Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) veröffentlichte vor kurzem eine Pressemitteilung, in der sie auf ein von ihr gegen eine Tochtergesellschaft eines Berliner E-Commerce-Konzerns verhängtes Bußgeld in Höhe von 525.000 Euro aufmerksam machte.
In diesem bemerkenswerten Fall wurde zunächst ein Interessenkonflikt des betrieblichen Datenschutzbeauftragten der Gesellschaft gerügt: Dieser war zugleich Geschäftsführer von zwei Dienstleistungsgesellschaften des Konzerns, die personenbezogene Daten im Auftrag des Unternehmens, für das er als Datenschutzbeauftragter bestellt wurde, verarbeiteten. Nachdem bereits im Jahre 2021 wegen dieser Situation eine Verwarnung von der Aufsichtsbehörde gegenüber dem Unternehmen ausgesprochen wurde und sich in der Folgezeit jedoch nichts an der Doppelrolle des Datenschutzbeauftragten geändert hatte, wurde schlussendlich ein Bußgeld in Höhe von fast einer halben Million Euro verhängt.
Bei der Bemessung dieser Summe seien unter anderem der Umsatz des Konzerns im vorrangegangenen Geschäftsjahr, die vorsätzliche Weiterbenennung der Person über fast ein Jahr trotz Verwarnung, aber als positiver Aspekt auch die umfangreiche Zusammenarbeit mit der Behörde berücksichtigt worden.
Unabhängigkeit des betrieblichen Datenschutzbeauftragten
Im geltenden Datenschutzrecht finden sich ausdrückliche Vorgaben zum Datenschutzbeauftragten: So regelt die Datenschutz-Grundverordnung in Art. 38 DSGVO die Stellung des Datenschutzbeauftragten (DSB) und in Art. 39 DSGVO seine Aufgaben, um hiermit eine bessere Trennschärfe dieser Funktion gegenüber anderen Funktionen zu schaffen. Zwar kann der DSB auch andere Aufgaben und Pflichten innerhalb einer Stelle wahrnehmen, darf dabei jedoch keinem Interessenkonflikt unterliegen:
„Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“ (Art. 38 Abs. 6 DSGVO)
Ein derartiger Interessenkonflikt könnte jedoch dann angenommen werden, wenn der Datenschutzbeauftragte bei einer Stelle leitende Funktionen wahrnimmt, die er selbst aus seiner datenschutzrechtlichen Funktion heraus überwachen muss, was letztlich eine „Selbstkontrolle“ bedeuten würde (wir berichteten). Folglich könnte seine leitende Tätigkeit im Unternehmen dazu führen, dass er in die Rechte und Freiheiten der betroffenen Personen eingreift (z.B. durch Neueinführungen von Verarbeitungstätigkeiten, Scheja, in: Taeger/Gabel, DSGVO – BDSG – TTDSG, 4. Auflage 2022, Art. 38 Rn. 75) oder aber keine objektive Aufgabenwahrnehmung des DSB mehr vorliegt (Drewes, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, Art. 38 Rn. 54). Mit anderen Worten: Es besteht ein Konfliktpotential aufgrund der unterschiedlichen Rollen und damit einhergehend auch mittelbar unterschiedlicher Zielvorhaben in der Ausübung dieser Tätigkeiten. Sowohl die objektive und nachweisbare Kontrolle der „eigenen“ Aufgaben als auch die wirtschaftliche Abhängigkeit vom Arbeitgeber können hier gewiss zusätzliche Argumente für die Annahme eines Interessenkonflikts sein.
Diesbezüglich wird daher seit einiger Zeit diskutiert, ob eine solche Situation beispielsweise bei der Personalleitung, der IT-Leitung oder bei der Geschäftsführung anzunehmen ist.
Wenn also eine Person beispielsweise sowohl in der Geschäftsleitung bzw. im Vorstand tätig ist als auch als betrieblicher Datenschutzbeauftragter bestellt wurde und daher beide Rollen in einer Person vereint, wird nach überwiegender Ansicht vertreten, dass die damit einhergehenden Aufgaben und Interessen kollidieren – und daher an der Einhaltung der Vorgaben aus Art. 38 DSGVO erhebliche Zweifel aufkommen (Vgl. Scheja, in: Taeger/Gabel, DSGVO – BDSG – TTDSG, 4. Auflage 2022, Art. 38 Rn. 75).
Und so verhielt es sich im beschriebenen Fall auch nach Auffassung der Aufsichtsbehörde in Berlin. In der Pressemitteilung heißt es:
„ […] ein Interessenkonflikt lag nach Auffassung der BlnBDI im Falle eines Datenschutzbeauftragten einer Tochtergesellschaft eines Berliner E-Commerce-Konzerns vor. Die Person war gleichzeitig Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das er als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns; stellen den Kund:innenservice und führen Bestellungen aus. Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die Datenschutz-Grundverordnung.“
Welche Konsequenzen lassen sich aus dem Fall ziehen?
Es sind bislang wenig Beanstandungen bzgl. eines Interessenkonflikts des Datenschutzbeauftragten erhoben worden. Dies mag auch daran liegen, dass die Aufsichtsbehörden bisher kaum überprüft haben, ob Datenschutzbeauftragte ihre Rolle einhalten und ihre gesetzlich zugewiesenen Aufgaben ordnungsgemäß erfüllen. Zumal eine Selbstanzeige fernliegend wäre und dieser Umstand für Außenstehende häufig auch gar nicht ersichtlich ist. Außerdem dürfte es auch schwerfallen, diesen Interessenskonflikt per se zu beweisen.
Dennoch sollte diese Problematik ernst genommen werden. Aus Gründen der Risikominimierung sollten Unternehmen und öffentliche Stellen bei der Bestellung eines Datenschutzbeauftragten prüfen, ob ein Interessenkonflikt bestehen könnte. Nicht zuletzt sollten der Person, die als (betrieblicher) Datenschutzbeauftragter bestellt wird, auch hinreichend Ressourcen und eine unabhängige Rolle ermöglicht werden, damit sie den umfangreichen Aufgaben aus Art. 39 DSGVO nachkommen kann und mittelbar auch der Verantwortliche den relevanten Prozessen bzw. Anforderungen aus dem Datenschutzrecht gerecht wird. Denn die Sanktionen wegen etwaiger Verstöße werden gegenüber den Verantwortlichen, also das für die Bestellung eines Datenschutzbeauftragten zuständige Unternehmen, verhängt (Vgl. Art. 83 Abs. 4 lit. a DSGVO).
Die Unternehmen und sonstige Stellen, die einen internen Datenschutzbeauftragten bestellt haben, sollten möglichen Interessenkonflikten daher eine erhöhte Aufmerksamkeit widmen, während dieses Thema bei bestellten externen Datenschutzbeauftragten (ohne personelle Bindung zur Stelle) weniger zum Tragen kommen dürfte.
Fazit
Der Bußgeldbescheid in diesem Verfahren ist nach derzeitigem Kenntnisstand noch nicht rechtskräftig. Gemessen an den erwähnten Umständen erscheint die Höhe der Strafzahlung (ohne Kenntnis der konkreten Gegebenheiten) nicht ganz abwegig und könnte ggf. auch einer gerichtlichen Überprüfung standhalten. Die Relevanz dieses Themas dürfte zukünftig zunehmen.
Im Übrigen ist zu begrüßen, dass die Berliner Aufsichtsbehörde (anders als in der Vergangenheit) nicht den Namen des Adressaten erwähnt und somit keine „Prangerwirkung“ entstehen ließ.