Ein Geben und Nehmen im Datenschutz
Sie kennen das: Ihr Datenschutzbeauftragter steht Ihnen mit Rat und Tat zur Seite, beantwortet Fragen, schlägt Lösungen vor und unterstützt Sie bei Ihren Vorhaben, damit Ihr Unternehmen sicher ist. Aber wie sieht es umgekehrt aus? Was tun Sie für Ihren internen oder externen Datenschutzbeauftragten? Binden Sie ihn frühzeitig ein? Informieren Sie ihn proaktiv über Neuerungen? Haben Sie ein Ohr für seine Handlungsempfehlungen?
Ein aktuelles Bußgeldverfahren erinnert daran, wie Geschäftsleitungen Ihre Datenschutzbeauftragten unterstützen sollten. Lesen Sie also, wie Sie hohe Folgekosten und viel Ärger vermeiden.
Die luxemburgische Datenschutzbehörde (CNPD) hat im Rahmen einer weltweiten Untersuchungskampagne zur Funktion des Datenschutzbeauftragten im privaten und öffentlichen Sektor eine Untersuchung bei einem Logistikunternehmen durchgeführt.
Hier wurde geprüft, ob das Logistikunternehmen die gesetzlichen Anforderungen an die Funktion des Datenschutzbeauftragten erfüllt.
Nach ihrer Untersuchung in dem Unternehmen stellte die CNPD fest, dass der benannte Datenschutzbeauftragte des Unternehmens offenbar nicht zu allen für ihn relevanten Sitzungen eingeladen wurde und daher nicht davon ausgegangen werden konnte, dass er ordnungsgemäß und rechtzeitig in alle Fragen einbezogen wurde, die den Schutz personenbezogener Daten betreffen, wie in Artikel 38 Absatz 1 DSGVO gefordert.
Ebenso war der Datenschutzbeauftragte nicht direkt der obersten Führungsebene des Unternehmens unterstellt, weshalb nicht sichergestellt war, dass der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben gemäß Art. 38 Absatz 3 DSGVO ohne Anweisungen handeln konnte.
Obwohl vernünftigerweise erwartet werden konnte, dass der Datenschutzbeauftragte eine formelle und regelmäßige Berichterstattung über seine Tätigkeit an die Geschäftsleitung vornimmt, war eine solche Berichterstattung nicht eingerichtet worden. Das Unternehmen hat daher die Anforderungen von Art. 39 Abs. 1 lit. a DSGVO nicht erfüllt, der besagt, dass der Datenschutzbeauftragte, den für die Verarbeitung Verantwortlichen informieren und beraten sollte.
Abschließend konnte das Unternehmen nicht nachweisen, dass es über einen Audit-Plan für das Jahr verfügte und somit gegen Artikel 39 Abs. 1 lit. a DSGVO bezüglich der Pflichten des Datenschutzbeauftragten zur Überwachung der Einhaltung der DSGVO verstieß.
In Anbetracht dieser Verstöße verhängte die CNPD ein Bußgeld in Höhe von fünfzehntausend Euro (15.000 €) gegen das Unternehmen.
Zusätzlich ordnete sie an, die Einhaltung der Artikel 38 Absatz 1, Artikel 38 Absatz 3, Artikel 39 Absatz 1 Buchstabe a und Artikel 39 Absatz 1 Buchstabe b DSGVO innerhalb von vier Monaten nach Zustellung des Bescheids sicherzustellen.
(Quelle: gdprhub.eu)
Dies Beispiel verdeutlicht einmal mehr, wie wichtig es ist, dass Sie Ihren Datenschutzbeauftragten schon von Anfang an mit einbeziehen. Sollten Sie bisher noch keinen Datenschutzbeauftragten benannt haben und hier Ihrerseits Handlungsbedarf bestehen, so ist die Konzept 17 GmbH Ihr kompetenter Ansprechpartner als externer Datenschutzbeauftragter.
12. Juli 2021
