01. Januar 2023
Das Bayerische Landesamt für Datenschutzaufsicht hat im Herbst 2016 gegen ein Unternehmen mit Sitz in Bayern ein Bußgeld verhängt, weil dieses Unternehmen seinen „IT-Manager“ als Datenschutzbeauftragten bestellt hatte. Die Festsetzung der Geldbuße ist inzwischen bestandskräftig.
Hintergründe und Konsequenzen haben wir kurz für Sie zusammengefasst:
Das Unternehmen war nach den Vorgaben des BDSG verpflichtet, einen Datenschutzbeauftragten zu bestellen. Bestellt wurde der „IT-Manager“ des Unternehmens, dem aufgrund seiner Tätigkeitsbeschreibung eine exponierte Position im Hinblick auf die Datenverarbeitungsprozesse des Unternehmens zukam.
Nach Auffassung des Bayerischen Landesamtes für Datenschutzaufsicht führte diese exponierte Position dazu, dass der „IT-Manager“ in seiner Funktion als Datenschutzbeauftragter seine eigenen Entscheidungen als IT-Leiter überprüfen müsse. Bei einer solchen „Selbstkontrolle“ sei die erforderliche Unabhängigkeit des Datenschutzbeauftragten nicht gegeben. Nachdem das Unternehmen keine andere Person als Datenschutzbeauftragten bestellte, verhängte die Aufsichtsbehörde ein Bußgeld.
Anforderungen des BDSG an den Datenschutzbeauftragten
Beschäftigen Unternehmen mindestens zehn Personen an Computerarbeitsplätzen oder mit anderen Formen der Datenverarbeitung, verpflichtet sie das BDSG zur Bestellung eines Datenschutzbeauftragten. Nach § 4f Abs. 2 BDSG kommen dabei als Datenschutzbeauftragte nur solche Personen in Betracht, die über die für die Erfüllung dieser Aufgabe erforderliche Fachkunde und Zuverlässigkeit verfügen.
Die Zuverlässigkeit ist nach der Entscheidungspraxis der Aufsichtsbehörden regelmäßig aber nur dann gegeben, wenn der Datenschutzbeauftragte unabhängig ist. Diese geforderte Unabhängigkeit schließt zwar nicht aus, dass der Datenschutzbeauftragte als Mitarbeiter des Unternehmens in diesem Unternehmen auch noch andere Aufgaben verantwortet. Personen wie IT-Leiter, die die Datenverarbeitung in Unternehmen entscheidend gestalten, fehlt aber die geforderte Unabhängigkeit. Denn im Rahmen ihrer Tätigkeit als Datenschutzbeauftragte müssten sie ihre Tätigkeit als IT-Leiter selbst überprüfen.
Ändert die EU-Datenschutz-Grundverordnung die Situation?
Ab 25. Mai 2018 müssen Unternehmen in Deutschland im Bereich des Datenschutzrechts auch die Anforderungen der EU-Datenschutz-Grundverordnung beachten (näheres hierzu finden Sie hier.)
In Art. 38 Abs. 6 fordert auch die EU-Datenschutz-Grundverordnung, dass der Datenschutzbeauftragte keinem Interessenkonflikt unterliegen darf. Berücksichtigen Unternehmen, die einen Datenschutzbeauftragten bestellen müssen, dies nicht, droht gem. Art. 83 Abs. 4 lit. a) der EU-Datenschutz-Grundverordnung ein Bußgeld, das deutlich höher als die bisher im BDSG vorgesehenen Bußgelder ist: Das Bußgeld kann bis zu EUR 10 Mio. oder bis zu 2% des gesamten weltweit erzielten Jahresumsatzes des betroffenen Unternehmens im vorausgegangenen Geschäftsjahr betragen – je nachdem, welcher der Beträge höher ist.
Das jüngst von dem Bayerischen Landesamt für Datenschutzaufsicht verhängte Bußgeld sowie die sich in diesem Bereich durch die EU-Datenschutz-Grundverordnung ergebenden Änderungen sollten Unternehmen zum Anlass nehmen, die Unabhängigkeit ihrer Datenschutzbeauftragten zu überprüfen. Gerne stehen wir Ihnen hierzu als Gesprächspartner zur Verfügung.