von Interessenkonflikten ausüben können muss und daher nicht von Personen wahrgenommen werden sollte, die sich durch ihre Tätigkeit selbst überwachen würden. Beispielsweise sollte der Informationssicherheitsbeauftragte nicht gleichzeitig als Datenschutzbeauftragter agieren.
Solch ein Interessenkonflikt lag nach Auffassung des Berliner Beauftragten für Datenschutz und Informationssicherheit (BlnBDI) im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Berliner Aufsichtsbehörde erteilte daher im Jahr 2021 nach einer Untersuchung zunächst eine Verwarnung gegen das Unternehmen, da die betreffende Person gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war.
Der betriebliche Datenschutzbeauftragte hat somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwacht, die von ihm selbst als Geschäftsführer geleitet wurden. Diese Überschneidung der Interessen war offensichtlich und ein klarer Verstoß gegen Art. 38 Abs. 6 DS-GVO. Nachdem eine erneute Überprüfung in diesem Jahr ergab, dass der Verstoß trotz der Verwarnung weiterbestand, verhängte die BlnBDI nun ein Bußgeld von 525.000 EUR.
Bei der Bemessung des Bußgeldes wurden Faktoren wie, der Umsatz sowie die Zahl der Beschäftigten und Kunden des Unternehmens berücksichtigt. Zusätzlich hat das Unternehmen fast ein Jahr unter Vorsatz, trotz Verwarnung, den gleichen Datenschutzbeauftragten benannt. Zudem sollte die Höhe des Bußgeldes illustrieren, wie bedeutend die Rolle des Datenschutzbeauftragten im Unternehmen ist. Der Datenschutzbeauftragte soll eine unabhängige Instanz sein, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.
Um Datenschutzverstöße in Bezug auf Interessenskonflikte zu vermeiden, sollten im Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen geprüft werden. Dies gilt vor allem dann, wenn eine Auftragsverarbeitung oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen. Legitimis stellt mit jahrelanger Erfahrung den externen Datenschutzbeauftragten für seine Kunden. Frei von Interessenskonflikten und mit rechtlicher Expertise, technischem Know-How und persönlichem Einsatz.
Man sieht, Datenschutz bleibt spannend!
