Suchen Sie Ant­wor­ten auf die­se Fragen?

  • Sind in der Regel min­de­stens zwan­zig Per­so­nen stän­dig mit der auto­ma­ti­sier­ten Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten beschäftigt?
  • EU Daten­schutz­grund­ver­ord­nung? Suche gün­sti­ge Erste Hil­fe Maß­nah­men für KMU!
  • Was ist zu tun, wenn die Daten­schutz­auf­sicht schreibt?
  • Kann man Goog­le Ana­ly­tics daten­schutz­kon­form ein­set­zen? Alternativen?
  • Darf ich die eMail-Post­fä­cher mei­ner Mit­ar­bei­ter öffnen?
  • Wer hält Schu­lun­gen über Daten­schutz nach der DS-GVO?
  • Wel­che Alter­na­ti­ven habe ich zur Daten­über­tra­gung in die USA?

Suchen Sie einen exter­nen Datenschutzbeauftragten?

Dann sind Sie hier genau rich­tig! Rufen Sie uns an 09123 – 789630

BlnBDI: Inter­es­sen­kon­flikt des betrieb­li­chen Daten­schutz­be­auf­trag­ten: 525.000 Euro Bußgeld

Pres­se­mit­tei­lung der Ber­li­ner Beauf­trag­ten für Daten­schutz und Informationsfreiheit

Die Ber­li­ner Beauf­trag­te für Daten­schutz und Infor­ma­ti­ons­frei­heit (BlnBDI) hat gegen die Toch­ter­ge­sell­schaft eines Ber­li­ner Han­dels­kon­zerns ein Buß­geld in Höhe von 525.000 Euro wegen eines Inter­es­sen­kon­flikts des betrieb­li­chen Daten­schutz­be­auf­trag­ten ver­hängt. Das Unter­neh­men hat­te einen Daten­schutz­be­auf­trag­ten benannt, der Ent­schei­dun­gen unab­hän­gig kon­trol­lie­ren soll­te, die er selbst in einer ande­ren Funk­ti­on getrof­fen hat­te. Das Buß­geld ist noch nicht rechtskräftig.

Betrieb­li­che Daten­schutz­be­auf­trag­te haben eine wich­ti­ge Auf­ga­be: Sie bera­ten das Unter­neh­men hin­sicht­lich der daten­schutz­recht­li­chen Pflich­ten und kon­trol­lie­ren die Ein­hal­tung der Daten­schutz­vor­schrif­ten. Die­se Funk­ti­on dür­fen gemäß Art. 38 Abs. 6 Satz 2 Daten­­schutz-Grun­d­­ver­­or­d­­nung (DS-GVO) aus­schließ­lich Per­so­nen aus­üben, die kei­nen Inter­es­sen­kon­flik­ten durch ande­re Auf­ga­ben unter­lie­gen. Das wäre zum Bei­spiel bei Per­so­nen mit lei­ten­den Funk­tio­nen im Unter­neh­men der Fall, die sel­ber maß­geb­li­che Ent­schei­dun­gen über die Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten im Unter­neh­men tref­fen. Die Auf­ga­be darf dem­nach nicht von Per­so­nen wahr­ge­nom­men wer­den, die sich dadurch selbst über­wa­chen würden.

So ein Inter­es­sen­kon­flikt lag nach Auf­fas­sung der BlnBDI im Fal­le eines Daten­schutz­be­auf­trag­ten einer Toch­ter­ge­sell­schaft eines Ber­li­ner E‑Com­­mer­ce-Kon­­zerns vor. Die Per­son war gleich­zei­tig Geschäfts­füh­rer von zwei Dienst­lei­stungs­ge­sell­schaf­ten, die im Auf­trag genau jenes Unter­neh­mens per­so­nen­be­zo­ge­ne Daten ver­ar­bei­te­ten, für die er als Daten­schutz­be­auf­trag­ter tätig war. Die­se Dienst­lei­stungs­ge­sell­schaf­ten sind eben­falls Teil des Kon­zerns; stel­len den Kund:innenservice und füh­ren Bestel­lun­gen aus.

Der Daten­schutz­be­auf­trag­te muss­te somit die Ein­hal­tung des Daten­schutz­rechts durch die im Rah­men der Auf­trags­ver­ar­bei­tung täti­gen Dienst­lei­stungs­ge­sell­schaf­ten über­wa­chen, die von ihm selbst als Geschäfts­füh­rer gelei­tet wur­den. Die BlnBDI sah in die­sem Fall einen Inter­es­sen­kon­flikt und damit einen Ver­stoß gegen die Datenschutz-Grundverordnung.

Die Auf­sichts­be­hör­de erteil­te daher im Jahr 2021 zunächst eine Ver­war­nung gegen das Unter­neh­men. Nach­dem eine erneu­te Über­prü­fung in die­sem Jahr ergab, dass der Ver­stoß trotz der Ver­war­nung wei­ter­be­stand, ver­häng­te die BlnBDI das Buß­geld, das noch nicht rechts­kräf­tig ist.

Vol­ker Bro­zio, kom­mis­sa­ri­scher Dienst­stel­len­lei­ter der BlnBDI: „Die­ses Buß­geld unter­streicht die bedeu­ten­de Rol­le der Daten­schutz­be­auf­trag­ten in Unter­neh­men. Ein Daten­schutz­be­auf­trag­ter kann nicht einer­seits die Ein­hal­tung des Daten­schutz­rechts über­wa­chen und ande­rer­seits dar­über mit­ent­schei­den. Eine sol­che Selbst­kon­trol­le wider­spricht der Funk­ti­on eines Daten­schutz­be­auf­trag­ten, der gera­de eine unab­hän­gi­ge Instanz sein soll, die im Unter­neh­men auf die Ein­hal­tung des Daten­schut­zes hinwirkt.“

Bei der Buß­geld­zu­mes­sung berück­sich­tig­te die BlnBDI den drei­stel­li­gen Mil­lio­nen­um­satz des E‑Com­­mer­ce-Kon­­zerns im vor­an­ge­gan­gen Geschäfts­jahr und die bedeu­ten­de Rol­le des Daten­schutz­be­auf­trag­ten als Ansprech­part­ner für die hohe Zahl an Beschäf­tig­ten und Kund:innen. Berück­sich­ti­gung fand auch die vor­sätz­li­che Wei­ter­be­nen­nung des Daten­schutz­be­auf­trag­ten über fast ein Jahr trotz der bereits erteil­ten Ver­war­nung. Als buß­geld­min­dernd wur­de u. a. ein­ge­stuft, dass das Unter­neh­men umfang­reich mit der BlnBDI zusam­men­ge­ar­bei­tet und den Ver­stoß wäh­rend des lau­fen­den Buß­geld­ver­fah­rens abge­stellt hat.

Zur Ver­mei­dung von Daten­schutz­ver­stö­ßen soll­ten Unter­neh­men etwai­ge Dop­pel­rol­len der betrieb­li­chen Daten­schutz­be­auf­trag­ten in Kon­zern­struk­tu­ren auf Inter­es­sen­kon­flik­te hin prü­fen“, sagt Bro­zio. „Das gilt ins­be­son­de­re dann, wenn Auf­trags­ver­ar­bei­tun­gen oder gemein­sa­me Ver­ant­wort­lich­kei­ten zwi­schen den Kon­zern­ge­sell­schaf­ten bestehen.“