Viele Unternehmen sind gesetzlich dazu verpflichtet einen Datenschutzbeauftragten zu benennen. Dabei sollten einige wichtige Dinge Berücksichtigung finden. Besonders, dass kein Interessenskonflikt vorliegen darf, ansonsten könnte es teuer werden.
Interne oder externe Datenschutzbeauftragte
Oftmals entscheiden sich Unternehmen für eine interne Benennung des Datenschutzbeauftragten. Das bedeutet, dass eine bereits im Unternehmen beschäftigte Person sich ergänzend auch noch um den Datenschutz kümmert.
Eine externe Benennung liegt wiederum vor, wenn ein Unternehmen sich eines Dienstleisters bedient, der dann als Datenschutzbeauftragter fungiert.
Wann liegt ein Interessenskonflikt vor?
In Art. 38 Abs. 6 S. 2 DSGVO wird explizit vorgeschrieben, dass der Datenschutzbeauftragte bei der Ausübung seiner Tätigkeit keinen Interessenskonflikt haben darf. Ein solcher kann bei einer internen also auch externen Benennung vorliegen. Häufig zeichnet sich ein solcher Konflikt dadurch aus, wenn der Datenschutzbeauftragte sich selbst überwachen muss. Dies kann passieren, wenn er innerhalb des Unternehmens eine weitere Rolle wahrnimmt, in welcher er auch über die Zwecke und Mittel der Datenverarbeitung entscheidet. Offensichtlich ist es demnach, dass z.B. die Geschäftsführung oder in den meisten Fällen auch die IT-, Personal- und Marketingleitung nicht gleichzeitig auch Datenschutzbeauftragte sein können.
Doch auch externe Datenschutzbeauftragte können einen Interessenskonflikt vorweisen. Dieser kann bspw. vorliegen, wenn der Dienstleister noch weitere Auftragsverhältnisse mit dem Auftraggeber pflegt, die die Verarbeitung von personenbezogenen Daten beinhalten. Ebenso kann es in bestimmten Fällen problematisch sein, wenn er für andere Auftraggeber als Datenschutzbeauftragter tätig ist, oder für diese andere Tätigkeiten wahrnimmt.
Es kann somit etliche Fälle von rechtswidrigen Interessenskonflikten geben. Welche weiteren Funktionen sich nicht mit der Tätigkeit als Datenschutzbeauftragter vertragen sind allerdings nicht abschließend definierbar. Auch die Aufsichtsbehörden haben teilweise unterschiedliche Ansichten diesbezüglich (Baden-Würtemberg, Bayern). Wann ein konkreter Interessenskonflikt vorliegt, wird somit häufig im Einzelfall entschieden werden müssen.
Grundsätzlich können allerdings drei wesentliche Aspekte maßgeblich sein, um einen Interessenkonflikt zu identifizieren:
- Bei der Unterrichtung und Beratung bzgl. Datenschutz muss Neutralität gewährleistet werden können. Konkurrierende Datenschutzinteressen oder datenschutzfremde Aspekte dürfen keinen Einfluss darauf haben.
- Bei der Überwachung des Datenschutzes darf kein Anreiz bestehen an bestimmten Stellen weniger genau hinzusehen.
- Bei der Zusammenarbeit mit Aufsichtsbehörden bedarf es einer neutralen Darstellung von relevanten Sachverhalten.
Hohe Bußgelder möglich
Klar ist mittlerweile, dass das Ignorieren eines vorliegenden Interessenskonflikts teuer werden kann. So hat die Berliner Beauftragte für Datenschutz und Informationssicherheit (BlnBDI) vor Kurzem ein empfindliches Bußgeld in Höhe von 525.000 Euro verhängt. Grund dafür war, dass eine Tochtergesellschaft eines Berliner E-Commerce-Konzerns einen Datenschutzbeauftragten benannt hat, der seine eigenen Entscheidungen aus anderer Funktion unabhängig kontrollieren sollte.
Der Interessenskonflikt bestand laut BlnBDI darin, dass die Person, die bei der Tochtergesellschaft des Berliner E-Commerce-Konzerns als Datenschutzbeauftragter benannt wurde, gleichzeitig aber auch Geschäftsführer von zwei Dienstleistungsgesellschaften war, die im Auftrag der Tochtergesellschaft personenbezogene Daten verarbeitete. Hinzu kommt, dass die Dienstleistungsgesellschaften auch Teil des selben Konzerns waren. Laut Aufsichtsbehörde wäre eine Überwachung der Datenverarbeitung, die durch die Dienstleistungsgesellschaften vorgenommen wird, nicht objektiv möglich, wenn der Geschäftsführer dieser Gesellschaften der Datenschutzbeauftragte des Auftraggebers ist.
Die BlnBDI stellte aufgrund dessen eine Verwarnung aus, auf welche das Unternehmen scheinbar nicht angemessen reagierte. Daraufhin verhängte die Behörde das Bußgeld, welches allerdings noch nicht rechtskräftig ist. Nichtsdestotrotz verdeutlicht dieser Vorfall, wie teuer ein Interessenskonflikt bei der Bestellung eines Datenschutzbeauftragten werden kann.
Du interessierst dich für datenschutzrechtliche Themen? Dann schau doch bei unseren anderen Beiträge vorbei. Hier haben wir bspw. einen Beitrag darüber, ob Microsoft 365 DSGVO-konform ist.
Sollte dir der Blog-Beitrag gefallen haben, folge uns am besten auf Instagram, Facebook, LinkedIn oder XING, um immer informiert zu bleiben.
