{"id":1301,"date":"2022-03-22T14:08:55","date_gmt":"2022-03-22T13:08:55","guid":{"rendered":"https:\/\/blog.eprivacy.eu\/?p=1301"},"modified":"2022-03-22T14:08:55","modified_gmt":"2022-03-22T13:08:55","slug":"geldbusse-wegen-interessenkonflikt-des-internen-dsb","status":"publish","type":"post","link":"https:\/\/blog.eprivacy.eu\/?p=1301&lang=de","title":{"rendered":"Geldbu\u00dfe wegen Interessenkonflikt des internen DSB"},"content":{"rendered":"\n<p><strong>Unternehmen:<\/strong>&nbsp;Bank (Name nicht bekannt)<strong>M\u00f6glicher Datenschutzversto\u00df:&nbsp;<\/strong>Interessenkonflikt des internenen DSB<strong>Die Beh\u00f6rde:<\/strong>&nbsp;APD (Belgische Datenschutzbeh\u00f6rde)&nbsp;<strong>Bu\u00dfgeldh\u00f6he<\/strong>: 75.000 Euro&nbsp;Die belgische Datenschutzbeh\u00f6rde verh\u00e4ngte im vorliegenden Fall gegen eine namentlich nicht genannte Bank eine Geldbu\u00dfe, weil ihr interner Datenschutzbeauftragter gleichzeitig Leiter von drei Abteilungen mit Entscheidungsbefugnissen \u00fcber die Verarbeitung personenbezogener Daten war.<br><br>Nach Ansicht der Aufsichtsbeh\u00f6rde f\u00fchrte dies zu einem Interessenkonflikt, der gegen Art. 38 Abs. 6 DSGVO verstie\u00df. Gem\u00e4\u00df DSGVO kann der interne DSB zwar andere Aufgaben und Pflichten wahrnehmen, es muss aber sichergestellt werden, dass Verantwortlicher oder Auftragsverarbeiter in keinen Interessenskonflikt geraten.<br><br>Als gleichzeitiger Leiter des operativen Risikomanagements der Bank, der Abteilung f\u00fcr Informationsrisikomanagement und der Sonderermittlungsstelle war dies nicht gegeben.<br><br>Die belgische Datenschutzbeh\u00f6rde argumentiert, dass es sich bei diesen T\u00e4tigkeiten nicht nur um rein beratende und \u00fcberwachende Funktionen handelt. Ein Interessenkonflikt wird immer dann unterstellt, wenn der DSB \u00fcber die Verarbeitung personenbezogener Daten selbst entscheiden kann.<br><br>Da in diesem Fall die finale Verantwortung f\u00fcr die genannten Abteilungen beim internen DSB lag, war die Datenschutzbeh\u00f6rde der Ansicht, dass ein Interessenkonflikt vorlag, der gegen die DSGVO verst\u00f6\u00dft.<br><br>Auf dieser Grundlage verh\u00e4ngte die AEPD eine Geldbu\u00dfe in H\u00f6he von 75.000 Euro gegen die Bank.<br>Das EDSA hat u.a. Leitlinien aufgestellt, wie Interessenkonflikte vermieden werden k\u00f6nnen (WP 243). So sollten Verantwortliche bzw. Auftragsverarbeiter je nach Gr\u00f6\u00dfe und Struktur einer Organisation bzw. je nach T\u00e4tikeiten:<\/p>\n\n\n\n<ul><li>bennenen der Positionen, die mit der Funktion eines DSB unvereinbar sind<\/li><li>zur Vermeidung von Interessenkonflikten diesbez\u00fcgliche interne Richtlinien aufstellen<\/li><li>eine allgemeine Erl\u00e4uterung potenzieller Interessenkonflikte vornehmen<\/li><li>erkl\u00e4ren, dass sich der DSB in Bezug auf seine Funktion in keinem Interessenkonflikt befindet und auf diese Weise das Bewusstsein f\u00fcr diese Anforderung sch\u00e4rfen<\/li><li>in die internen Richtlinien des Unternehmens Sicherungsvorkehrungen aufnehmen und Sorge tragen, dass die Stellenausschreibung f\u00fcr die Position eines DSB bzw. der betreffende Dienstleistungsvertrag zwecks Vermeidung von Interessenkonflikten hinreichend genau und pr\u00e4zise formuliert wird<\/li><li>Ggf. alternativ Benennung eines externen DSB \u2013 da hierdurch interne Interessenskonflikte im Sinne des Art. 38 Abs. 6 DSGVO vermieden werden k\u00f6nnen<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Unternehmen:&nbsp;Bank (Name nicht bekannt)M\u00f6glicher Datenschutzversto\u00df:&nbsp;Interessenkonflikt des internenen DSBDie Beh\u00f6rde:&nbsp;APD (Belgische Datenschutzbeh\u00f6rde)&nbsp;Bu\u00dfgeldh\u00f6he: 75.000 Euro&nbsp;Die belgische Datenschutzbeh\u00f6rde verh\u00e4ngte im vorliegenden Fall gegen eine namentlich<\/p>\n<p class=\"link-more\"><a class=\"myButt \" href=\"https:\/\/blog.eprivacy.eu\/?p=1301&#038;lang=de\">Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[10],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1301"}],"collection":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=1301"}],"version-history":[{"count":1,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1301\/revisions"}],"predecessor-version":[{"id":1302,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=\/wp\/v2\/posts\/1301\/revisions\/1302"}],"wp:attachment":[{"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=1301"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=1301"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.eprivacy.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=1301"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}