Interessenkonflikt des DSB: Bußgeld durch BlnBDI

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat ein Bußgeld in Höhe von 525.000 EUR gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns verhängt. Grund hierfür war ein Interessenkonflikt des betrieblichen Datenschutzbeauftragten. Der Bußgeldbescheid ist jedoch noch nicht rechtskräftig.

Unabhängigkeit eines Datenschutzbeauftragten

Muss ein Unternehmen einen Datenschutzbeauftragten benennen, so stellt sich die Frage, welche Person für die Ausführung des Amtes geeignet ist.

Betriebliche Datenschutzbeauftragte beraten ihr Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Damit haben sie eine sehr wichtige Aufgabe. Für manch ein Unternehmen scheint es daher günstig, einen Mitarbeiter mit dieser Aufgabe zu betrauen. Für die Auswahl eines geeigneten Datenschutzbeauftragten gelten jedoch einige wichtige Regeln.

Laut Art. 37 Abs. 5 DSGVO sollte der Datenschutzbeauftragte auf Grundlage seiner beruflichen Qualifikation sowie insbesondere seines Fachwissens auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis benannt werden.

Gemäß Art. 38 Abs. 6 S. 2 DSGVO dürfen diese Funktion ausschließlich Personen ausüben, die keinen Interessenkonflikt durch andere Aufgaben unterliegen.

„Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“

Die Aufgaben dürfen demnach nicht von Personen wahrgenommen werden, die sich selbst überwachen würden. Sie müssen in der Entscheidung und Bewertung von Sachverhalten unabhängig sein.

Personen, die dieses Amt daher nicht ausführen dürfen, sind beispielsweise Personen mit leitenden Funktionen im Unternehmen, die selbst maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen und an den datenschutzrechtlichen Prozessen partizipieren. Ein Geschäftsführer etwa ist niemals unabhängig und auch der Leiter einer IT-Abteilung kommt eher nicht als interner Datenschutzbeauftragter infrage. Ebenso wenig unabhängig wäre beispielsweise der Personalleiter.

Was war nun passiert?

Das vom Bußgeld betroffene Unternehmen hatte einen Datenschutzbeauftragten benannt, welcher gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften war, welche im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiten, für die er als Datenschutzbeauftragter tätig war.

Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns, stellen den Kundenservice und sorgen sich um die Ausführung der Bestellungen.

Die Aufgabe des Datenschutzbeauftragten war daher die Kontrolle bzw. Überwachung der Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften, die von ihm selbst als Geschäftsführer geleitet wurden. Damit erstreckte sich die Überwachungspflicht faktisch auch auf die Überwachung der eigenen Tätigkeit des Datenschutzbeauftragten als Geschäftsführer der Auftragsverarbeiter.

Im Jahre 2021 erteilte die zuständige Aufsichtsbehörde zunächst eine Verwarnung gegen das Unternehmen. Nach einer erneuten Überprüfung in diesem Jahr stellte man fest, dass trotz erteilter Verwarnung im Vorjahr der Verstoß weiterhin bestand. Daraufhin verhängte die BInBDI das Bußgeld.

Statement durch BlnBDI

Der kommissarische Dienststellenleiter Volker Brozio erklärte die Entscheidung wie folgt:

„Dieses Bußgeld unterstreicht die bedeutende Rolle der Datenschutzbeauftragten in Unternehmen. Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“

Weiter führt er aus:

„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen. Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“

Errechnung des Bußgeldes

Wie kam es nun zu der Höhe des Bußgeldes? Bei der Bußgeldzumessung berücksichtigte die BInBDI den dreistelligen Millionenumsatz des E-Commerce-Konzerns im vorangegangenen Geschäftsjahr und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kunden. Ferner fand die vorsätzliche Weiterbenennung des Datenschutzbeauftragten Beachtung, obwohl ein Jahr zuvor die Verwarnung erteilt wurde.

Zur Minderung des Bußgeldes hat dahingehend beigetragen, dass das Unternehmen umfangreich mit der BInBDI zusammengearbeitet hat und den Verstoß wenigstens während des laufenden Bußgeldverfahrens abgestellt hat.

Der Bußgeldbescheid ist noch nicht rechtskräftig. Es ist daher nicht absehbar, ob das Bußgeld in der festgesetzten Höhe Bestand hat oder gegebenenfalls angepasst wird.

Der externe Datenschutzbeauftragte als Alternative

Im Einzelfall kann es vorkommen, dass ein interner Datenschutzbeauftragter aufgrund vorliegender Interessenkonflikte nicht benannt werden kann oder das Unternehmen niemanden hierzu verpflichten möchte. Hier kommen die externen Datenschutzbeauftragen ins Spiel. In der Regel lässt sich in der Praxis durch die Bestellung eines Externen ein interner Interessenkonflikt vermeiden. Aber auch hier gilt, dass die Auswahl des Datenschutzbeauftragten mit der nötigen Sorgfalt zu erfolgen hat.

Außerdem gilt es, die Verwarnungen einer Aufsichtsbehörde ernst zu nehmen. Aber manch ein Unternehmen muss wohl erst spüren, um zu handeln.