Sikov - stock.adobe.com
Interessenkonflikte: Was widerspricht dem Datenschutz?
Interessenkonflikte im Datenschutz können zu Sanktionen und Bußgeldern führen, wie Entscheidungen von Aufsichtsbehörden zeigen. Wir nennen Beispiele für Interessenkonflikte.
Viele Unternehmen in Deutschland sind zwiegespalten, wenn es um den Datenschutz geht. So loben 67 Prozent, dass die DSGVO (Datenschutz-Grundverordnung) weltweit Maßstäbe für den Umgang mit personenbezogenen Daten setzt. Jedes zweite Unternehmen (50 Prozent) glaubt, dass die DSGVO zu einheitlichen Wettbewerbsbedingungen innerhalb der EU führt, so eine Umfrage des Digitalverbands Bitkom (PDF).
Andererseits sagen viele Unternehmen, dass mindestens ein Innovationsprojekt in den vergangenen zwölf Monaten aufgrund des Datenschutzes gescheitert ist oder gar nicht in Angriff genommen wurde. In 82 Prozent der Unternehmen lag das an konkreten DSGVO-Vorgaben, in 93 Prozent an Unklarheiten im Umgang mit den Vorgaben.
Konkret betraf das in jedem zweiten Unternehmen den Aufbau von Datenpools (52 Prozent), in 45 Prozent die Prozessoptimierung im Bereich der Kundenbetreuung, in 38 Prozent den Einsatz neuer Datenanalysetools und in 37 Prozent den Einsatz von Cloud-Diensten.
Offensichtlich gibt es Konflikte bei der Umsetzung des Datenschutzes, einerseits gilt es, die DSGVO einzuhalten und dadurch auch Wettbewerbsvorteile zu genießen, andererseits erscheint der Datenschutz als Hindernis.
Doch es gibt noch mehr Interessenkonflikte, wenn es um den Datenschutz geht. Dabei drohen sogar Sanktionen und Bußgelder.
Interessenkonflikt der betrieblichen Datenschutzbeauftragten
Ein aktuelles Beispiel: Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro (PDF) wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Das Unternehmen hatte einen Datenschutzbeauftragten benannt, der Entscheidungen unabhängig kontrollieren sollte, die er selbst in einer anderen Funktion getroffen hatte.
Die Aufsichtsbehörde stellt klar: Betriebliche Datenschutzbeauftragte haben nach DSGVO eine wichtige Aufgabe. Sie beraten das Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten und kontrollieren die Einhaltung der Datenschutzvorschriften. Diese Funktion dürfen gemäß Datenschutz-Grundverordnung ausschließlich Personen ausüben, die keinen Interessenkonflikten durch andere Aufgaben unterliegen.
Das wäre zum Beispiel bei Personen mit leitenden Funktionen im Unternehmen der Fall, die selbst maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen. Die Aufgabe darf demnach nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden.
Dazu Volker Brozio, kommissarischer Dienststellenleiter der Berliner Beauftragten für Datenschutz und Informationsfreiheit: „Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden. Eine solche Selbstkontrolle widerspricht der Funktion eines Datenschutzbeauftragten, der gerade eine unabhängige Instanz sein soll, die im Unternehmen auf die Einhaltung des Datenschutzes hinwirkt.“
„Zur Vermeidung von Datenschutzverstößen sollten Unternehmen etwaige Doppelrollen der betrieblichen Datenschutzbeauftragten in Konzernstrukturen auf Interessenkonflikte hin prüfen“, so Brozio weiter. „Das gilt insbesondere dann, wenn Auftragsverarbeitungen oder gemeinsame Verantwortlichkeiten zwischen den Konzerngesellschaften bestehen.“
Beispiele für Interessenkonflikte
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg gibt Beispiele, wann ein Interessenkonflikt zu erwarten ist: Ein möglicher Interessenkonflikt nach DSGVO kann entstehen, wenn Datenschutzbeauftragte gleichzeitig als Leiterin beziehungsweise Leiter der Personalabteilung eingesetzt würden. Bei Mitarbeiterinnen und Mitarbeitern in hierarchisch nachgeordneten Positionen ist die Frage möglicher Interessenkonflikte hingegen im Einzelfall zu prüfen und kann nicht pauschal beantwortet werden.
Ebenso ist ein Interessenkonflikt bei Personen anzunehmen, die die IT-Abteilung leiten oder Administrationstätigkeiten ausüben und damit Einfluss auf die Verarbeitung der personenbezogenen Daten haben. Auch die Geschäftsführung, die durch die Datenschutzbeauftragte beziehungsweise den Datenschutzbeauftragten beraten werden soll, die Gesellschafterinnen und Gesellschafter eines Unternehmens und nahe Angehörige der Geschäftsführung scheiden als Datenschutzbeauftragte in der Regel aus.
In diesen Fällen liegt ein wirtschaftliches Interesse der beziehungsweise des Datenschutzbeauftragten am Unternehmenserfolg nahe, sodass auch hier die Objektivität ihrer beziehungsweise seiner Arbeit gefährdet sein kann.
Interessenkonflikte auch bei Betroffenen
Letztlich kann man sogar von Interessenkonflikten bei Betroffenen sprechen. Genau genommen handelt es sich dabei aber um den ungewollten oder gewollten Missbrauch von Betroffenenrechten. Wenn zum Beispiel eine Person das Auskunftsrecht nach DSGVO ausüben will, dabei aber Daten wünscht, die gar nicht unter dieses Recht fallen, gibt es Konflikte im Datenschutz.
Es gibt zahlreiche Beispiele für die falsche Anwendung des Auskunftsrechts: So urteilte das Oberlandesgericht Dresden über das Auskunftsersuchens eines Versicherungsnehmers, der eine Auskunft nach DSGVO dazu nutzen wollte, in Erfahrung zu bringen, ob die ihm gegenüber erfolgten Beitragserhöhungen aus formellen Gründen unwirksam sind. Das aber ist unzulässig, so das Gericht.
Ob Unternehmen, Datenschutzbeauftragte oder Betroffene, für alle gilt: Datenschutzrechte haben bestimmte Ziele, mit denen man in Konflikt geraten kann. Eine Datenschutzkontrolle muss unabhängig erfolgen können, die Privatsphäre kann nicht einfach jedem Geschäftsmodell geopfert werden, und der Datenschutz ist auch kein Mittel, um an Informationen zu kommen, die mit dem eigentlichen Schutz personenbezogener Daten nichts zu tun haben.
Wer das nicht beachtet, gerät in Konflikt mit dem Datenschutz, bis hin zu Sanktionen und Bußgeldern, wie das genannte Beispiel des Interessenkonflikts bei einem Datenschutzbeauftragten zeigt.