Interessenkonflikt des betrieblichen Datenschutzbeauftragten

Geschrieben von Jan Steinbach, veröffentlicht am 31.10.2022

Berliner Datenschutzbehörde verhängt Bußgeld in Höhe von 525.000 Euro 

Der Berliner Beauftragter für Datenschutz und Informationsfreiheit (BlnBDI) verhängte gegen die Tochtergesellschaft einer Berliner E-Commerce-Konzerns ein Bußgeld in Höhe von insgesamt 525.000 Euro, wie die Behörde in einer Pressmitteilung vom 20. September erklärte. Gegenstand des Vorwurfs ist ein bestehender Interessenkonflikt des vom Konzern benannten betrieblichen Datenschutzbeauftragten. Dieser war gleichzeitig Geschäftsführer zweier Gesellschaften, die ebenfalls in die Konzernstruktur eingebunden waren und die für das Unternehmen, in dem er als Datenschutzbeauftragte benannt wurde, personenbezogene Daten im Auftrag verarbeiten (Art. 28 DSGVO).  

Hintergrund der Entscheidung 

Bereits im Jahr 2021 wurde das Unternehmen aufgrund des bestehenden Interessenkonflikts des Datenschutzbeauftragten gem. Art. 38 Abs. 6 DSGVO verwarnt. Eine erneute Überprüfung ergab, dass sich die Umstände nicht geändert hatten, was auch die Höhe des Bußgeldes erklärt. So bergründete der BlnBDI die Höhe des Bußgeldes neben dem dreistelligen Millionenumsatz des Konzerns vor allem mit der vorsätzlichen Weiterbenennung trotz erfolgter Verwarnung. Verschärfend wurde auch die zentrale Stellung des Datenschutzbeauftragten für den Konzerndatenschutz berücksichtigt. Durch den Interessenkonflikt habe er seine Aufgabe, den Datenschutz im Konzern wirksam zu kontrollieren gegenüber einer hohen Anzahl an betroffenen Personen (Mitarbeiter und Kunden des Konzerns), nicht angemessen wahrnehmen können.  

Bußgeldmindernd wirkte sich lediglich die enge Zusammenarbeit bei der Aufarbeitung des Verstoßes sowie die Beseitigung des Verstoßes noch während des Bußgeldverfahrens aus. Der BlnBDI nahm die Entscheidung zum Anlass, um die Gefahr bestehender Interessenkonflikte eines konzerninternen betrieblichen Datenschutzbeauftragten zu betonen: „Zur Vermeidung von Datenschutzverstößen bei Interessenkonflikten.“ 

Weitere Maßgaben zur Vermeidung eines Interessenkonflikts 

Anders als bei der Benennung eines externen Datenschutzbeauftragten, bei der Interessenkonflikte die Ausnahme darstellen, sind die Anforderungen an die Vermeidung eines Interessenkonflikts bei betrieblichen Datenschutzbeauftragten hoch.  

Zunächst sieht das Gesetz die Benennung eines betrieblichen Datenschutzbeauftragten gem. Art. 37 Abs. 6 DSGVO zwar ausdrücklich vor. Spricht dort jedoch von einem Beschäftigten des Verantwortlichen. Daher könnten bereits vom Wortlaut aus Inhaber des Unternehmens bzw. die Geschäftsführung von der Benennung als betrieblicher Datenschutzbeauftragter ausgeschlossen sein. Ausgeschlossen ist ihre Benennung jedenfalls durch ihre tatsächliche Stellung zum Verantwortlichen bzw. Auftragsverarbeiter, da sie für deren Einhaltung des Datenschutzes unmittelbar zuständig sind. Dadurch stellt ihre Benennung ein Interessenkonflikt gem. Art. 38 Abs. 6 DSGVO dar. (vgl. auch BeckOK DatenschutzR/Moos, 41. Ed. 1.11.2021, DS-GVO Art. 38 Rn. 33).  

Ein besonderer Interessenkonflikt besteht nach herrschender Meinung auch bei der Benennung von Leitern der IT-, Personal- oder Marketingabteilung. Diese Personen zeichnen sich dadurch aus, dass sie bereits als leitende Angestellte eigenverantwortlich für die Verarbeitung personenbezogener Daten zuständig sind bzw. sein können. So ist der IT-Leiter regelmäßig für die Auswahl und Bereitstellung der Infrastruktur zur Datenverarbeitung zuständig. Die Benennung des Leiters der Personalabteilung könnte mit der Durchsetzung des Beschäftigtendatenschutzes in Konflikt geraten. Auch der Leiter der Marketing-Abteilung führt in seiner Position z.T. sensible bzw. kritische Datenverarbeitungen durch. Auch hier würde die Benennung als betrieblicher Datenschutzbeauftragte eine wirkungslose Selbstkontrolle darstellen. 

Umstritten und derzeit als Vorabentscheidung beim EuGH anhängig ist die Frage, ob das Amt des Vorsitzenden des in der verantwortlichen Stelle gebildeten Betriebsrats mit der Rolle des betrieblichen Datenschutzbeauftragten in einem Interessenkonflikt besteht. Das LAG Sachsen hatte einen Interessenkonflikt noch verneint und die Abberufung des Datenschutzbeauftragten für unwirksam erklärt.  

Diskutiert wird schließlich, ob Rechtsanwälte des Verantwortlichen als betrieblicher Datenschutzbeauftragter in Frage kommen. Dies wird grundsätzlich bejaht. Zu beachten ist hierbei lediglich, dass sich aus dem konkreten Mandat kein Konflikt mit den Aufgaben des Datenschutzbeauftragten ergeben darf. Dies ist insbesondere dann der Fall sein, wenn der Rechtsanwalt gleichzeitig mit der Verteidigung des Verantwortlichen im Zusammenhang mit z.B. Datenschutzverstößen betraut ist.  

Fazit 

Die Benennung eines betrieblichen Datenschutzbeauftragten birgt in vielen Fällen die Gefahr eines Interessenkonflikts. Die Einbindung in den Betrieb schließt jedenfalls solche Personen von der Benennung aus, die aufgrund ihrer Tätigkeit eigenverantwortlich mit der Verarbeitung personenbezogener Daten betraut sind. Daraus ergibt sich die weitere Schwierigkeit, dass eine Person, deren Benennung als Datenschutzbeauftragter kein Interessenkonflikt darstellen würde, regelmäßig nicht die erforderliche Fachkenntnis gem. Art. 37 Abs. 5 DSGVO mitbringt und erst entsprechend ausgebildet werden müsste.  

Insgesamt spricht Vieles für die Benennung eines externen Datenschutzbeauftragten, um Interessenkonflikte zu vermeiden und trotzdem Zugriff auf ein angemessenes Fachwissen sowie zu erforderlichen Ressourcen zu haben. Die Entscheidung des BlnBDI zeigt auch, dass die fehlerhafte Benennung eines betrieblichen Datenschutzbeauftragten zu erheblichen Geldbußen führen kann.