27 Mai Ist Ihr Datenschutzbeauftragter in einer Interessenkollision ?

Posted at 00:00h in Newsletter by

Am 28. April 2020 verhängte die belgische Datenschutzbehörde eine Geldbuße von 50.000,00 EUR gegen ein Unternehmen (Proximus, der historische Telefonbetreiber Belgiens), das aus seiner Sicht der Verpflichtung zur Vermeidung von Interessenkollisionen für seinen Datenschutzbeauftragten (DSB) nicht nachgekommen war.

Die DSGVO beschreibt die Funktion des DSB und betont, dass der Verantwortliche oder der Auftragsverarbeiter insbesondere sicherstellt, dass die anderen, durch ihn innerhalb des Unternehmens wahrgenommenen Aufgaben und Pflichten, nicht zu einer Interessenkollision mit seiner Funktion als DSB führen oder seine Unabhängigkeit beeinträchtigen.

Nach einem Datenverlust (Versenden von Rechnungen an falsche E-Mail-Adressen von Kunden) führte der Inspektionsdienst der belgischen Datenschutzbehörde eine Untersuchung durch und stellte eine Interessenkollision fest zwischen den Aufgaben und Pflichten des DSB einerseits und seinen anderen Aufgaben innerhalb des Unternehmens andererseits. Gemeint war hier seine Funktion als Direktor der Compliance-, Risikomanagement- und Innenrevisionsdienste.

Als Direktor der Compliance-, Risikomanagement- und Innenrevisionsdienste wurde der DSB als Verantwortlicher betrachtet, der über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden konnte. Laut Datenschutzbehörde sind die Aufgaben und Pflichten dieses Verantwortlichen mit denen des DSB unvereinbar, weil der DSB in der Lage sein muss, seine Aufgabe unabhängig zu erfüllen. Tatsächlich verhindere die Häufung der Aufgaben eine unabhängige Kontrolle durch den DSB. Die Datenschutzbehörde fügt hinzu, dass diese Häufung von Aufgaben keine ausreichende Geheimhaltung und Vertraulichkeit der Daten gegenüber den Mitarbeitern gewährleiste.

Als Folge dieser Entscheidung werden viele Unternehmen möglicherweise einen anderen DSB benennen müssen. Es sollte auch daran erinnert werden, dass die Rechenschaftspflicht (Verpflichtung für Unternehmen, interne Mechanismen und Verfahren einzuführen, um die Einhaltung der Datenschutzbestimmungen nachzuweisen) fordert, dass die Beurteilung der Frage, ob ein DSB benannt werden muss oder nicht, zu dokumentieren ist und, falls ja, seine Fachkompetenz durch Empfehlungen Dritter zu untermauern ist.

Für weitere Informationen zu diesem Thema wenden Sie sich bitte an RA Antoine DECLEVE (antoine.decleve@cairnlegal.be).

Mit freundlichen Grüßen,
Ihr Cairn Legal Team

Seite drucken
0 Likes