„Interessenkonflikt des betrieblichen Datenschutzbeauftragten: 525.000 Euro Bußgeld gegen die Tochtergesellschaft eines Berliner E-Commerce-Konzerns“ – so lautet die Überschrift der Pressemitteilung der Berliner Beauftragten für Datenschutz und Informationsfreiheit (BlnBDI) vom 20.09.2022.

Was war passiert?

Der Pressemitteilung lässt sich entnehmen, dass das von der Aufsichtsbehörde überprüfte Unternehmen – hierbei handelt es sich um eine Tochtergesellschaft eines Berliner E-Commerce-Konzerns – einen Datenschutzbeauftragten bestellt hatte, der zugleich Geschäftsführer von zwei ebenfalls konzernzugehörigen Dienstleistungsgesellschaften ist. Problematisch war dabei, dass diese Dienstleistungsgesellschaften im Auftrag des überprüften Unternehmens personenbezogene Daten verarbeiteten, d. h. als Auftragsverarbeiter tätig waren, und der Datenschutzbeauftragte des Auftraggebers und der Geschäftsführer der Auftragnehmer ein und dieselbe Person waren. Die Berliner Aufsichtsbehörde sah darin einen Interessenkonflikt bei dem Datenschutzbeauftragten und damit einen Verstoß gegen die Datenschutz-Grundverordnung (DS-GVO).

Wieso liegt ein Interessenkonflikt vor?

Art. 38 DS-GVO regelt die Stellung des Datenschutzbeauftragten und erlaubt, dass der Datenschutzbeauftragte neben der Tätigkeit als solcher auch andere Aufgaben und Pflichten übernimmt. Die hier entscheidende Regelung findet sich in Art. 38 Abs. 6 Satz 2 DS-GVO, in der es heißt: „Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenkonflikt führen.“ In welchen konkreten Fällen ein solcher Interessenkonflikt vorliegt definiert die DS-GVO nicht, was angesichts der Vielzahl an möglichen Konfliktsituationen nicht verwundert. Ein Interessenkonflikt wird regelmäßig dann vorliegen, wenn der Datenschutzbeauftragte bei der Wahrnehmung seiner Pflichten als Datenschutzbeauftragter die Ausführung seiner anderen Aufgaben und Pflichten, d. h. seine neben der Tätigkeit als Datenschutzbeauftragter ausgeübte Tätigkeit, auf die Einhaltung des Datenschutzes kontrollieren müsste.

So lag es in dem Fall des von der Berliner Aufsichtsbehörde überprüften Unternehmens: Der Datenschutzbeauftragte war als Datenschutzbeauftragter nach verpflichtet, die Einhaltung des Datenschutzrechts durch die als Auftragsverarbeiter für das Unternehmen tätigen Dienstleistungsgesellschaften zu überwachen. Als Geschäftsführer der Dienstleistungsgesellschaften war der Datenschutzbeauftragte zugleich dafür verantwortlich, dass bei den Dienstleistungsgesellschaften der Datenschutz allgemein und insbesondere im Zusammenhang mit der Tätigkeit als Auftragsverarbeiter für das geprüfte Unternehmen eingehalten wird. Damit erstreckte sich die Überwachungspflicht als Datenschutzbeauftragter faktisch auch auf die Überwachung der eigenen Tätigkeit des Datenschutzbeauftragten als Geschäftsführer der Auftragsverarbeiter.

Die Berliner Aufsichtsbehörde führt hierzu treffend aus: „Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“

Was ist die Folge des Interessenkonflikts?

Liegt ein Interessenkonflikt in der Person des Datenschutzbeauftragten vor, dann darf diese Person nicht als Datenschutzbeauftragter tätig sein. Wird eine Person trotz Interessenkonflikt zum Datenschutzbeauftragten bestellt oder nicht abberufen, dann verletzt der Verantwortliche – hier also das Unternehmen, das den Datenschutzbeauftragten bestellt hatte – gegen die Vorschrift des Art. 38 Abs. 6 Satz 2 DS-GVO. Ein solcher Datenschutzverstoß berechtigt die Aufsichtsbehörde u. a. dazu, ein Bußgeld von bis zu 10.000.000 € oder im Fall eines Unternehmens von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs gegen den Verantwortlichen zu verhängen (Art. 83 Abs. 4 lit. a DS-GVO).

Die Berliner Aufsichtsbehörde verhängte ein Bußgeld in Höhe von 525.000,00 €, für dessen Bemessung sie neben dem dreistelligen Millionenumsatz des E-Commerce-Konzerns auch – wohl als bußgelderhöhend –  die bedeutende Rolle des Datenschutzbeauftragten und die vorsätzliche Weiterbenennung des Datenschutzbeauftragten über fast ein Jahr (in 2021 gab es eine Verwarnung seitens der Aufsichtsbehörde) sowie – als bußgeldmindernd – die umfangreiche Zusammenarbeit mit der Aufsichtsbehörde berücksichtigte. Der Bußgeldbescheid ist noch nicht rechtskräftig, so dass noch nicht absehbar ist, ob das Bußgeld in der festgesetzten Höhe Bestand hat oder angepasst wird.

Was ist das Fazit?

Zum einen lässt sich festhalten, dass die Auswahl des Datenschutzbeauftragten mit der nötigen Sorgfalt erfolgen und das Augenmerk auch darauf gerichtet werden sollte, mögliche Interessenkonflikte in der Person des Datenschutzbeauftragten von vorneherein zu vermeiden. Dies gilt nicht nur bei der Benennung eines externen Datenschutzbeauftragten – wie dies hier der Fall war – sondern auch bei der Benennung eines internen Datenschutzbeauftragten aus dem Kreis der Mitarbeiter.

Zum anderen sollten Verwarnungen, die von der Aufsichtsbehörde ausgesprochen werden, ernst genommen und umgesetzt werden. Andernfalls droht – wie dies hier der Fall war – eine Erhöhung des zu verhängenden Bußgeldes, da die Aufsichtsbehörde dann von einem vorsätzlichen Datenschutzverstoß ausgehen kann.

Für ergänzende Erläuterungen steht Ihnen Herr Rechtsanwalt Patrick Steinhausen LL.M., gerne zur Verfügung