Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro verhängt. Vorwurf: Interessenkonflikt des betrieblichen Datenschutzbeauftragten!
In diesem Fall hatte das betreffende Handelsunternehmen einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst aber in anderer Funktion getroffen hatte.
Aufgaben eines betrieblichen DSB
Ein betrieblicher Datenschutzbeauftrager hat zum einen die Aufgabe sein Unternehmen in Bezug auf dessen datenschutzrechtliche Pflichten zu beraten. Zum anderen kontrolliert er die Einhaltung der Datenschutzvorschriften. Einen Interessenkonflikt im Zusammenhang mit anderen Aufgaben des DSB darf es selbstverständlich dabei nicht geben (siehe Art. 38 Abs. 6 Satz 2 DatenschutzGrundverordnung (DSGVO)).
Leitende Personen im Unternehmen, die selbst Entscheidungen über die Verarbeitung personenbezogener Daten treffen, würden sich in Ihrer Aufgabe als DSB quasi selbst kontrollieren. Im vorliegenden Fall lag nach Auffassung der BlnBDI genau dieser Umstand aber vor: Der Datenschutzbeauftragte des Handelskonzerns war zugleich Geschäftsführer von zwei Dienstleistungsgesellschaften – die im Auftrag des Unternehmens personenenbezogene Daten verarbeiten.
Die betreffenden Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kundenservice und führen Bestellungen aus. Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden: Damit lag laut BlnBDI ein Interessenkonflikt und somit ein Verstoß gegen die DSGVO vor.
Vorteil eines externen DSB
Letztlich unterstreicht dieser Verstoß die Wichtigkeit der Unabhängigkeit des DSB, die in Form eines extern bestellten DSB immer gewahrt wird. Das Bußgeld welches sich in diesem Fall am Millionen Umsatz des Handelskonzerns im Vorjahr orientierte, übersteigt deutlich die Kosten eines externen Datenschutzbeauftragten.