DSGVO-Bußgeld – Bußgeldverfahren wegen unzureichender Einbindung des Datenschutzbeauftragten

Geprüft wurde bei dem Verfahren u.a. die Fachkunde des DSBs, insbesondere da es sich dabei um eine externe Anwaltskanzlei handelt. Genauer geprüft wurde dabei offensichtlich nicht nur die Unabhängigkeit, sondern auch die Erfahrung, obwohl es sich um eine Kanzlei handelte. Nach Ansicht der Behörden muss ein DSB ein anerkannter „Datenschutzexperte“ mit mindestens drei Jahren Erfahrung in diesem Bereich sein. Die Funktion sollte auch über ausreichend Zeit und Ressourcen verfügen, die mindestens einem Vollzeitmitarbeiter (!) entsprechen. Tun Unternehmen das? Vermutlich eher die wenigsten. Das sollten sie aber. Ansonsten wird in absehbarer Zeit auch in Deutschland ein DSGVO-Bußgeld drohen.

Im Jahr 2018 leitete die luxemburgische Datenschutzbehörde (CNPD) 25 verschiedene Prüfverfahren ein. Sowohl im privaten, als auch im öffentlichen Sektor befand sich der Bezug auf die Rolle des Datenschutzbeauftragten (DSB) gemäß Kap. 4 (4) der DSGVO. Bei einem dieser Prüfungsverfahren bei einem Privatunternehmen, stellte der Untersuchungsleiter der CNPD gleich mehrere Verstöße fest. Das Unternehmen hatte gegen vier verschiedene Verpflichtungen in Bezug auf die Rolle des DSBs gemäß der DSGVO verstoßen.

In Bezug auf den Verstoß gegen Art. 37 (7) DSGVO vertrat die CNPD die Auffassung, dass die Kontaktdaten des DSB auf der Website des Unternehmens nicht leicht zu finden und nur auf Englisch und nicht in einer der Amtssprachen zu finden waren.

Ein weiterer Verstoß wurde gegen Art. 38 (1) DSGVO festgestellt. Hier vertrat die CNPD die Auffassung, dass der DSB nicht ausreichend in alle datenschutzrechtlichen Fragen eingebunden war. Insbesondere wies die CNPD darauf hin, dass der externe DSB nicht freiwillig eingreifen könne. Nur auf Aufforderung des Unternehmens kann der externe DSB tätig werden. Die Tatsache, dass die Gesellschaft im Zuge der Untersuchung entschieden hat, auch einen internen Datenschutzbeauftragten zu benennen, der regelmäßiger in alle Fragen des Datenschutzes eingebunden wird, schafft keine Abhilfe für diesen ersten Verstoß. Die CNPD kam daher zu dem Schluss, dass das Unternehmen zum Zeitpunkt der Untersuchung gegen Artikel 38 Absatz 1 DSGVO verstoßen hatte.

Zum Verstoß gegen Art. 39 (1) lit.b DSGVO, war die CNPD der Meinung, wonach das Unternehmen die erforderlichen Kontrollverfahren nicht umgesetzt hatte, die es dem externen DSB ermöglicht hätten, die Einhaltung der Datenverarbeitungspraktiken des Unternehmens mit der DSGVO ordnungsgemäß zu überwachen. Die Behörde räumte ein, dass es für eine Organisation durchaus möglich ist, sich bei der Überwachung der Einhaltung der DSGVO auf die Dienste eines externen Datenschutzbeauftragten zu verlassen. Sie legte jedoch fest, dass die Rolle des externen DSB dann in Form eines Kontrollplans oder Überwachungsverfahren formalisiert werden muss. Mit diesem Verfahren ist sicherzustellen, dass der DSB die Organisation im Hinblick auf die Einhaltung des Datenschutzes effektiv beraten und begleiten kann. Da zum Zeitpunkt der Einleitung der Untersuchung ein solcher Kontrollplan oder ein solches Überwachungsverfahren noch nicht eingeführt worden war, wurde dies als Verstoß gewertet.

Es wurde ebenfalls ein Verstoß gegen Art. 38 (2) DSGVO festgestellt. Das Unternehmen hatte dem externen DSB nicht die erforderlichen Ressourcen zugewiesen, damit dieser seine Aufgaben erfüllen kann. Insbesondere stellte die CNPD fest, dass die Zahl der Stunden, in denen der Datenschutzbeauftragte für das Unternehmen arbeitete, nicht einem Vollzeitbeschäftigten entsprach. Vielmehr arbeitete der DSB in der Regel zwischen 20 und 108 Stunden pro Monat. Das entspricht in etwa 12,5 bis 70 % eines Vollzeitbeschäftigten. Obwohl das Unternehmen dieses Problem durch die Einstellung eines anderen DSB im Laufe der Untersuchung angegangen ist, kam die CNPD zu dem Schluss, dass das Unternehmen vor dieser Änderung gegen die DSGVO verstoßen hatte.

Aus all diesen Gründen erließ die CNPD eine einstweilige Verfügung gegen das Unternehmen, um seine Praktiken für die verbleibenden Verstöße in Einklang mit der DSGVO zu bringen (mit einer Frist von 6 Monaten zur Behebung dieser Verstöße) und verhängte außerdem eine Geldbuße in Höhe von 18.000 EUR gegen die Gesellschaft.

Quelle: https://cnpd.public.lu/content/dam/cnpd/fr/decisions-fr/2021/Decision-38FR-2021-sous-forme-anonymisee.pdf

Sie möchten sich von unseren Experten in den Bereichen Informationssicherheit oder Datenschutz helfen lassen? Kontaktieren Sie uns gerne über unser Kontaktformular!