Bußgeld wegen Interessenkonflikt

Wenn es um die Benennung eines internen Datenschutzbeauftragten geht, fällt die Wahl des jeweiligen Mitarbeiters so manchem Verantwortlichen mitunter schwer. Somit kommt es noch immer vor, dass sich so mancher Geschäftsführer selbst zum Datenschutzbeauftragten benennt. Inwiefern hier die Problematik aus Sicht der DSGVO liegt und warum es aufgrund dessen zu einem Bußgeld wegen Interessenkonflikt kam, erfahren Sie in diesem Beitrag.

Ausgangslage

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) erfuhr in diesem Fall von einem Unternehmen, bei dem eine Person gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften und Datenschutzbeauftragter des Auftraggebers war. Alle Gesellschaften waren zu diesem Zeitpunkt Teil des Konzerns. – Die Pressemitteilung finden Sie hier. –

Interessenkonflikt

Die BlnBDI sah den Interessenkonflikt hier darin, dass der Datenschutzbeauftragte als gleichzeitiger Geschäftsführer – innerhalb des Vertragsgefüges – sich im Bereich des Datenschutzes selbst kontrollierte.

Weiterführende Gedanken

Dabei kann man auch davon ausgehen, dass es hierbei zu einer Beeinträchtigung der Aufgaben des Datenschutzbeauftragten kommen kann. – Diese Gedanken beruhen nicht zwangsläufig auf Berichten von diesem Fall und sind nicht abschließend. – Die Interessen eines Geschäftsführers liegen darin, das Unternehmen umsatzfördernd zu führen.

Verzögerter Abschluss eines Auftragsverarbeitungsvertrages

Dies kann schon mal dazu führen, dass datenschutzrechtlich relevante Verträge verzögert zur Unterschrift vorgelegt werden: Ein Auftragsverarbeitungsvertrag wird eventuell erst abgeschlossen, wenn der Dienstleistungsvertrag, bei dem es sich um Auftragsverarbeitung gemäß Art. 28 Abs. 3 DSGVO handelt, eventuell schon in der Phase der eigentlichen Leistungserbringung ist. Möglicherweise rührt dies daher, dass der Datenschutzbeauftragte aufgrund seiner Aufgaben als Geschäftsführer nicht dazu kam, einen datenschutzkonformen Auftragsverarbeitungsvertrag zu erstellen.

Nicht ausreichender Fachkundeerhalt

Wie auch in anderen Bereichen gibt es auch beim Datenschutz beständig Stellungnahmen der Datenschutzaufsichtsbehörden, des Datenschutzausschusses, des Europäischen Datenschutzbeauftragten etc., Gesetzesänderungen oder -entwürfe, Urteile oder sonstige relevante Veröffentlichungen. Dabei können sich unmittelbar umzusetzende Vorgaben ergeben. Dies beispielsweise indem bestimmte Verarbeitungstätigkeiten nur noch mit der Einwilligung der betroffenen Person durchführbar sind. – Wir erinnern an das Inkrafttreten des TTDSG und erwähnen besonders § 25 TTDSG. (Mehr zum TTDSG erfahren Sie in diesem Beitrag.) – Einer Geschäftsführung fehlen möglicherweise die zeitlichen Kapazitäten, sich zu Datenschutzthemen beständig auf dem Laufenden zu halten.

Fehlende Umsetzung technischer Schutz- und Sicherheitsmaßnahmen

Als Datenschutzbeauftragter weiß ein Geschäftsführer, dass er beispielsweise eigentlich eine bestimmte Maßnahme zum Schutz und zur Sicherheit von personenbezogenen Daten implementieren müsste. Als Geschäftsführer entscheidet er sich womöglich gegen diese Maßnahme. Da es sich beim Datenschutzbeauftragten und der Geschäftsführung um eine Person handelt, fehlt eventuell der Austausch, die Argumentation zum Für und Wider der Entscheidung. – Hier möchten wir gern betonen, dass ein Datenschutzbeauftragter keine Weisungsbefugnis hat. – Etwaige Entscheidungen gegen eine Empfehlung sind möglichst zu dokumentieren, um mögliche Nachfragen der Behörden beantworten und mithilfe dieses Dokuments die Nachweispflicht zu diesem Thema speziell erfüllen zu können (Art. 5 Abs. 2 DSGVO). –

Zurück zum Fall

Kommen wir aber zurück zum Datenschutzverstoß, der zum Bußgeld führte. Das Bußgeld war eigentlich gar nicht zwangsläufig vorbestimmt. Die Behörde gab dem Verantwortlichen die Möglichkeit, diesen Interessenkonflikt zu beseitigen und einen unabhängigen Datenschutzbeauftragten zu benennen. Dafür nutzte sie die Möglichkeit der Verwarnung (Art. 58 Abs. 2 lit. b) DSGVO). Als sie bei erneuter Prüfung feststellte, dass die Geschäftsführung weiterhin als Datenschutzbeauftragter benannt war, verhängte sie das Bußgeld in Höhe von 525.000 Euro. Bei der Festlegung des Bußgeldes zog sie u. a. den mehrstelligen Millionenbetrag an Umsatz des vorangegangenen Geschäftsjahres heran.

Rückschlüsse für andere Verantwortliche

Wir empfehlen jeder Einrichtung, jeder Organisation, jedem Unternehmen etc. zu betrachten, welche Position der benannte Datenschutzbeauftragte innehat. Entsteht dabei eventuelle in Interessenkonflikt? Ist die Position des Datenschutzbeauftragten tatsächlich unabhängig? Agiert der Datenschutzbeauftragte unvoreingenommen und weisungsfrei? – Weitere Fallbeispiele finden Sie übrigens auch in unserem Beitrag „Interessenkonflikt beim Datenschutzbeauftragten“. –

Benennung eines externen Datenschutzbeauftragten

Die Vorteile eines externen Datenschutzbeauftragten erläutern wir in diesem Beitrag. Zusätzlich lassen sich dabei auch Interessenkonflikte vermeiden.

Fazit

Für den Fall, Sie wussten es nicht: Wir stellen ebenfalls externe Datenschutzbeauftragte, von denen Sie eine Person benennen können, sollten Sie eventuell aufgrund von § 38 Abs. 1 BDSG dazu verpflichtet sein oder sich freiwillig für einen Datenschutzbeauftragten entscheiden. Damit haben Sie die Möglichkeit ein Bußgeld wie das in diesem Beitrag behandelte zu vermeiden. Kontaktieren Sie uns gern heute für ein kostenfreies Erstgespräch und ein unverbindliches Angebot.