Datenschutzbeauftragter in Italien: Die Rolle des DSB ist völlig unvereinbar mit der des gesetzlichen Vertreters des Unternehmens

veröffentlicht am 2. April 2025 | Lesedauer ca. 4 Minuten

In einer Bestimmung vom 19. Dezember 2024 erließ die Datenschutzbehörde („Garante“) eine Sanktion gegen ein Kreditsanierungsunternehmen („Unternehmen“) in Höhe von 70.000 EURO.

Ausgangspunkt des Verfahrens war ein Bericht der italienischen Zentralbank, in dem Unregelmäßigkeiten bei den Anträgen des Unternehmens auf Zugang zu den Daten von der Risikozentrale festgestellt wurden.

Die Untersuchung begann am 13. Juni 2023 mit einer Inspektion am Hauptsitz des oben erwähnten Unternehmens. Insbesondere wurde festgestellt, dass der gesetzliche Vertreter des Unternehmens ohne ordnungsgemäße Legitimation zahlreiche Anträge auf Zugang zu den Daten der Risikozentrale im Namen von Einzelpersonen gestellt haben soll. Dies gab Anlass zur Besorgnis über einen möglichen Missbrauch von sensiblen Finanzdaten.

Die Untersuchung von Garante ergab schwerwiegende Mängel in der Verwaltung der personenbezogenen Daten durch das Unternehmen. So ergab die Untersuchung, dass das Unternehmen personenbezogene Daten von Kunden über seine Website sammelte, ohne die betroffenen Personen angemessen zu informieren, was einen Verstoß gegen Artikel 14 der Datenschutz-Grundverordnung darstellt.

Darüber hinaus wurde die Datenaufbewahrung nicht ordnungsgemäß verwaltet: Die personenbezogenen Daten von mehr als 70 000 Kunden wurden in einer zentralen Datenbank gespeichert, ohne dass die Aufbewahrungsfristen klar definiert waren und ohne ein System zur regelmäßigen Löschung. Dies führte zu einem Verstoß gegen den in Artikel 5 der Datenschutz-Grundverordnung verankerten Grundsatz der Beschränkung der Aufbewahrung.

Ein weiterer wichtiger Aspekt der Untersuchung betraf die Beziehung zwischen dem Unternehmen und Dritten, die an der Datenverarbeitung beteiligt sind. Es wurde festgestellt, dass mehrere Berater und Mitarbeiter Daten im Namen des Unternehmens verarbeiteten, ohne formell als für die Verarbeitung Verantwortliche benannt worden zu sein, wie dies in Artikel 28 der Datenschutz-Grundverordnung vorgeschrieben ist. Die bestehenden Verträge waren allgemein gehalten und enthielten keine spezifischen Angaben zu den Aufgaben und Verantwortlichkeiten der beteiligten Personen.

Schließlich wurde bei der Ernennung des Datenschutzbeauftragten (DSB) ein schwerwiegender Interessenkonflikt festgestellt: Das Unternehmen hatte seinen gesetzlichen Vertreter zum DSB ernannt, was einen Verstoß gegen Artikel 38 der Datenschutz-Grundverordnung darstellt, der die Unabhängigkeit dieser Person vorschreibt. Außerdem hatte das Unternehmen die Benennung des DSB nicht, wie in Artikel 37 vorgeschrieben, dem Garanten mitgeteilt.

Deshalb bekräftigte der Garante, wie wichtig es ist, die Grundprinzipien des Schutzes personenbezogener Daten zu beachten, insbesondere den Grundsatz der Transparenz und der Verarbeitung nach Treu und Glauben. Gemäß Artikel 5 der Datenschutz-Grundverordnung müssen personenbezogene Daten auf rechtmäßige und transparente Weise verarbeitet werden, während Artikel 14 von dem für die Verarbeitung Verantwortlichen verlangt, den betroffenen Personen klare Informationen über die Verarbeitung ihrer Daten zu geben.

Der Erlass unterstreicht auch die Notwendigkeit einer ordnungsgemäßen Verwaltung der Beziehungen zwischen Verantwortlichen für die Datenverarbeitung und Datenverarbeitern, indem er die Verpflichtung auferlegt, klare Verträge zu erstellen, die die von externen Parteien ausgeführten Tätigkeiten regeln.

Vor allem aber wird in der Bestimmung betont, dass die korrekte Ernennung des DSB eine entscheidende Rolle spielt: Die verantwortliche Person muss unabhängig sein und darf nicht in einem Interessenkonflikt mit der Rolle des gesetzlichen Vertreters des Unternehmens stehen.

Angesichts dieser Verstöße erklärte die Garante die von dem Unternehmen durchgeführte Datenverarbeitung für rechtswidrig und verhängte eine Geldbuße in Höhe von 70.000 Euro. Außerdem wurden dem Unternehmen eine Reihe von Abhilfemaßnahmen auferlegt, um die Datenschutzvorschriften einzuhalten.

Er ordnete insbesondere an:

Die Einrichtung eines klaren Verfahrens für die Speicherung personenbezogener Daten, das konkrete Fristen für die Löschung nicht mehr benötigter Daten festlegt;
Die unverzügliche Löschung der personenbezogenen Daten von Kunden, die die Dienstleistungen des Unternehmens nicht in Anspruch genommen haben, und die Löschung von Daten, die über die gesetzlichen Grenzen hinaus aufbewahrt werden;
Abschluss von Verträgen (oder anderen geeigneten Rechtsakten) mit allen Dritten, die Daten im Auftrag des Unternehmens verarbeiten, in Übereinstimmung mit Artikel 28 der Datenschutz-Grundverordnung, in denen die Aufgaben und Zuständigkeiten klar festgelegt sind;
Die Ernennung eines unabhängigen und gesetzeskonformen Datenschutzbeauftragten als Ersatz für die Person, die sich derzeit in einem Interessenkonflikt befindet, sowie die förmliche Mitteilung an die Datenschutzbehörde über die Ernennung des neuen Datenschutzbeauftragten und die Maßnahmen, die ergriffen wurden, um den gesetzlichen Vorschriften zu entsprechen.

In Anlehnung an die Bestimmung der Garante sollte daher daran erinnert werden, dass die Bestellung eines DSB auf den Kriterien der Unabhängigkeit, der Kompetenz und der Fähigkeit zur Verwaltung des Datenschutzes beruhen muss.

Um den idealen Kandidaten zu finden, ist es sinnvoll, eine Bewertung der Funktion des DSB vorzunehmen und dabei Folgendes zu prüfen:

Die für die Funktion erforderlichen spezifischen Fähigkeiten;
frühere Erfahrungen auf dem Gebiet des Datenschutzes;
Erlangte Zertifizierungen, wie zum Beispiel:

Zertifizierung UNI 11697/2017 (Privacy Manager/Privacy Specialist);
Zertifizierung Privacy Officer (ISO/IEC 17024);
CIPP/E (Certified Information Privacy Professional/Euroope);
CIPM (Certified Information Privacy Manager);
Informationssicherheitszertifizierungen (z. B. ISO/IEC 27001).

Darüber hinaus sollte der DSB seine Kenntnisse durch ständige Fortbildung auf dem neuesten Stand halten, da sich die Datenschutzvorschriften ständig weiterentwickeln.

Die Auswahl eines DSB kann nicht improvisiert werden: Eine sorgfältige Analyse der geschäftlichen Anforderungen und der Fähigkeiten der Fachkraft ist unerlässlich, um die Einhaltung der DSGVO und ein wirksames Datenschutzmanagement im Unternehmen zu gewährleisten.