Die belgische Aufsichtsbehörde L’Autorité de protection des données (APD) verhängte am 16. Dezember 2021 ein Bußgeld in Höhe von 75.000 Euro gegen eine Bank. Hintergrund des Bußgeldes ist die Annahme eines Interessenskonflikts des internen Datenschutzbeauftragten.
Hintergrund des Bußgeldes
Aufmerksam wurde die APD auf die Bank durch eine Beschwerde eines Betroffenen. Die Prüfungen der Beschwerde beinhalteten die Rolle des internen Datenschutzbeauftragten der Bank. Dabei stellte sich heraus, dass der Datenschutzbeauftragte einem Interessenskonflikt unterliegt, da er neben der Rolle des Datenschutzbeauftragten auch die Positionen des Leiters der Abteilungen Operatives Risikomanagement, Informationsrisikomanagement und der Sonderermittlungsstelle bekleidete. Die APD versteht diese Rollen als Aufgaben mit Entscheidungsbefugnissen über die Verarbeitung personenbezogener Daten.
Die Bank gab an, dass der Datenschutzbeauftragte als Leiter dieser Abteilungen weder Entscheidungsbefugnis über die Verarbeitung der personenbezogenen Daten, noch über die Zwecke dieser Verarbeitungen habe, sondern vielmehr nur berate und überwache.
Die belgische Aufsichtsbehörde war hier aber grundlegend anderer Auffassung. Als Leiter der drei Abteilungen sei es ihm sehr wohl möglich, die Verarbeitungen von personenbezogenen Daten festzulegen und zu bestimmen. Das sei auch aus dem Verarbeitungsverzeichnis der Bank ersichtlich. Darin sind mehrere Verarbeitungen von personenbezogenen Daten der Abteilungen gelistet, über welche grundsätzlich der Abteilungsleiter final entscheidet und für die er verantwortlich ist.
Demnach sei ein Interessenskonflikt des Datenschutzbeauftragten gem. Art. 38 Abs. 6 DSGVO gegeben, dies veranlasste die APD zur Verhängung des Bußgeldes in Höhe von 75.000Euro.
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Datenschutzrechtliche Einschätzung des Bußgeldes
Art. 38 DSGVO beschreibt die Stellung des Datenschutzbeauftragten im Unternehmen und gibt zahlreiche Anforderungen für die Auswahl eines solchen mit. So wird beispielsweise geregelt, dass der Datenschutzbeauftragte keinen Weisungen unterliegt und bei datenschutzrechtlichen Fragen frühzeitig einzubinden ist. Absatz 6 regelt zudem, dass ein Datenschutzbeauftragter zwar durchaus andere Aufgaben als die des Datenschutzbeauftragten innehaben darf, dabei ist allerdings zu beachten, dass er keinen Interessenskonflikten unterliegt.
Ein solcher Interessenskonflikt besteht etwa dann, wenn der Datenschutzbeauftragte selbst die Verarbeitungen von personenbezogenen Daten festlegt oder für deren Richtigkeit zuständig ist, zugleich aber hierzu beraten soll.
In dem von der belgischen Aufsichtsbehörde geahndeten Fall hätte sich der Datenschutzbeauftragte bei den Verarbeitungen, für die er ausweislich des Verarbeitungsverzeichnisses zuständig war, selbst beratend zur Seite stehen müssen. Gerade dem steht aber das Gesetz entgegen.
Was gilt es bei der Auswahl des Datenschutzbeauftragten zu beachten?
Bei der Auswahl eines internen Datenschutzbeauftragten sollten Sie immer genau prüfen, welche weiteren Aufgaben die jeweilige Person innehat. Besteht die Gefahr, einen Interessenskonflikt auszulösen, sollten Sie die Benennung dieser Person als Datenschutzbeauftragten nochmals überdenken oder die weiteren Aufgaben umverteilen. Aus dem belgischen Fall zeigt sich, dass die Schwelle hin zum Interessenskonflikt sehr gering ist. Auch wenn eine Verantwortung nur auf dem Papier gegeben ist, zum Beispiel durch Zuordnung einer Person im Organigramm oder im Verarbeitungsverzeichnis, reicht dies bereits aus. Klassische Fälle dafür sind zum Beispiel:
- Geschäftsführung
- Abteilungsleiter
- Prozessverantwortliche
Um einen solchen Fall gänzlich zu vermeiden ist es in den meisten Fällen sinnvoller, einen externen Datenschutzbeauftragten zu bestellen. Hiermit besteht für Sie die Gefahr des Interessenskonflikts aufgrund weiterer Aufgaben und ein damit einhergehendes Bußgeldrisiko nicht.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!