Datenschutz

525.000 Euro Bußgeld wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten

Dem internen Datenschutzbeauftragten obliegt eine hohe Verantwortung, berät er doch das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und prüft die Einhaltung der Vorgaben der DSGVO. Wichtig ist, dass es für diese Person zu keinen Interessenskonflikten durch andere Aufgaben im Unternehmen kommt. Genau hier lag das Problem bei einem Berliner E-Commerce-Unternehmen.

PRO-DSGVO
26/09/2022
Geschätzte Lesezeit: 2 Minuten

Was ist passiert?

Der interne Datenschutzbeauftragte überprüft die Abläufe im Unternehmen hinsichtlich der Einhaltung der Datenschutz-Grundverordnung. Gemäß Art. 38 Abs. 6 Satz 2 Datenschutz-Grundverordnung (DS-GVO) dürfen ausschließlich jene Personen diese Position übernehmen, deren weitere Aufgabenfelder im Unternehmen Interessenkonflikte ausschließen. Wer im Betrieb zum Beispiel eine leitende Position betreut, also selbst Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen trifft, darf sich nicht selbst überwachen. Genau dies ist aber in jenem Berliner Betrieb geschehen: Der interne Datenschutzbeauftragte war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war. Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung.

Was ist die Begründung für das hohe Bußgeld?

Bereits 2021 erfolgte eine Verwarnung des BlnBDI gegen das Unternehmen mit der eindeutigen Aufforderung, den Interessenkonflikt zu beheben und die Position des internen Datenschutzbeauftragten anderweitig zu vergeben. Bei einer erneuten Kontrolle 2022 wurde festgestellt, dass der Anweisung nicht Folge geleistet wurde. Aufgrund eines dreistelligen Millionenumsatzes im vorangegangenen Geschäftsjahr und der bedeutenden Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kunden wurde ein Bußgeld in dieser Höhe festgelegt. Auch die Tatsache, dass der Missstand trotz der Verwarnung über ein Jahr nicht behoben wurde, fand bei der Definition des Bußgeldes Berücksichtigung. Tatsächlich gab es sogar eine Bußgeldminderung, da das Unternehmen mit dem BlnBDI zusammenarbeitete und den Verstoß während des Bußgeldverfahrens abgeschafft hat. Das Urteil ist noch nicht rechtskräftig.

Was sagt die Berliner Datenschutzbehörde?

Volker Brozio, kommissarischer Dienststellenleiter der BlnBDI: „Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“

Des weiteren erläutert er: „Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen. Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“

Wie definiert die DSGVO den Datenschutzbeauftragten?

Hier findet ihr die Definition des Datenschutzbeauftragten und seiner Stellung im Unternehmen. Informationen zu den Vorteilen eines externen Datenschutzbeauftragten haben wir ebenfalls zusammengestellt.

Sollten Unsicherheiten bestehen, ob der eigene Datenschutzbeauftragte geeignet ist oder ein externer Datenschutzbeauftragter gesucht wird, wenden Sie sich bitte direkt an die PRO-DSGVO. Sie erreichen die Experten 24/7 per Mail und von 9-17 Uhr telefonisch unter der 0202 24798825.

PRO-DSGVO

Die PRO DSGVO bietet mit einer Auswahl an Leistungspaketen und zahlreichen Datenschutz-Tools maßgeschneiderte Lösungen für den Datenschutz in Gastronomie, Hotellerie und für zahlreiche andere Branchen. Reservieren Sie sich Ihren persönlichen Beratungstermin mit den TÜV-zertifizierten Datenschutzexperten.

Hackerangriff – der 5 Schritte-Notfallplan für Unternehmer

31. Juli 2024

Abgesagte Operationen und Flüge, geschlossene Supermärkte, Millionenausfälle: Auch Unternehmen aus Gastronomie und Hotellerie sollten das fehlerhafte Crowdstrike-IT-Update zum Anlass nehmen, einen IT-Notfallplan zu erstellen und ihre Cyber-Resilienz zu prüfen. [...]

Ratgeber Hinweisgeberschutzgesetz

Teil 2 – Geeignetes Personal für die Meldestelle auswählen und schulen

27. September 2023

Nicht jeder Beschäftigte ist dazu geeignet, die Verantwortung für die Meldestelle zu übernehmen. Was muss bei der Auswahl des Verantwortlichen beachtet werden, welche Qualifikationen sind erforderlich und welcher Schulungsaufwand wird benötigt? Antworten auf die dringendsten[...]

Risikominimierung durch Qualitätsmanagement

Betriebswirtschaftliche Ressourcen- und Ablaufplanung bei der DSGVO Umsetzung

20. Mai 2019

Ohne einen effektiven und professionellen Datenschutz birgt die rasant anwachsende Digitalisierung ein nahezu unkalkulierbares wirtschaftliches Risiko für Kunden, Partner und Mitarbeiter. Der Unternehmer muss durch Transparenz und Risikominimierung in der Datenverarbeitung Vertrauen in den eigenen[...]

Vorbeugen und Haftungsrisiko minimieren

DSGVO – Fehlerquellen im Unternehmen

20. Mai 2019

Für Unternehmen des Gastgewerbes ist es zwingend erforderlich, die Unternehmensabläufe und somit die Datenschutzmaßnahmen an die DSGVO anzupassen. [...]

Datenschutz

Google Maps auf der Webseite – ist eine datenschutzkonforme Einbindung möglich?

12. April 2023

Wer auf seiner Webseite eine Anfahrtsbeschreibung einbinden will, greift nur zu gerne auf Google Maps zurück – ist es doch easy zu händeln und führt Kunden und Gäste mit nur einem Klicke ins Unternehmen. Doch[...]