Behandlung des Datenschutzbeauftragten

Darf man den Datenschutzbeauftragten „kaltstellen“ oder ist die Einbindung desselben Pflicht des Verantwortlichen?

Ein Beispiel für die Konsequenzen bei mangelhafter Einbindung eines Datenschutzbeauftragten liefert das Urteil des Luxemburger Verwaltungsgerichts (Rechtssache Nr. 46401). Es verhängte eine Geldbuße von € 18.000,- gegen eine Unternehmensgruppe, die trotz der klaren Anforderungen der DSGVO den Datenschutzbeauftragten weder ausreichend eingebunden noch ihm genügend Ressourcen zur Erfüllung seiner Aufgaben bereitgestellt hatte.

• Konkret wandte sich das Unternehmen erst an den Datenschutzbeauftragten, nachdem Beschwerden von Betroffenen vorlagen und zunächst die lokale Kontaktstelle involviert war. Dies verstößt gegen die Vorgaben der DSGVO, da eine frühzeitige Beratung durch den Datenschutzbeauftragten nicht möglich war.
• Darüber hinaus wurde kritisiert, dass der Datenschutzbeauftragten nicht als aktives Mitglied im Entscheidungsgremium vertreten war, sondern lediglich nachträglich informiert wurde. Dadurch war es ihm nicht möglich, die notwendige Beratung im Vorfeld zu leisten.
• Auch in Bezug auf die zur Verfügung gestellten Ressourcen äußerte die Datenschutzbehörde Bedenken. Es gab keine klare Festlegung der Arbeitszeit für den Datenschutzbeauftragten, obwohl bei der Größe des Unternehmens eine Vollzeitstelle erforderlich gewesen wäre.

Dieses Urteil verdeutlicht, dass nicht nur die Benennpflicht eingehalten werden muss. Vielmehr muss der Datenschutzbeauftragte auch in der Praxis von Anfang an in alle datenschutzrelevanten Prozesse miteingebunden werden.

Hier findest du eine englische Übersetzung TADM – 46401 – GDPRhub und hier eine deutsche Zusammenfassung: de lege data | Unzureichende Einbindung des Gruppen/Konzern-DSB und mangelnde Ressourcen? 18.000 EUR Bußgeld gegen ein Unternehmen in Luxemburg