Was ist passiert?
Der interne Datenschutzbeauftragte überprüft die Abläufe im Unternehmen hinsichtlich der Einhaltung der Datenschutz-Grundverordnung. Gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) dürfen ausschließlich jene Personen diese Position übernehmen, deren weitere Aufgabenfelder im Unternehmen Interessenkonflikte ausschließen. Wer im Betrieb zum Beispiel eine leitende Position betreut, also selbst Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen trifft, darf sich nicht selbst überwachen. Genau dies ist aber in jenem Berliner Betrieb geschehen: Der interne Datenschutzbeauftragte war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung.
Was ist die Begründung für das hohe Bußgeld?
Bereits 2021 erfolgte eine Verwarnung des BlnBDI gegen das Unternehmen mit der eindeutigen Aufforderung, den Interessenkonflikt zu beheben und die Position des internen Datenschutzbeauftragten anderweitig zu vergeben. Bei einer erneuten Kontrolle 2022 wurde festgestellt, dass der Anweisung nicht Folge geleistet wurde. Aufgrund eines dreistelligen Millionenumsatzes im vorangegangenen Geschäftsjahr und der bedeutenden Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kunden wurde ein Bußgeld in dieser Höhe festgelegt. Auch die Tatsache, dass der Missstand trotz der Verwarnung über ein Jahr nicht behoben wurde, fand bei der Definition des Bußgeldes Berücksichtigung. Tatsächlich gab es sogar eine Bußgeldminderung, da das Unternehmen mit dem BlnBDI zusammenarbeitete und den Verstoß während des Bußgeldverfahrens abgeschafft hat. Das Urteil ist noch nicht rechtskräftig.
Was sagt die Berliner Datenschutzbehörde?
Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“
Des weiteren erläutert er: „Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen. Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“
Wie definiert die DSGVO den Datenschutzbeauftragten?
Hier findet ihr die Definition des Datenschutzbeauftragten und seiner Stellung im Unternehmen. Informationen zu den Vorteilen eines externen Datenschutzbeauftragten haben wir ebenfalls zusammengestellt.
Sollten Unsicherheiten bestehen, ob der eigene Datenschutzbeauftragte geeignet ist oder ein externer Datenschutzbeauftragter gesucht wird, wenden Sie sich bitte direkt an die PRO-DSGVO. Sie erreichen die Experten 24/7 per Mail und von 9-17 Uhr telefonisch unter der 0202 24798825.
