Sobald mindestens 20 Personen im Unternehmen personenbezogene Daten automatisiert verarbeiten, muss ein Datenschutzbeauftragter (DSB) bestellt werden – kleinere Unternehmen können sich freiwillig dazu entscheiden, um das Thema Datenschutz auf rechtssichere Beine zu stellen. Doch die Bestellung allein reicht nicht aus, um die Anforderungen der DSGVO zu erfüllen – der DSB muss ausreichend in die Prozesse, die den Datenschutz betreffen, einbezogen werden, um seine Aufgabe adäquat ausführen zu können. Doch was bedeutet ausreichend?
Urteil aus Luxemburg
Die luxemburgische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 18.000 Euro gegen eine Unternehmensgruppe, da diese ihren DSB nicht ausreichend einbezogen hatte. Das Bußgeld wurde zwischenzeitlich auch vom Verwaltungsgericht des Großherzogtums Luxemburg bestätigt.
Zum Sachverhalt:
- Die Unternehmensgruppe bestellte einen DSB und setzte zur Unterstützung einen Rechtsanwalt als lokale Kontaktstelle ein.
- Zusätzlich wurde ein Gremium eingerichtet, das sich mit dem Datenschutz im Luxemburg beschäftigte.
- Der DSB war nicht Teil des Gremiums und wurde nur durch die Sitzungsprotokolle und Fragen der lokalen Kontaktstelle über die Inhalte und Themen informiert.
- Es gab keine Informationen zur formal festgelegten Arbeitszeit der lokalen Kontaktstelle.
Die Urteilsbegründung:
- Der DSB hat gemäß DSGVO die Aufgabe, den Verantwortlichen (das Unternehmen) hinsichtlich seiner Pflichten zu informieren und zu beraten. Dafür ist es notwendig, dass dieser den DSB in alle Fragen den Datenschutz betreffend einbezieht – und zwar frühzeitig, damit auch eine Beratung stattfinden kann. Da das Unternehmen immer zuerst die lokale Kontaktstelle einbezog und den DSB erst einschaltete, wenn eine betroffene Person unzufrieden mit der Bearbeitung war, verstieß es gegen diese Anforderung der DSGVO.
- Des Weiteren wurde bemängelt, dass der DSB nicht Teil des Gremiums war, sondern lediglich informiert wurde. Der DSB konnte die erforderliche Beratung nicht durchführen.
- Auch hinsichtlich der zur Verfügung gestellten Ressourcen hatte die Datenschutzbehörde Zweifel, da keine formale Arbeitszeit definiert wurde. Nach ihrer Einschätzung hätte es bei der Unternehmensgröße einer Vollzeitkraft bedurft. Stellt das Unternehmen zu wenig Ressourcen zur Verfügung, kann der DSB seinen Aufgaben nicht im erforderlichen Umfang nachkommen.
Wie beziehen Sie Ihren DSB ein?
Wir von HUBIT Datenschutz informieren unsere Mandanten über alle Rechte und Pflichten und stehen stets beratend zur Seite. Grundlage der Zusammenarbeit ist, dass unsere Mandanten uns zeitnah in alle Prozesse einzubeziehen und uns unverzüglich zum Beispiel über Überprüfungen oder Anfragen der Datenschutzbehörde informieren – nur so können wir bestmöglich agieren und ein drohendes Bußgeld im Idealfall verhindern.
Benötigen Sie Unterstützung im Bereich Datenschutz? Dann sprechen Sie uns an und profitieren von unserer Erfahrung und unserem Know-how!