Die DSGVO und das BDSG regeln, wann ein Datenschutzbeauftragter zu benennen ist. Dabei ist darauf zu achten, dass beim Datenschutzbeauftragten keine Interessenskonflikte entstehen, wenn dieser noch andere Aufgaben im Unternehmen wahrnimmt. In Berlin führte ein solcher Fall nun zu einem Bußgeld in Höhe von 525.000 Euro.
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hatte sich mit einem Handelskonzern zu beschäftigen. Bereits im Jahr 2021 gab es dort Ärger.
Geschäftsführer war Datenschutzbeauftragter
Ein Konzernunternehmen (A) dieses Handelskonzern bestellte einen betrieblichen Datenschutzbeauftragten. Dieser war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften (B und C), die im Auftrag des Unternehmens Daten verarbeiteten.
Diese zwei Dienstleistungsgesellschaften sind ebenfalls Teil des Handelskonzerns.
Das bedeutet also: In seiner Funktion als Datenschutzbeauftragter des Unternehmens A musste er die ordnungsgemäße Datenverarbeitungen der Unternehmen B und C überwachen, von denen er selbst Geschäftsführer war. Er überwachte sich sozusagen selbst.
Verwarnung im Jahr 2021
Dies war der Datenschutzbehörde aufgefallen und sprach bereits im Jahr 2021 eine Verwarnung gegen das Unternehmen (A) aus.
Offenbar interessierte dies jedoch in dem Unternehmen niemanden. Denn nachdem die Behörde in diesem Jahr eine Überprüfung durchführte, wurde festgestellt, dass der Datenschutzbeauftragte noch immer die gleiche Person war – und noch immer Geschäftsführer von B und C.
Wer nicht hören will, muss zahlen.
Dass dies der Aufsichtsbehörde nicht zugesagt hat, ist klar.
Aufgrund des noch immer bestehenden Verstoßes verhängte die Behörde nun ein Bußgeld in Höhe von 525.000 Euro.
Dabei berücksichtigte die Behörde den dreistelligen Millionenumsatz des Handelskonzerns und die bedeutende Rolle des Datenschutzbeauftragten. Bußgeldmindernd wurde berücksichtigt, dass das Unternehmen nunmehr mit der Behörde zusammenarbeitete und den Verstoß während des Verfahrens abstellte.
Hier finden Sie die Pressemitteilung der Behörde.
Worauf ist zu achten?
Wie können Sie ein Vorgehen der Behörde verhindern?
Zunächst einmal sollte man Verwarnungen und Verfügungen der Behörde Ernst nehmen. Wenn man der Meinung ist, diese seien rechtswidrig, sollte man den Weg vor die Verwaltungsgerichte beschreiten, um solche Bescheide der Behörde anzugreifen. Auf keinen Fall sollte man sie einfach ignorieren.
Wer muss einen Datenschutzbeauftragten bestellen?
Die Voraussetzungen, wann Ihr Unternehmen einen Datenschutzbeauftragten bestellen muss, haben wir vor einiger Zeit in diesem Artikel zusammengefasst.
Rolle des Datenschutzbeauftragten
In Art. 38 DSGVO ist die Stellung des Datenschutzbeauftragten festgelegt.
Zunächst muss (Art. 38 Abs. 1 DSGVO) im Unternehmen sichergestellt sein, dass der Datenschutzbeauftragte frühzeitig in alle mit dem Schutz personenbezogener Daten eingebunden wird.
Weiter muss er alle erforderlichen Ressourcen zur Erfüllung seiner Aufgaben erhalten (Art. 38 Abs. 2 DSGVO). Er muss außerdem Zugang zu personenbezogenen Daten sowie zu allen Verarbeitungsvorgängen des Unternehmens erhalten.
Der Datenschutzbeauftragte handelt bei der Erfüllung seiner Aufgaben weisungsfrei (Art. 38 Abs. 3 DSGVO). Dies soll die Stellung als unabhängiger Berater sichern. Der Datenschutzbeauftragte hat eine Art Doppelfunktion. Zum einen soll er das Unternehmen bezüglich der Verarbeitung personenbezogener Daten und der Einhaltung des Datenschutzes beraten, zum anderen ist er aber auch Ansprechpartner für die betroffenen Personen, deren Daten verarbeitet werden (Art. 38 Abs. 4 DSGVO).
