Artikelinhalt
In einem Unternehmen war der Geschäftsführer gleichzeitig auch als Datenschutzbeauftragter benannt – und das über einen Zeitraum von drei Jahren. Die Datenschutzbehörde hat das nicht durchgehen lassen: Sie sprach eine Geldbuße von 5.000 Euro aus. Denn wer für die Einhaltung der DSGVO verantwortlich ist, kann sich nicht gleichzeitig selbst überwachen.
1. Datenschutzbeauftragte müssen unabhängig sein
- Art. 38 DSGVO verlangt Unabhängigkeit: Ein Datenschutzbeauftragter (DSB) darf keine Position haben, in der er seine eigenen Entscheidungen prüfen muss.
- Der Geschäftsführer kann das nicht leisten: Er trifft Entscheidungen, setzt Strategien um und trägt wirtschaftliche Verantwortung – eine neutrale Kontrolle ist da unmöglich.
2. Interessenkonflikte sind nicht erlaubt
- DSGVO sieht klare Trennung vor: Wenn die Aufsichtsperson dieselbe ist wie die operative Führungskraft, liegt ein struktureller Interessenkonflikt vor.
- Selbstkontrolle ist kein wirksamer Datenschutz: Auch bei bester Absicht ist die Funktion unvereinbar – das Prinzip der Rechenschaftspflicht verlangt unabhängige Rollen.
3. Strafe wegen fehlender Sorgfalt
- Geldbuße trotz geringer Höhe mit Signalwirkung: 5.000 Euro mögen wenig erscheinen, zeigen aber: Auch organisatorische Fehler werden sanktioniert.
- Schuldhaftes Verhalten festgestellt: Die verantwortliche Stelle hatte sich laut Behörde „nicht mit den Anforderungen der DSGVO auseinandergesetzt“, obwohl es zumutbar und möglich gewesen wäre.
Fazit
Datenschutz funktioniert nur mit Rollenverteilung. Wer in einer Organisation sowohl lenkt als auch kontrolliert, untergräbt den Grundgedanken der DSGVO. Unternehmen – auch kleinere – sollten deshalb genau prüfen, wen sie als Datenschutzbeauftragten benennen. Ein unabhängiger Blick von außen ist nicht nur Pflicht, sondern schützt auch vor Sanktionen.
Links zum Artikel
Entscheidungen der Datenschutzbehörde – dsb.gv.at
Artikel 38 DSGVO – Unabhängigkeit des Datenschutzbeauftragten – gdpr.eu
