Ein sogenanntes Straferkenntnis (Bescheid am Ende eines ordentlichen Verwaltungsstrafverfahrens in Österreich – 2024-0.641.771) vom 16.10.2024 zeigt einmal mehr, wie wichtig die korrekte Bestellung eines Datenschutzbeauftragten ist. Die D GmbH wurde wegen eines Verstoßes gegen Artikel 38 Abs. 6 DSGVO mit einer Geldstrafe belegt, da ihr Geschäftsführer gleichzeitig als Datenschutzbeauftragter tätig war.
Dieser Fall wirft ein Schlaglicht auf die rechtlichen Anforderungen an die Rolle des Datenschutzbeauftragten und warum Unternehmen sorgfältig prüfen müssen, ob eine Interessenkollision vorliegt.
Hintergrund des Falls
Die D GmbH, ein Unternehmen im Bereich medizinischer Labordienstleistungen, wurde im Jahr 2021 gegründet und führte umfangreiche PCR-Tests durch. In dieser Zeit beschäftigte sie bis zu 200 Mitarbeiter und führte täglich 45.000 Tests durch.
Während dieser Zeit übernahm der handelsrechtliche Geschäftsführer auch die Rolle des Datenschutzbeauftragten, ohne dass geprüft wurde, ob diese Doppelfunktion zu einem Interessenkonflikt führen könnte.
Die Datenschutzbehörde sah hierin einen klaren Verstoß gegen Artikel 38 Abs. 6 DSGVO, der vorschreibt, dass Datenschutzbeauftragte unabhängig arbeiten müssen und keine Aufgaben wahrnehmen dürfen, die zu Interessenkonflikten führen.
Warum ist die Doppelfunktion problematisch?
Laut der Datenschutz-Grundverordnung (DSGVO) muss der Datenschutzbeauftragte:
- Unabhängig handeln und frei beraten können
- Den Datenschutz überwachen, ohne in Geschäftsentscheidungen involviert zu sein
- Nicht in eine Position geraten, in der eigene wirtschaftliche Interessen mit Datenschutzpflichten kollidieren
Ein Geschäftsführer trifft strategische Entscheidungen, die auch datenschutzrechtliche Aspekte betreffen – etwa zur Speicherung oder Weitergabe personenbezogener Daten. Wenn er gleichzeitig als Datenschutzbeauftragter fungiert, überwacht er sich selbst. Dies stellt einen klaren Interessenkonflikt dar.
Straferkenntnis der Datenschutzbehörde und Konsequenzen
Die Datenschutzbehörde stellte fest, dass die Doppelfunktion nicht den Anforderungen der DSGVO entspricht. Entscheidend war:
- Der Geschäftsführer war das zur Vertretung nach außen berufene Organ und traf unternehmerische Entscheidungen.
- Keinerlei Maßnahmen wurden ergriffen, um eine unabhängige Datenschutzkontrolle sicherzustellen.
- Das Unternehmen meldete den Datenschutzbeauftragten nicht an die Behörde, was die Lage zusätzlich verschärfte.
Geldstrafe für das Unternehmen
Gegen Unternehmen wurde gemäß Artikel 83 DSGVO einer Geldstrafe von 5.000 Euro verhängt. Zwar handelt es sich um eine vergleichsweise niedrige Summe, doch zeigt diese Entscheidung, dass die Datenschutzbehörde klare Maßstäbe für die Rolle des Datenschutzbeauftragten setzt.
Lehren aus dem Fall: Was Unternehmen beachten sollten
- Prüfung von Interessenkonflikten: Unternehmen müssen sicherstellen, dass keine Führungskraft oder leitende Person als Datenschutzbeauftragter agiert.
- Trennung von Verantwortlichkeiten: Der Datenschutzbeauftragte sollte weder an strategischen Geschäftsentscheidungen beteiligt noch von den wirtschaftlichen Interessen des Unternehmens beeinflusst sein.
- Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde: Unternehmen sind verpflichtet, die Bestellung eines Datenschutzbeauftragten ordnungsgemäß zu dokumentieren und zu melden.
- Regelmäßige Überprüfung der Datenschutz-Compliance: Eine unabhängige Datenschutzprüfung kann helfen, mögliche Konflikte frühzeitig zu erkennen und Sanktionen zu vermeiden.
Fazit: Datenschutzverstöße können teuer werden
Diese Entscheidung zeigt deutlich, dass Datenschutz kein Nebenthema ist. Unternehmen müssen ihre internen Strukturen sorgfältig überprüfen, um Interessenkonflikte zu vermeiden und den Anforderungen der DSGVO gerecht zu werden.
Falls Sie unsicher sind, ob Ihr Datenschutzmanagement den gesetzlichen Anforderungen entspricht, stehen wir Ihnen gern beratend zur Seite.