Der Datenschutzbeauftragte ist zur Geheimhaltung und Vertraulichkeit verpflichtet (Art. 38 Abs. 5 DSGVO) – auch gegenüber dem Verantwortlichen, also auch gegenüber der Geschäftsführung! Das bedeutet in der Praxis, dass der Datenschutzbeauftragte die Identität von Beschwerdeführern nicht einfach so offenlegen darf.
Dies soll insbesondere Beschäftigte schützen, da sonst die Gefahr bestünde, dass der Datenschutzbeauftragte solche Beschwerden der Geschäftsführung meldet und die Beschäftigten dann Nachteile am Arbeitsplatz fürchten müssen.
Und letztlich regelt Art. 38 Abs. 6 DSGVO, dass der Datenschutzbeauftragte auch noch andere Aufgaben und Tätigkeiten im Unternehmen ausüben darf. Allerdings muss sichergestellt sein, dass diese nicht zu einem Interessenskonflikt mit der Tätigkeit als Datenschutzbeauftragter führen.
Datenschutzbeauftragter muss Interessenskonflikte vermeiden
Um Interessenskonflikte zu vermeiden, ist es nicht möglich, die Mitglieder der Geschäftsführung oder Prokuristen zu Datenschutzbeauftragten zu bestellen. In diesen Fällen besteht immer ein Interessenskonflikt.
Aber auch andere leitende Angestellte können dieses Amt nicht bekleiden. So ist es nur schwer (eigentlich gar nicht) vorstellbar, dass der Leiter der IT-Abteilung gleichzeitig Datenschutzbeauftragter ist.
Jede Person im Unternehmen, die Entscheidungen über Datenverarbeitungsvorgänge trifft, kann nicht gleichzeitig Datenschutzbeauftragter sein.
Datenschutzbeauftragter genießt Kündigungsschutz
Sofern das Unternehmen verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, genießt dieser Kündigungsschutz. Auch die Abberufung als Datenschutzbeauftragter ist nur schwer möglich.
Lediglich fristlose Kündigungen sind möglich (die aber im Arbeitsrecht grundsätzlich nur sehr schwer durchzusetzen sind).
Nach Ende der Stellung als Datenschutzbeauftragter genießt die Person noch ein Jahr lang Schutz vor ordentlichen Kündigungen.
Externer oder betrieblicher Datenschutzbeauftragter?
Viele Unternehmen stehen vor der Frage, ob sie einen internen Datenschutzbeauftragten benennen (also einen eigenen Beschäftigten) oder einen externen.
Beide Varianten haben Vor- und Nachteile.
Der betriebliche Datenschutzbeauftragte kennt die Abläufe im Unternehmen besser und hat regelmäßig auch einen direkteren Zugang, um seine Beratungsfunktion wahrzunehmen. Auch ist es einfacher, diesen in Projekte einzubinden. Allerdings genießt er umfangreichen Kündigungsschutz (siehe oben).
Die Bestellung eines externen hat den Vorteil, dass bei diesem die Gefahr eines Interessenkonfliktes regelmäßig nicht bestehen wird, da er selbst keine Entscheidungen über die Verarbeitungsvorgänge im Unternehmen trifft.
Eine pauschale Antwort lässt sich hier also nicht geben. Dies muss jedes Unternehmen nach Abwägung der Vor- und Nachteile für sich entscheiden.
Fazit
Bei der Auswahl des Datenschutzbeauftragten sollte man gründlich sein. Sofern dieser noch andere Aufgaben im Unternehmen wahrnimmt, ist darauf zu achten, dass keine Interessenskonflikte entstehen. (mr)
Wie kann ich Ihnen helfen?
Nehmen Sie gerne Kontakt auf:
Tel.: +49 6131 30290460
Mail: mraetze@tcilaw.com
www.tcilaw.de
- Neue Produktsicherheitsverordnung: Was kommt auf Händler zu? - 19. April 2024
- Der Widerrufsbutton kommt - 27. März 2024
- Darf die Abfrage des Geburtsdatums im Online-Shop verpflichtend sein? - 26. Februar 2024