Kürzlich erhielt eine Bank in Belgien ein Bußgeld in Höhe von 75.000 Euro (hier abrufbar), da das Unternehmen einen internen Datenschutzbeauftragten benannt hatte, der zugleich als Leiter von drei wichtigen Abteilungen fungierte, die mit der Tätigkeit des Datenschutzbeauftragten im Konflikt stünden.
Die gesetzilchen Aufgaben des Datenschutzbeauftragten sind in Art. 38 und Art. 39 DSGVO definiert. Demnach wirkt der (externe oder interne) Datenschutzbeauftragte darauf hin, dass der Verantwortliche die datenschutzrechtlichen Verpflichtungen einhält, unterstützt diesen bei der Umsetzung und fungiert zudem als weisungsfreie Kontrollinstanz. Wird ein Beschäftigter als interner Datenschutzbeauftragter benannt, kann dieser neben der Rolle als Datenschutzbeauftragter auch weitere Aufgaben im Rahmen des Beschäftigungsverhältnisses übernehmen. Voraussetzung ist allerdings, dass diese Aufgaben gemäß Art. 38 Abs. 6 DSGVO nicht im Konflikt zu den Aufgaben eines Datenschutzbeauftragten stehen.
Wenn wie im konkreten Fall hier die Leitung der Abteilungen Operational Risk Management, the Information Risk Management department and Special Investigation ausgeübt wird, kann ein solcher Interessenkonflikt zu recht angenommen werden. Vorsicht ist für Unternehmen immer dann angesagt, wenn die Funktionen der Datenschutzbeauftragten / des Datenschutzbeauftragten mit den Tätigkeiten der Managementebene (Geschäftsführung, Leitung der IT-Abteilung, Leitung des HR-Bereichs etc.) verknüpft sind. Wobei es für die Aufgabe des Datenschutzbeauftragten andererseits ja durchaus von Vorteil sein kann, wenn er eine gewisse Entscheidungskraft hat. Man muss aber sehen, dass der DSB nach dem gesetzlichen Leitbild eine Beratungs- und Überwachungaufgaben wahrnehmen soll. Die Umsetzung liegt beim Verantwortlichen (dem Unternehmen).