Datenschutz ist ein wichtiges Thema für Unternehmen. Die Datenschutz-Grundverordnung (DSGVO) legt klare Regeln fest, um die Daten von Kunden, Mitarbeitern und Geschäftspartnern zu schützen. Eine dieser Regeln besagt, dass Unternehmen unter bestimmten Bedingungen einen Datenschutzbeauftragten ernennen müssen.
Doch nicht jeder kann diese Aufgabe übernehmen. Die Datenschutzbehörde in Österreich hat am 16. Oktober 2024 entschieden, dass ein Geschäftsführer nicht gleichzeitig Datenschutzbeauftragter sein darf. Dieses Urteil zeigt, wie wichtig es ist, Interessenkonflikte zu vermeiden.
In diesem Blogbeitrag erfährst du, warum diese Trennung notwendig ist, welche Konsequenzen ein Verstoß haben kann und was Unternehmen tun sollten, um Datenschutz richtig umzusetzen.
Der Fall: Datenschutzverstoß durch InteressenkonfliktDie österreichische Datenschutzbehörde hat die D** GmbH** wegen eines Verstoßes gegen die DSGVO bestraft. Der Grund: Der Geschäftsführer des Unternehmens, Dr. Edzard T***, wurde auch als Datenschutzbeauftragter benannt.
Das Problem? Die DSGVO verlangt, dass Datenschutzbeauftragte unabhängig arbeiten können. Als Geschäftsführer trifft Dr. T*** jedoch viele Entscheidungen im Unternehmen – auch über den Umgang mit personenbezogenen Daten. Das kann dazu führen, dass er Datenschutzverstöße nicht neutral bewerten kann.
Die Datenschutzbehörde sah darin einen klaren Interessenkonflikt und verhängte eine Strafe in Höhe von 5.000 Euro sowie zusätzliche Verfahrenskosten von 500 Euro.
Warum ist ein unabhängiger Datenschutzbeauftragter wichtig?Laut Artikel 38 Absatz 6 DSGVO darf der Datenschutzbeauftragte keine Aufgaben übernehmen, die zu einem Interessenkonflikt führen. Das bedeutet, dass er nicht gleichzeitig in einer Position sein darf, in der er über die Verarbeitung personenbezogener Daten entscheidet.
Typische Rollen, die zu einem Interessenkonflikt führen können:
❌ Geschäftsführer oder Vorstandsmitglied – Entscheidet über die Unternehmensstrategie und könnte Datenschutzbedenken aus wirtschaftlichen Gründen ignorieren.
❌ IT-Leiter oder Sicherheitsverantwortlicher – Ist oft für die technischen Systeme verantwortlich, in denen personenbezogene Daten verarbeitet werden.
❌ Personalchef – Hat direkten Zugriff auf Mitarbeiterdaten und könnte Interessenkonflikte haben, wenn es um deren Schutz geht.
Ein Datenschutzbeauftragter soll unabhängig und objektiv beraten. Er muss Datenschutzverstöße erkennen und dem Unternehmen helfen, sich an die DSGVO zu halten. Wenn er gleichzeitig eine entscheidende Position im Unternehmen hat, kann er sich jedoch nicht selbst kontrollieren.
Welche Strafen drohen bei Verstößen?Die DSGVO sieht empfindliche Strafen vor, wenn Unternehmen ihre Datenschutzpflichten nicht einhalten. Die Strafen können je nach Verstoß unterschiedlich hoch sein:
🔸 Bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes, wenn ein Unternehmen gegen die Pflicht zur Benennung eines unabhängigen Datenschutzbeauftragten verstößt.
🔸 Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes, wenn Unternehmen personenbezogene Daten ohne rechtliche Grundlage verarbeiten oder Datenschutzverstöße nicht melden.
Im Fall der D**** GmbH fiel die Strafe mit 5.000 Euro zwar relativ gering aus, aber das Urteil zeigt, dass Datenschutzbehörden solche Verstöße ernst nehmen.
Was Unternehmen tun solltenUnternehmen, die zur Benennung eines Datenschutzbeauftragten verpflichtet sind, sollten sicherstellen, dass diese Person wirklich unabhängig ist. Hier sind einige wichtige Maßnahmen:
✅ Prüfung der aktuellen Datenschutzorganisation: Unternehmen sollten sicherstellen, dass ihr Datenschutzbeauftragter keine andere Position im Unternehmen hat, die zu einem Interessenkonflikt führt.
✅ Externe Datenschutzbeauftragte in Betracht ziehen: Falls im Unternehmen kein geeigneter Kandidat vorhanden ist, kann ein externer Datenschutzexperte beauftragt werden.
✅ Mitarbeiter regelmäßig schulen: Datenschutz ist nicht nur die Aufgabe eines Beauftragten – alle Mitarbeiter sollten sensibilisiert werden.
✅ Klare Trennung der Verantwortlichkeiten: Datenschutzbeauftragte sollten nicht in Entscheidungen über die Verarbeitung von personenbezogenen Daten eingebunden sein.
Das Urteil der österreichischen Datenschutzbehörde zeigt, wie wichtig die Unabhängigkeit des Datenschutzbeauftragten ist. Geschäftsführer oder andere Entscheidungsträger im Unternehmen dürfen diese Rolle nicht übernehmen, da sonst ein Interessenkonflikt entsteht.
Unternehmen sollten ihre Datenschutzorganisation überprüfen und sicherstellen, dass sie die DSGVO-Anforderungen einhalten. Denn Verstöße können nicht nur zu Geldstrafen führen, sondern auch das Vertrauen von Kunden und Partnern gefährden.
Wer sich unsicher ist, kann sich an Datenschutzexperten oder die zuständige Datenschutzbehörde wenden. Ein guter Datenschutz schützt nicht nur personenbezogene Daten – er stärkt auch die Glaubwürdigkeit und Reputation eines Unternehmens.
Sie haben Fragen zu diesem Artikel? Rufen Sie uns gern unter 09122 6937302 an und vereinbaren Sie einen Gesprächstermin. Oder senden Sie uns einfach eine Nachricht. Wir freuen uns, Sie kennenzulernen!
Ihr Team von Datenschutz Prinz