Datenschutzbußgeld wegen unzureichender Einbindung – Die Aufsichtsbehörden kontrollieren die Stellung des Datenschutzbeauftragten

Der Datenschutzbeauftragte ist frühzeitig in alle Fragestellungen mit Bezug auf den Schutz personenbezogener Daten einzubeziehen. Dabei handelt es sich um eine Verpflichtung des Verantwortlichen, der von sich aus die Benachrichtigung des Datenschutzbeauftragten sicherstellen muss. Frühzeitig meint hier einen Zeitpunkt, zu dem die Einschätzungen des Datenschutzbeauftragten im Rahmen der Planung eines Verarbeitungsvorganges noch ordnungsgemäß berücksichtigt werden können.

Der Datenschutzbeauftragte erbringt seine Aufgaben nach der Datenschutzgrundverordnung weisungsfrei. Daher ist es dem Verantwortlichen untersagt, inhaltlich auf die Beratungs- und Prüfergebnisse des Datenschutzbeauftragten einzuwirken.

Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene. Daher ist es nicht zulässig, wenn die Berichte des Datenschutzbeauftragten von untergeordneten Stellen geprüft und gegebenenfalls freigegeben werden müssen.

Zu den Aufgaben des Datenschutzbeauftragten gehört es auch, betroffene Personen zur Datenverarbeitung und Ihren Rechten aus der Datenschutzgrundverordnung zu beraten. Der Verantwortliche ist wiederum verpflichtet diese Beratungstätigkeit auch tatsächlich zu ermöglichen. So muss er zum Beispiel die erforderlichen Ressourcen bereitstellen und, wie in Art. 37 Abs. 7 DSGVO festgelegt, die Kontaktdaten des Datenschutzbeauftragten veröffentlichen.

Nach Art. 83 Abs. 4 lit. a DSGVO kann wegen Verstößen des Verantwortlichen gegen die Vorgaben des Art. 38 und 39 DSGVO ein Bußgeld bis zu 10 Millionen Euro oder 2 % des Jahresumsatzes verhängt werden.

Dass es sich bei diesen Vorschriften nicht um zahnlose Tiger handelt, sondern diese durchaus ernstzunehmend und in der Praxis umzusetzen sind, zeigt das Bußgeld der Datenschutzaufsichtsbehörde Luxemburg. Diese hatte im Rahmen der Überprüfung eines Unternehmens Mängel bei der Umsetzung des Art. 38 und Art. 39 DSGVO festgestellt und ein Bußgeld in Höhe von 15.000 Euro verhängt.

Konkret bemängelte die Aufsichtsbehörde insbesondere, dass der Datenschutzbeauftragte entgegen Art. 38 Abs. 3 DSGVO nicht der höchsten Managementebene berichtete, nicht ausreichend qualifiziert war und nicht angemessen in alle Fragen des Schutzes personenbezogener Daten einbezogen wurde.

Gerade wenn man es mit dem jüngsten Bußgeld gegen Amazon vergleicht (wir berichteten) scheinen 15.000 Euro nicht besonders spektakulär. Wichtig bei der Einordnung der Bußgeldhöhe ist jedoch, dass die Aufsichtsbehörde in Ihrer Stellungnahme bezüglich der Bußgeldhöhe allgemein auf die Bemessungskriterien des Art. 83 Abs. 2 DSGVO verweist. Daher kann hier nicht ohne Weiteres beurteilt werden, welche Faktoren unter Umständen strafmildern herangezogen wurden.

Festzuhalten bleibt, dass die Datenschutzaufsichtsbehörden alle Vorgaben für Unternehmen aus der Datenschutzgrundverordnung prüfen und gegebenenfalls auch ahnden. Außerdem ist die reine Bestellung des Datenschutzbeauftragten nicht ausreichend. Vielmehr muss dem Datenschutzbeauftragten auch in der Praxis ermöglicht werden, seiner Prüf- und Beraterfunktion weisungsfrei und umfassend nachkommen zu können.

Gerne unterstützen wir Sie bei allen Fragen rund um den Datenschutz. Rufen Sie uns einfach in der Zentrale in Hutthurm unter +49 (0) 8505 91927 – 0 oder in unserer Niederlassung in München unter +49 (0) 89 413 2943 – 0 an oder nutzen Sie unser Kontaktformular.

Quelle: Bußgeldbescheid der luxemburgischen Datenschutzaufsichtsbehörde CNPD vom 11.06.2021 FR22/2021