Bußgeld wegen Überlastung des Datenschutzbeauftragten

Im Beitrag „Interne Datenschutzbeauftragte und unsere Beobachtungen“ berichten wir von unseren Eindrücken. Nun gab es in Juni 2024 eine Entscheidung zu einem Fall, dessen Ursache u. a. darin liegt, dass dem zu dieser Zeit relevanten Datenschutzbeauftragten nicht ausreichend Zeit für die Aufgaben als Datenschutzbeauftragter bereitgestellt wurde. Die belgische Datenschutzaufsichtsbehörde verhängte deshalb ein Bußgeld von 172.431 Euro wegen Überlastung des Datenschutzbeauftragten (Az.: 87/2024 – Dokument auf Französisch).

Was war vorgefallen?

Bei einem Kauf eines Produktes war der betroffenen Person eine unerwartete Gebühr für einen Energiebeitrag unangenehm aufgestoßen. Daraufhin bat sie um Erstattung dieses Beitrages und verlangte auch die Löschung aller sie betreffenden personenbezogenen Daten. Dem Löschantrag kam der Verantwortliche angeblich nach und informierte die betroffene Person, dass er das Löschbegehren umgehend bearbeiten würde.

Obwohl der Verantwortliche dem Betroffenen mitteilte, er wäre dem Löschbegehren nachgekommen, erhielt die betroffene Person dennoch erneut Werbematerial. Dies führte dazu, dass die betroffene Person die belgische Datenschutzaufsichtsbehörde einschaltete. Die Behörde kontaktierte daraufhin den Verantwortlichen. Dieser reagierte allerdings nicht auf das Schreiben der Datenschutzaufsichtsbehörde.

Begründungen für die ausbleibende Reaktion und die Datenschutzverstöße

Zum einen begründete der Verantwortliche die ausbleibende Reaktion damit, dass die Ereignisse, die zum Verfahren führten, auf die Arbeit des früheren Datenschutzbeauftragten zurückzuführen waren. Zum anderen waren weder der neue Datenschutzbeauftragte noch die Geschäftsführung über diesen Fall informiert worden und demnach über die Probleme in diesem Fall auch nicht im Bilde. Dabei kommunizierten sie, dass der frühere Datenschutzbeauftragte auch nicht im Kontakt mit der betroffenen Person oder der Datenschutzaufsichtsbehörde stand.

Erster festgestellter Datenschutzverstoß: Ungenügende Ressourcen

Die Datenschutzaufsichtsbehörde verwies u. a. auf Art. 38 Abs. 2 DSGVO: „Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stelle.“

Zu betrachten ist hier, dass die zeitliche Ressource fehlte: Der vorherige Datenschutzbeauftragte war in Teilzeit für den Verantwortlichen tätig gewesen. Daraus schloss die Behörde auf seine Überlastung. Als Folge dessen stellte die fehlende Zeit zur Ausübung seiner Aufgaben als Datenschutzbeauftragter ein Hindernis dar, auf die Anfrage zu reagieren und das Ergreifen entsprechender Maßnahmen intern anzustoßen.

Zweiter festgestellter Datenschutzverstoß: Ungenügende technische und organisatorische Maßnahmen

Des Weiteren sah die Datenschutzaufsichtsbehörde einen Mangel darin, dass die ergriffenen technischen und organisatorischen Maßnahmen nicht ausreichend waren, um zu prüfen, dass die Löschung der personenbezogenen Daten der betroffenen Person tatsächlich wirksam umgesetzt wurde. Schließlich zeigte sich, dass das Unternehmen die Daten nicht in der Weise gelöscht hatte, wie es versprochen hatte und es die DSGVO verlangt.

Bußgeldhöhe

Die Datenschutzaufsichtsbehörde hatte initial ein Bußgeld von 245.000 Euro festgelegt. Aufgrund der schwierigen finanziellen Lage des Verantwortlichen setzte sie die Bußgeldhöhe auf 172.431 Euro herab.

Fazit

Anhand dieses Bußgeldes führt die Datenschutzaufsichtsbehörde vor, wie kostspielig und für ein Unternehmen schädlich auch ein Verstoß bei der (nebenberuflichen) Benennung eines Datenschutzbeauftragten ohne ausreichende Ressourcen sein kann. Dabei ist es nicht nur wichtig, dem Datenschutzbeauftragten ausreichend Zeit zur Ausübung seiner Aufgaben zur Verfügung zu stellen. Es ist auch essentiell, dass der Datenschutzbeauftragte das relevante Wissen zum Datenschutz hat, dass er sich bewusst ist, den Verantwortlichen entsprechend beispielsweise über Auskunftsbegehren und insbesondere aufsichtsbehördliche Maßnahmen zu informieren.

Unsere Empfehlung: Spätestens, wenn der interne (nebenberuflich tätige) Datenschutzbeauftragte zeitliche Probleme bei der Erfüllung seiner Aufgaben dem Verantwortlichen signalisiert, sollte der Verantwortliche dem Datenschutzbeauftragten mehr Ressourcen bereitstellen. Möglich ist dies durch die Bereitstellung von zusätzlichem Personal, zeitlich befristete oder auch dauerhafte externe Unterstützung oder auch die Benennung eines externen Datenschutzbeauftragten.

Gern stellen wir Ihnen unsere Erfahrung im Bereich Datenschutz zur Verfügung. Wir sind in der Lage, Sie im Rahmen temporärer Unterstützung bei der zeitintensiven Bearbeitung von Datenschutzvorfällen Auskunftsanfragen, Löschbegehren oder bei der Kommunikation mit der Datenschutzaufsichtsbehörde zu unterstützen. Kontaktieren Sie uns gern für ein kostenfreies Gespräch: So erhalten wir eine bessere Vorstellung von Ihren Anforderungen und können Ihnen ein unverbindliches, individuelles Angebot erstellen.

E-Mail

Schreiben Sie uns eine E-Mail.

Kontakt

Kontaktieren Sie uns.