Datenschutzbußgeld wegen unzureichender Einbindung – Die Aufsichtsbehörden kontrollieren die Stellung des Datenschutzbeauftragten

von Nadja-Maria Becke

Stellung des Datenschutzbeauftragten

Die Artikel 38 und 39 der Datenschutzgrundverordnung geben gesetzliche Leitlinien für die Zusammenarbeit zwischen Verantwortlichem und Datenschutzbeauftragten vor. In der Praxis gibt es einige Unterschiede zwischen der Bestellung eines internen und eines externen Datenschutzbeauftragten. Insbesondere folgende Punkte sind jedoch in jedem Fall zwingend zu beachten:

• Frühzeitige Einbindung

Der Datenschutzbeauftragte ist frühzeitig in alle Fragestellungen mit Bezug auf den Schutz personenbezogener Daten einzubeziehen. Dabei handelt es sich um eine Verpflichtung des Verantwortlichen, der von sich aus die Benachrichtigung des Datenschutzbeauftragten sicherstellen muss. Frühzeitig meint hier einen Zeitpunkt, zu dem die Einschätzungen des Datenschutzbeauftragten im Rahmen der Planung eines Verarbeitungsvorganges noch ordnungsgemäß berücksichtigt werden können.

• Weisungsfreiheit

Der Datenschutzbeauftragte erbringt seine Aufgaben nach der Datenschutzgrundverordnung weisungsfrei. Daher ist es dem Verantwortlichen untersagt, inhaltlich auf die Beratungs- und Prüfergebnisse des Datenschutzbeauftragten einzuwirken.

• Berichtsrecht

Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene. Daher ist es nicht zulässig, wenn die Berichte des Datenschutzbeauftragten von untergeordneten Stellen geprüft und gegebenenfalls freigegeben werden müssen.

• Beratung der betroffenen Personen

Zu den Aufgaben des Datenschutzbeauftragten gehört es auch, betroffene Personen zur Datenverarbeitung und Ihren Rechten aus der Datenschutzgrundverordnung zu beraten. Der Verantwortliche ist wiederum verpflichtet diese Beratungstätigkeit auch tatsächlich zu ermöglichen. So muss er zum Beispiel die erforderlichen Ressourcen bereitstellen und, wie in Art. 37 Abs. 7 DSGVO festgelegt, die Kontaktdaten des Datenschutzbeauftragten veröffentlichen.

Nach Art. 83 Abs. 4 lit. a DSGVO kann wegen Verstößen des Verantwortlichen gegen die Vorgaben des Art. 38 und 39 DSGVO ein Bußgeld bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes verhängt werden.

Datenschutzbußgeld von 15.000 Euro

Dass es sich bei diesen Vorschriften nicht um zahnlose Tiger handelt, sondern diese durchaus ernstzunehmend und in der Praxis umzusetzen sind, zeigt das Bußgeld der Datenschutzaufsichtsbehörde Luxemburg. Diese hatte im Rahmen der Überprüfung eines Unternehmens Mängel bei der Umsetzung des Art. 38 und Art. 39 DSGVO festgestellt und ein Bußgeld in Höhe von 15.000 Euro verhängt.

Konkret bemängelte die Aufsichtsbehörde insbesondere, dass der Datenschutzbeauftragte entgegen Art. 38 Abs. 3 DSGVO nicht der höchsten Managementebene berichtete, nicht ausreichend qualifiziert war und nicht angemessen in alle Fragen des Schutzes personenbezogener Daten einbezogen wurde.

Datenschutzbußgeld: Höhe

Gerade wenn man es mit dem jüngsten Bußgeld gegen Amazon vergleicht (wir berichteten) scheinen 15.000 Euro nicht besonders spektakulär. Wichtig bei der Einordnung der Bußgeldhöhe ist jedoch, dass die Aufsichtsbehörde in Ihrer Stellungnahme bezüglich der Bußgeldhöhe allgemein auf die Bemessungskriterien des Art. 83 Abs. 2 DSGVO verweist. Daher kann hier nicht ohne Weiteres beurteilt werden, welche Faktoren unter Umständen strafmildern herangezogen wurden.

Bedeutung der Entscheidung der Aufsichtsbehörde zum Datenschutzbußgeld

Festzuhalten bleibt, dass die Datenschutzaufsichtsbehörden alle Vorgaben für Unternehmen aus der Datenschutzgrundverordnung prüfen und gegebenenfalls auch ahnden. Außerdem ist die reine Bestellung des Datenschutzbeauftragten nicht ausreichend. Vielmehr muss dem Datenschutzbeauftragten auch in der Praxis ermöglicht werden, seiner Prüf- und Beraterfunktion weisungsfrei und umfassend nachkommen zu können.

 

Gerne unterstützen wir Sie bei allen Fragen rund um den Datenschutz. Rufen Sie uns einfach in der Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 an oder nutzen Sie unser Kontaktformular.

 

Quelle: Bußgeldbescheid der luxemburgischen Datenschutzaufsichtsbehörde CNPD vom 11.06.2021 FR22/2021

assets/images/e/Nadja-Maria-Becke-1-e4dcbac5.jpg
Nadja-Maria Becke

Nadja-Maria Becke leitet unser Inhouse-Juristen-Team. Sie studierte an der Universität Passau Rechtswissenschaften mit anschließendem Referendariat sowie erstem und zweitem Staatsexamen. Ihr Spezialgebiet ist Datenschutzrecht. Ihr fundiertes Wissen hält sie jederzeit aktuell. Für unsere Kunden und unser Team hat sie so immer einen Rat für eine passgenaue Lösung parat.