Die Datenschutz-Aufsichtsbehörde in Luxemburg hat am 27.10.2021 ein Bußgeld von 18.700 EUR gegen ein Unternehmen verhängt, u. a. wegen unzureichender Einbindung und Autonomie des Datenschutzbeauftragten. Die bei der Untersuchung festgelegten Prüfziele können Unternehmen nutzen, um festzustellen, ob das Risiko besteht, dass der eigene Datenschutzbeauftragte nicht ausreichend eingebunden ist.
Bereits im Jahr 2018 hatte sich die Aufsichtsbehörde näher mit der Rolle des Datenschutzbeauftragten im Sinn der Datenschutz-Grundverordnung (DS-GVO) beschäftigt und im Rahmen einer Stichprobenuntersuchung 25 nicht-öffentliche und öffentliche Verantwortliche geprüft.
Ende 2018 wurde für ein Unternehmen eine formelle Prüfung eingeleitet. Konkreter Gegenstand war die Umsetzung der Benennung und der Einbindung des Datenschutzbeauftragten. Hierzu wurden die – am Ende dieses Beitrags aufgelisteten – 11 Prüfziele festgelegt.
Diese Prüfziele bieten einen interessanten Einblick in die Anforderungen der Aufsichtsbehörden. Diese gelten, wenn Unternehmen verpflichtet sind, einen Datenschutzbeauftragten zu benennen und angemessen zu integrieren.
Aus der aktuell vorliegenden, anonymisierten Bußgeld-Entscheidung der Aufsichtsbehörde lässt sich herauslesen, dass das betroffene Unternehmen aus dem Bankenbereich stammen könnte.
Es wurden Verstöße in den nachfolgenden Bereichen festgestellt:
(aus der französischen Entscheidung der Aufsichtsbehörde ins Deutsche übersetzt)
- die Verpflichtung, die Kontaktdaten des DSB zu veröffentlichen
- die Verpflichtung, den DSB in alle Fragen des Datenschutzes einzubeziehen
- die Verpflichtung, die Autonomie des DSB zu gewährleisten
- die Kontrollaufgabe des DSB
Im Laufe des Verfahrens hat das Unternehmen Abhilfemaßnahmen zugesagt, deren Umsetzung die Aufsichtsbehörde bei Nachkontrollen zunächst nicht feststellen bzw. nachvollziehen konnte.
Insgesamt war das Verfahren lang und ist in der 21 Seiten umfassenden Entscheidung detailliert beschrieben.
Gegen das Unternehmen wurde am 27.10.2021 ein Bußgeld in Höhe von 18.700 EUR verhängt und die Anordnung erlassen, innerhalb von 4 Monaten nach Zustellung der Entscheidung die Einhaltung von Art. 38 Abs. 3 DS-GVO herzustellen. Insbesondere soll das Unternehmen sicherstellen, „dass ein formeller Mechanismus eingerichtet und aufrechterhalten wird, der die Autonomie des DSB gewährleistet.“
Interesse am Volltext der Entscheidung und ggf. an einer automatischen Übersetzung, kann hier gerne in den Kommentaren bekundet werden. Ich helfe dann aus.
Prüfziele der Untersuchung:
(aus der französischen Entscheidung der Aufsichtsbehörde ins Deutsche übersetzt)
- Sicherstellen, dass die Organisation, die verpflichtet ist, einen DSB zu bestellen, dies auch getan hat
- Sicherstellen, dass die Organisation die Kontaktdaten ihres DSB veröffentlicht hat
- Sicherstellen, dass die Einrichtung die Kontaktdaten ihres DSB an die CNPD übermittelt hat
- Sicherstellen, dass der DSB über ausreichende Fachkenntnisse und Kompetenzen verfügt, um seine Aufgaben effektiv zu erfüllen
- Sicherstellen, dass die Missionen und Aufgaben des DSB nicht zu Interessenkonflikten führen
- Sicherstellen, dass der DSB über ausreichende Ressourcen verfügt, um seine Aufgaben effektiv zu erfüllen
- Sicherstellen, dass der DSB in der Lage ist, seine Aufgaben mit einem ausreichenden Maß an Autonomie innerhalb seiner Organisation auszuüben
- Sicherstellen, dass die Organisation Maßnahmen ergriffen hat, um sicherzustellen, dass der DSB in alle Datenschutzfragen einbezogen wird
- Sicherstellen, dass der DSB seine Aufgabe, den für die Verarbeitung Verantwortlichen und die Beschäftigten zu informieren und zu beraten, erfüllt
- Sicherstellen, dass der DSB eine angemessene Aufsicht über die Datenverarbeitung in seiner Organisation ausübt
- Sicherstellen, dass der DSB den für die Verarbeitung Verantwortlichen bei der Durchführung von Folgenabschätzungen im Falle neuer Datenverarbeitungen unterstützt
Downloads (nur für Kunden sichtbar)