Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen eine Tochtergesellschaft eines Berliner E-Commerce-Konzerns ein Bußgeld in Höhe von 525.000 Euro verhängt (noch nicht rechtskräftig). Grund dafür ist ein Interessenskonflikt des betrieblichen Datenschutzbeauftragten: Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte. Diese hatte er aber in einer anderen Funktion mitunter selbst getroffen.
Betrieblicher Datenschutzbeauftragter darf nicht in Interessenskonflikte verwickelt sein
Betriebliche Datenschutzbeauftragte sind für manche Unternehmen eine freiwillige Angelegenheit, andere sind dazu verpflichtet – zum Beispiel, wenn sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Jedenfalls haben betriebliche Datenschutzbeauftragte die wichtige Aufgabe, das Unternehmen bezüglich datenschutzrechtlicher Aufgaben und Pflichten zu beraten sowie auch die Einhaltung der Vorschriften zu kontrollieren.
Dabei darf nicht jede Person einfach zum Datenschutzbeauftragten erkoren werden: Es muss unter anderem sichergestellt sein, dass die Person keinem Interessenkonflikten durch andere Aufgaben unterliegt. Das gibt Art. 38 Abs. 6 DSGVO vor. Hiermit gab es im vorliegenden Fall aber ein Problem. Wie die Berliner Datenschutzbeauftragte informiert, könne so ein Interessenskonflikt etwa vorliegen, wenn Personen mit leitenden Funktionen im Unternehmen, die selbst maßgebliche Entscheidungen über die Verarbeitung personenbezogener Daten treffen, mit der Position betraut werden. Einfach ausgedrückt: Eine Person darf die Aufgabe nicht wahrnehmen, wenn sie sich dadurch selbst überwachen würde.
Datenschutzbeauftragter zugleich Geschäftsführer vom Dienstleistungsunternehmen
In dem Fall, in welchem jetzt das Bußgeld verhängt wurde, ist allerdings genau, dass der Fall gewesen, so die Auffassung der Berliner Datenschutzbeauftragten. Der betriebliche Datenschutzbeauftragte einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns war gleichzeitig Geschäftsführer zweier Dienstleistungsgesellschaften, die im Auftrag genau des Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war. Die Gesellschaften waren wiederum ebenfalls Teil des Konzerns und befassten sich mit Kundenservice und der Ausführung von Bestellungen. „Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden“, fasst die Pressemitteilung der BlnBDI zusammen.
In dieser Situation sah die Berliner Datenschutzbeauftragte einen Interessenskonflikt und damit einen Verstoß gegen die DSGVO. Im Jahr 2021 verwarnte die Behörde den Konzern zunächst. Nachdem eine erneute Überprüfung im aktuellen Jahr aber ergeben hatte, dass der Verstoß trotz der Verwarnung weiterhin bestand, verhängte sie ein Bußgeld, das noch nicht rechtskräftig ist. „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten im Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden“ kommentiert Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI. Eine solche Selbstkontrolle widerspreche der Funktion des Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein solle, die in Unternehmen auf die Einhaltung des Datenschutzes hinwirke.
525.000 Euro Bußgeld – Verstoß bestand trotz Verwarnung weiter
In die Bemessung des Bußgeldes wurden verschiedene Faktoren einbezogen. Hierzu gehörte etwa der dreistellige Millionenumsatz des Konzerns im vorausgegangenen Geschäftsjahr sowie die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kunden. Daneben berücksichtige die Behörde aber auch den Umstand, dass der Datenschutzbeauftragte trotz der erteilten Verwarnung über fast ein Jahr vorsätzlich weiter benannt wurde. Mindernd habe sich die umfangreiche Mitarbeit des Unternehmens mit der Berliner Datenschutzbeauftragten ausgewirkt, sowie dass der Verstoß während des laufenden Bußgeldverfahrens abgestellt wurde.
Volker Brozio rät Unternehmen, zur Vermeidung von Datenschutzverstößen etwaige Doppelrollen des betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin zu prüfen. „Das gilt insbesondere dann, wenn Auftragsverarbeitung oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen“, so der kommissarische Dienststellenleiter.
Kommentar schreiben