Bußgeld EUR 75.000,00 wegen Interessenskonflikt des internen Datenschutzbeauftragten

Ein Gastbeitrag unserer Praktikantin Mariya Popova

Die belgische Datenschutzbehörde hat in einem Bescheid gegen eine Bank eine Geldbuße in Höhe von EUR 75.000,00 verhängt. Der interne Datenschutzbeauftragte der Bank war nach Ansicht der Behörde aufgrund seiner anderen Tätigkeiten im Unternehmen in einen Interessenskonflikt nach Art. 38 Abs. 6 S. 2 DSGVO geraten.

Was macht ein Datenschutzbeauftragter überhaupt und wer braucht einen? Wer kann Datenschutzbeauftragter werden und wer ist verantwortlich bei Verstößen? Wie wird ein Interessenskonflikt verhindert und warum ist es sicherer, einen externen Datenschutzbeauftragten zu benennen? Diese Fragen sollen nachfolgend beantwortet werden.

Zu den rechtlichen Hintergründen:

Was sind die Aufgaben eines Datenschutzbeauftragten?
Ein Datenschutzbeauftragter (DSB) soll gemäß des Art. 39 DSGVO das Unternehmen bei der Erfüllung der datenschutzrechtlichen Vorgaben beraten und deren Einhaltung überwachen. Zudem soll zwischen den maßgeblichen Interessenträgern, etwa Betroffenen oder Behörden und dem Unternehmen, vermitteln.

Wer braucht einen Datenschutzbeauftragten?
Neben Behörden und öffentlichen Stellen müssen nach Art. 37 Abs. 1 DSGVO vor allem auch Einrichtungen, deren Kerntätigkeit die systematische Überwachung von Personen oder die umfangreiche Verarbeitung personenbezogener Daten umfasst, einen DSB ernennen. Darüber hinaus müssen gemäß § 38 Abs. 1 BDSG auch Unternehmen, in denen mindestens 20 Mitarbeiter ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, einen Datenschutzbeauftragten benennen.

Wer eignet sich für die Position des Datenschutzbeauftragten?
Nach Art. 37 Abs. 5, 6 DSGVO kann ein Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters aufgrund seiner Fähigkeiten und Fachkenntnisse als DSB ernannt werden. Es kann aber auch ein externer qualifizierter Datenschutzbeauftragter aufgrund eines Dienstleistungsvertrages beschäftigt werden.

Außerdem muss das Unternehmen gemäß Art. 38 Abs. 6 DSGVO sicherstellen, dass der DSB bei der Wahrnehmung anderer Aufgaben und Pflichten nicht in einen Interessenskonflikt gerät.

Was geschah in Belgien:

Die belgische Datenschutzbehörde leitete aufgrund einer Beschwerde eine Untersuchung gegen eine Bank ein, die sich später auch auf den internen Datenschutzbeauftragten ausweitete. Diese ergab, dass ein Interessenskonflikt bestehen könnte, da der DSB gleichzeitig mehrere Funktionen innehatte. Er war Leiter des operativen Risikomanagements der Bank, der Abteilung für Informationsrisikomanagement und der Sonderermittlungsstelle.
Zwar darf der DSB nach Art. 38 Abs. 6 DSGVO grundsätzlich auch andere Aufgaben und Pflichten im Unternehmen wahrnehmen. Jedoch darf er keine Position innehaben, bei der er die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt. Das sind insbesondere Positionen innerhalb der Einrichtung des leitenden Managements. Diese gehen in der Regel mit einem Interessenskonflikt einher, so der Europäische Datenschutzausschuss (EDSA) in seinen Leitlinien in Bezug auf Datenschutzbeauftragte (WP 243, S. 19).

Als Leiter der drei Abteilungen hatte der DSB in seiner Position Entscheidungsbefugnisse über die Verarbeitung personenbezogener Daten inne. Dabei handelte es sich also nicht nur um rein beratende und aufsichtsrechtliche Funktionen, was einen Interessenskonflikt begründete. In dem Bescheid vom 16.12.2021 (APD/GBA (Belgium) – 141-2021) bejahte das Gericht deshalb einen Verstoß gegen Art. 38 Abs. 6 DSGVO und verhängte ein Bußgeld in Höhe von 75.000€ gegen die Bank.

Wie kann ein Interessenskonflikt verhindert werden?
Dazu rät das EDSA in seinen Leitlinien (WP 243):

Je nach Tätigkeiten, Größe und Struktur der Einrichtung kann es für Verantwortliche bzw. Auftragsverarbeiter ratsam sein,

• die Positionen zu benennen, die mit der Funktion eines DSB unvereinbar sind,
• zur Vermeidung von Interessenkonflikten diesbezügliche interne Richtlinien aufzustellen,
• eine allgemeine Erläuterung potenzieller Interessenkonflikte vorzunehmen
• zu erklären, dass sich der DSB in Bezug auf seine Funktion in keinem Interessenkonflikt befindet und auf diese Weise das Bewusstsein für diese Anforderung zu schärfen
• in die internen Richtlinien der Einrichtung Sicherungsvorkehrungen aufzunehmen und dafür Sorge zu tragen, dass die Stellenausschreibung für die Position eines DSB bzw. der betreffende Dienstleistungsvertrag zwecks Vermeidung von Interessenkonflikten hinreichend genau und präzise formuliert wird.

Außerdem kann auch ratsam sein einen externen DSB zu benennen. Dadurch wird verhindert, dass ein interner Mitarbeiter im Unternehmen parallel die Position des DSB und andere Tätigkeiten übernimmt, die nicht damit vereinbar sind. Somit kann das Risiko eines Interessenskonflikts im Sinne des Art. 38 Abs. 6 DSGVO minimiert und entsprechende Bußgelder vermieden werden. Das ist deshalb relevant, weil es immer das Unternehmen ist, das in einem solchen Fall haftet, nicht der DSB!

Photo by Scott Graham on Unsplash