BlnBDI: Inter­es­sen­kon­flikt des betrieb­li­chen Daten­schutz­be­auf­trag­ten: 525.000 Euro Bußgeld

Pres­se­mit­tei­lung der Ber­li­ner Beauf­trag­ten für Daten­schutz und Informationsfreiheit

Die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit (BlnBDI) hat gegen die Toch­ter­ge­sell­schaft eines Ber­li­ner Han­dels­kon­zerns ein Buß­geld in Höhe von 525.000 Euro wegen eines Inter­es­sen­kon­flikts des betrieb­li­chen Daten­schutz­be­auf­trag­ten ver­hängt. Das Unter­neh­men hat­te einen Daten­schutz­be­auf­trag­ten benannt, der Ent­schei­dun­gen unab­hän­gig kon­trol­lie­ren soll­te, die er selbst in einer ande­ren Funk­ti­on getrof­fen hat­te. Das Buß­geld ist noch nicht rechtskräftig.

Betrieb­li­che Daten­schutz­be­auf­trag­te haben eine wich­ti­ge Auf­ga­be: Sie bera­ten das Unter­neh­men hin­sicht­lich der daten­schutz­recht­li­chen Pflich­ten und kon­trol­lie­ren die Ein­hal­tung der Daten­schutz­vor­schrif­ten. Die­se Funk­ti­on dür­fen gemäß Art. 38 Abs. 6 Satz 2 Daten­schutz-Grund­ver­ord­nung (DS-GVO) aus­schließ­lich Per­so­nen aus­üben, die kei­nen Inter­es­sen­kon­flik­ten durch ande­re Auf­ga­ben unter­lie­gen. Das wäre zum Bei­spiel bei Per­so­nen mit lei­ten­den Funk­tio­nen im Unter­neh­men der Fall, die sel­ber maß­geb­li­che Ent­schei­dun­gen über die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten im Unter­neh­men tref­fen. Die Auf­ga­be darf dem­nach nicht von Per­so­nen wahr­ge­nom­men wer­den, die sich dadurch selbst über­wa­chen würden.

So ein Inter­es­sen­kon­flikt lag nach Auf­fas­sung der BlnBDI im Fal­le eines Daten­schutz­be­auf­trag­ten einer Toch­ter­ge­sell­schaft eines Ber­li­ner E‑Com­mer­ce-Kon­zerns vor. Die Per­son war gleich­zei­tig Geschäfts­füh­rer von zwei Dienst­lei­stungs­ge­sell­schaf­ten, die im Auf­trag genau jenes Unter­neh­mens per­so­nen­be­zo­ge­ne Daten ver­ar­bei­te­ten, für die er als Daten­schutz­be­auf­trag­ter tätig war. Die­se Dienst­lei­stungs­ge­sell­schaf­ten sind eben­falls Teil des Kon­zerns; stel­len den Kund:innenservice und füh­ren Bestel­lun­gen aus.

Der Daten­schutz­be­auf­trag­te muss­te somit die Ein­hal­tung des Daten­schutz­rechts durch die im Rah­men der Auf­trags­ver­ar­bei­tung täti­gen Dienst­lei­stungs­ge­sell­schaf­ten über­wa­chen, die von ihm selbst als Geschäfts­füh­rer gelei­tet wur­den. Die BlnBDI sah in die­sem Fall einen Inter­es­sen­kon­flikt und damit einen Ver­stoß gegen die Datenschutz-Grundverordnung.

Die Auf­sichts­be­hör­de erteil­te daher im Jahr 2021 zunächst eine Ver­war­nung gegen das Unter­neh­men. Nach­dem eine erneu­te Über­prü­fung in die­sem Jahr ergab, dass der Ver­stoß trotz der Ver­war­nung wei­ter­be­stand, ver­häng­te die BlnBDI das Buß­geld, das noch nicht rechts­kräf­tig ist.

Vol­ker Bro­zio, kom­mis­sa­ri­scher Dienst­stel­len­lei­ter der BlnBDI: „Die­ses Buß­geld unter­streicht die bedeu­ten­de Rol­le der Daten­schutz­be­auf­trag­ten in Unter­neh­men. Ein Daten­schutz­be­auf­trag­ter kann nicht einer­seits die Ein­hal­tung des Daten­schutz­rechts über­wa­chen und ande­rer­seits dar­über mit­ent­schei­den. Eine sol­che Selbst­kon­trol­le wider­spricht der Funk­ti­on eines Daten­schutz­be­auf­trag­ten, der gera­de eine unab­hän­gi­ge Instanz sein soll, die im Unter­neh­men auf die Ein­hal­tung des Daten­schut­zes hinwirkt.“

Bei der Buß­geld­zu­mes­sung berück­sich­tig­te die BlnBDI den drei­stel­li­gen Mil­lio­nen­um­satz des E‑Com­mer­ce-Kon­zerns im vor­an­ge­gan­gen Geschäfts­jahr und die bedeu­ten­de Rol­le des Daten­schutz­be­auf­trag­ten als Ansprech­part­ner für die hohe Zahl an Beschäf­tig­ten und Kund:innen. Berück­sich­ti­gung fand auch die vor­sätz­li­che Wei­ter­be­nen­nung des Daten­schutz­be­auf­trag­ten über fast ein Jahr trotz der bereits erteil­ten Ver­war­nung. Als buß­geld­min­dernd wur­de u. a. ein­ge­stuft, dass das Unter­neh­men umfang­reich mit der BlnBDI zusam­men­ge­ar­bei­tet und den Ver­stoß wäh­rend des lau­fen­den Buß­geld­ver­fah­rens abge­stellt hat.

Zur Ver­mei­dung von Daten­schutz­ver­stö­ßen soll­ten Unter­neh­men etwai­ge Dop­pel­rol­len der betrieb­li­chen Daten­schutz­be­auf­trag­ten in Kon­zern­struk­tu­ren auf Inter­es­sen­kon­flik­te hin prü­fen“, sagt Bro­zio. „Das gilt ins­be­son­de­re dann, wenn Auf­trags­ver­ar­bei­tun­gen oder gemein­sa­me Ver­ant­wort­lich­kei­ten zwi­schen den Kon­zern­ge­sell­schaf­ten bestehen.“