Geldbuße wegen Interessenkonflikt des internen DSB

Unternehmen: Bank (Name nicht bekannt)Möglicher Datenschutzverstoß: Interessenkonflikt des internenen DSBDie Behörde: APD (Belgische Datenschutzbehörde) Bußgeldhöhe: 75.000 Euro Die belgische Datenschutzbehörde verhängte im vorliegenden Fall gegen eine namentlich nicht genannte Bank eine Geldbuße, weil ihr interner Datenschutzbeauftragter gleichzeitig Leiter von drei Abteilungen mit Entscheidungsbefugnissen über die Verarbeitung personenbezogener Daten war.

Nach Ansicht der Aufsichtsbehörde führte dies zu einem Interessenkonflikt, der gegen Art. 38 Abs. 6 DSGVO verstieß. Gemäß DSGVO kann der interne DSB zwar andere Aufgaben und Pflichten wahrnehmen, es muss aber sichergestellt werden, dass Verantwortlicher oder Auftragsverarbeiter in keinen Interessenskonflikt geraten.

Als gleichzeitiger Leiter des operativen Risikomanagements der Bank, der Abteilung für Informationsrisikomanagement und der Sonderermittlungsstelle war dies nicht gegeben.

Die belgische Datenschutzbehörde argumentiert, dass es sich bei diesen Tätigkeiten nicht nur um rein beratende und überwachende Funktionen handelt. Ein Interessenkonflikt wird immer dann unterstellt, wenn der DSB über die Verarbeitung personenbezogener Daten selbst entscheiden kann.

Da in diesem Fall die finale Verantwortung für die genannten Abteilungen beim internen DSB lag, war die Datenschutzbehörde der Ansicht, dass ein Interessenkonflikt vorlag, der gegen die DSGVO verstößt.

Auf dieser Grundlage verhängte die AEPD eine Geldbuße in Höhe von 75.000 Euro gegen die Bank.
Das EDSA hat u.a. Leitlinien aufgestellt, wie Interessenkonflikte vermieden werden können (WP 243). So sollten Verantwortliche bzw. Auftragsverarbeiter je nach Größe und Struktur einer Organisation bzw. je nach Tätikeiten:

  • bennenen der Positionen, die mit der Funktion eines DSB unvereinbar sind
  • zur Vermeidung von Interessenkonflikten diesbezügliche interne Richtlinien aufstellen
  • eine allgemeine Erläuterung potenzieller Interessenkonflikte vornehmen
  • erklären, dass sich der DSB in Bezug auf seine Funktion in keinem Interessenkonflikt befindet und auf diese Weise das Bewusstsein für diese Anforderung schärfen
  • in die internen Richtlinien des Unternehmens Sicherungsvorkehrungen aufnehmen und Sorge tragen, dass die Stellenausschreibung für die Position eines DSB bzw. der betreffende Dienstleistungsvertrag zwecks Vermeidung von Interessenkonflikten hinreichend genau und präzise formuliert wird
  • Ggf. alternativ Benennung eines externen DSB – da hierdurch interne Interessenskonflikte im Sinne des Art. 38 Abs. 6 DSGVO vermieden werden können