Auch Jahre nach Inkrafttreten der DSGVO sieht man immer noch auf LinkedIn oder auf Unternehmenswebseiten, dass leitende Angestellte – beispielsweise Geschäftsführer oder IT-Leiter – gleichzeitig als Datenschutzbeauftragte (DSB) für ihr Unternehmen benannt werden.
Was viele Unternehmen nicht wissen: Diese Praxis ist rechtlich unzulässig.
Tatsächlich kann dies sogar den Eindruck erwecken, dass ein Unternehmen es mit dem Datenschutz nicht besonders genau nimmt. Ein qualifizierter DSB würde einen solchen Interessenkonflikt sofort erkennen und eine derartige Bestellung verhindern. Finden sich dann noch datenschutzrechtliche Mängel in der Datenschutzerklärung, könnte dies schnell das Vertrauen von Kunden, Geschäftspartnern oder sogar Aufsichtsbehörden erschüttern.
Der rechtliche Hintergrund
Das Problem liegt in einem Interessenkonflikt: Die Rolle des betrieblichen Datenschutzbeauftragten darf nicht mit einer verantwortlichen Führungskraft oder dem IT-Dienstleister, der technische Maßnahmen umsetzt und Systemänderungen vornimmt, kombiniert werden. Dies ergibt sich aus Art. 38 Abs. 6 DSGVO sowie § 40 Abs. 6 BDSG, die in einem solchen Fall eine Abberufung des DSB vorsehen.
Weitere Details hierzu finden sich in der Stellungnahme¹ des Bayerischen Landesamtes für Datenschutzaufsicht vom 20.10.2016.
Mögliche Sanktionen
Ernennt ein Unternehmen trotz der Bestellpflicht gemäß Art. 37 Abs. 1 lit. c DSGVO einen unzulässigen Datenschutzbeauftragten, stellt dies einen Verstoß gegen die DSGVO dar. In einem solchen Fall können Bußgelder gemäß Art. 83 Abs. 4 und 5 DSGVO verhängt werden, wie es bei einem Berliner Unternehmen der Fall² war.
Empfehlung
Unternehmen sollten dringend darauf achten, dass der Datenschutzbeauftragte unabhängig agieren kann und keine Interessenkonflikte bestehen. Eine rechtlich korrekte Bestellung vermeidet nicht nur Sanktionen, sondern zeigt auch gegenüber Kunden und Geschäftspartnern, dass Datenschutz ernst genommen wird.
Wir bieten qualifizierte externe Datenschutzbeauftragte (DSB) für Unternehmen in ganz Deutschland sowie maßgeschneiderte Beratungslösungen.
Kontaktieren Sie uns noch heute für ein individuelles Angebot, das Ihnen Ressourcen, Kosten und Aufwand spart.
-> www.datenschutz-muenchen.com
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger | Auditor für Datenschutz und IT-Sicherheit
Quellen und Links:
¹ Stellungnahme des Bayerischen Landesamtes für Datenschutzaufsicht
https://www.lda.bayern.de/media/pm2016_08.pdf
² Bußgeld wegen Interessenkonflikt des Datenschutzbeauftragten
https://it-news-blog.com/?p=2801
Informationen zum Hinweisgeberschutzgesetz
http://hinweisgeber-management.com
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com – www.datenschutz-muenchen.com