Geschäftsführer als Datenschutzbeauftragter: Teures Risiko für Unternehmen Geldstrafe von der DSB in Ö: EUR 5.000,--

Die österreichische Datenschutzbehörde hat am 16.10.2024 (rechtskräftiges Erkenntnis; 2024-0.641.771) eine Geldstrafe von 5.000 Euro gegen ein Unternehmen verhängt, weil es seinen Geschäftsführergleichzeitig als Datenschutzbeauftragtenbenannt hatte.

Diese Entscheidung unterstreicht die Wichtigkeit der Vermeidung von Interessenkonflikten bei der Benennung von Datenschutzbeauftragten und hat weitreichende Implikationen für Unternehmen und deren Führungskräfte, insbes. vertretungsbefugte Organe.

Die D**** GmbH, ein ehemaliges COVID-Testlabor, hatte seit ihrer Gründung am 19. Mai 2021 bis zum 26. Februar 2024 ihren handelsrechtlichen Geschäftsführer, Dr. Edzard T***, als Datenschutzbeauftragten bestellt.

Die Datenschutzbehörde stellte fest, dass das Unternehmen keine aktiven Schritte unternommen hatte, um sicherzustellen, dass die Vereinigung der Rollen als Geschäftsführer und Datenschutzbeauftragter in einer Person nicht zu Interessenkonfliktenführt

Die Behörde argumentierte, dass die Beschuldigte gegen Artikel 38 Absatz 6 DSGVO verstoßen habe, indem sie eine Person zum Datenschutzbeauftragten ernannte, die aufgrund ihrer gleichzeitigen Tätigkeit als Geschäftsführer einem Interessenkonflikt unterlag

Dies führte im Ergebnis zur Benennung einer nicht geeigneten Person als Datenschutzbeauftragten. Besonders bemerkenswert ist, dass die Qualifikationen des Geschäftsführers - ein Jurist mit zusätzlichem postgradualem Abschluss und begonnenem Lehrgang zum Datenschutzbeauftragten - nicht ausreichten, um den Interessenkonfliktzu kompensieren

Die Behörde betonte, dass die bloße Behauptung, es bestehe kein Interessenkonflikt, nicht ausreicht. Vielmehr müssen aktive, nach außen sichtbare Maßnahmen ergriffen werden, um potenzielle Konflikte zu verhindern

Für Unternehmen und deren Führungskräfte ergeben sich aus dieser Entscheidung wichtige Konsequenzen:

1. Trennung der Rollen: Geschäftsführer oder andere leitende Angestellte sollten nicht gleichzeitig als Datenschutzbeauftragte fungieren, um Interessenkonflikte zu vermeiden.
2. Aktive Maßnahmen: Falls eine Doppelrolle unvermeidbar ist, müssen Unternehmen nachweisbare und wirksame Maßnahmen ergreifen, um Interessenkonflikte zu verhindern.
3. Qualifikation allein reicht nicht: Selbst hochqualifizierte Personen können aufgrund ihrer Position im Unternehmen als ungeeignet für die Rolle des Datenschutzbeauftragten gelten.
4. Dokumentation: Unternehmen sollten ihre Überlegungen und Maßnahmen zur Vermeidung von Interessenkonflikten sorgfältig dokumentieren.
5. Regelmäßige Überprüfung: Die Eignung des Datenschutzbeauftragten und mögliche Interessenkonflikte sollten regelmäßig überprüft werden, insbesondere bei Änderungen in der Unternehmensstruktur oder den Aufgabenbereichen.

Diese Entscheidung verdeutlicht, dass Datenschutz nicht als Nebensache behandelt werden darf.

Unternehmen müssen sicherstellen, dass ihre Datenschutzbeauftragten unabhängig und frei von Interessenkonflikten agieren können, um kostspielige Strafen und Reputationsschäden zu vermeiden.