Interessenkonflikt als Datenschutzbeauftragter
Am 20. September 2022 gab die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) per Pressemitteilung bekannt, dass eine Tochtergesellschaft von einem E-Commerce-Konzern ein Bußgeld in Höhe von 525.000 Euro erhielt. Das Bußgeld wurde aufgrund eines Interessenkonfliktes des Datenschutzbeauftragten verhängt.
Gemäß Art. 38 Abs. 6 Satz 2 DSGVO dürfen nur Personen die Rolle des Datenschutzbeauftragten ausüben, welche nicht in einem Interessenkonflikt durch andere Funktionen, Aufgaben oder Verantwortlichkeiten stehen. Ein Datenschutzbeauftragter muss zudem gem. Art. 38 Abs. 3 DSGVO weisungsfrei im Sinne des Schutzes personenbezogener Daten entscheiden können.
In diesem Fall war die Person gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus. Zunächst hatte die BlnBDI zum Jahresende 2021 eine Verwarnung gegen das Unternehmen ausgesprochen, welche offensichtlich aber keine ausreichende Würdigung erhielt.
Bei der Bußgeldbemessung berücksichtigte die BlnBDI den dreistelligen Millionenumsatz des E-Commerce-Konzerns und die bedeutende Rolle des Datenschutzbeauftragten als Ansprechpartner für die hohe Zahl an Beschäftigten und Kund:innen. Berücksichtigung fand auch die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr trotz der bereits erteilten Verwarnung. Als bußgeldmindernd wurde eingestuft, dass das Unternehmen umfangreich mit der BlnBDI zusammengearbeitet und den Verstoß während des laufenden Bußgeldverfahrens abgestellt hat.
Dieses Urteil stellt unmissverständlich klar, dass die Anforderungen für eine wirksame Benennung eines Datenschutzbeauftragten sehr streng ausgelegt und hierbei keine Risiken eingegangen werden sollten.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.
