Bußgeld wegen fehlender Einbindung des Datenschutzbeauftragten
Wegen der unzureichenden Einbindung des Datenschutzbeauftragten musste ein Unternehmen aus Luxemburg nun ein Bußgeld in Höhe von 15.000 Euro zahlen. Der betreffende Datenschutzbeauftragte wurde nicht bei allen Datenschutzfragen einbezogen. Die Behörde stellte daher u.a. einen Verstoß gegen Art. 38 Abs. 1 DSGVO fest. Hiernach ist sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Fragen, die mit dem Schutz personenbezogener Daten zusammenhängen, eingebunden wird.
Fälle der Einbeziehung
In der Praxis ist eine Einbindung des Datenschutzbeauftragten insbesondere in folgenden Fällen erforderlich:
- vor der Auswahl eines Auftragsverarbeiters,
- vor der Aufnahme neuer Verarbeitungstätigkeiten,
- bei Datenschutzvorfällen,
- bei der Durchführung einer Datenschutz-Folgenabschätzung,
- bei der Gestaltung von Betriebs- bzw. Dienstvereinbarungen,
- bei allen sonstigen Projekten und Maßnahmen, bei denen personenbezogene Daten eine Rolle spielen
Datenschutzorganisation
Die Einbindung des Datenschutzbeauftragten erfordert überhaupt erstmal eine Organisation des Datenschutzes im eigenen Unternehmen. Im ersten Schritt ist die Benennung des Datenschutzbeauftragten allen Mitarbeitern bekannt zu machen. Um als Ansprechpartner für das Thema Datenschutz im Unternehmen zur Verfügung zu stehen, sollten neben den Kontaktdaten vor allem die Aufgaben und Zuständigkeiten des Datenschutzbeauftragten in einer Leitlinie zusammengefasst werden. Nach dieser sollte jeder Mitarbeiter verpflichtet werden, datenschutzrelevante Themen an den Datenschutzbeauftragten zu melden.
Frühzeitige Einbindung
Oft werden dem Datenschutzbeauftragten abgeschlossene Vorgänge zur Kenntnis gebracht. Dann ist es meist zu spät, um noch Veränderungen zu bewirken oder grundsätzliche Fragen mit der Aufsichtsbehörde abzustimmen. Die Einbindung des Datenschutzbeauftragten sollte daher möglichst schon im Prozess der Auswahl oder Entscheidung über eine neue Verarbeitungstätigkeit erfolgen. Nur so wird sichergestellt, dass auch die Anforderungen der DSGVO berücksichtigt werden und nachträglich kein zusätzlicher Planungsaufwand entsteht. Sinnvoll ist es daher zum Beispiel auch, den Datenschutzbeauftragten bereits vor der Auswahl eines neuen Dienstleisters oder vor dem Kauf einer neuen Software ins Boot zu holen.
Wegen der unzureichenden Einbindung des Datenschutzbeauftragten musste ein Unternehmen aus Luxemburg ein Bußgeld in Höhe von 15.000 Euro zahlen. Der betreffende Datenschutzbeauftragte wurde nicht bei allen Datenschutzfragen einbezogen. Die Behörde stellte daher u.a. einen Verstoß gegen Art. 38 Abs. 1 DSGVO fest. Hiernach ist sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Fragen, die mit dem Schutz personenbezogener Daten zusammenhängen,eingebunden wird.
Verwandte Beiträge
- Gefahr von Datenschutzverletzungen
In den aktuellen Tätigkeitsberichten aus Bayern und Baden-Württemberg werden die häufigsten Datenschutzverletzungen benannt. Gefahr von…
- Benennungspflicht des Datenschutzbeauftragten in Vereinen
Die Benennungspflicht des Datenschutzbeauftragten in Vereinen besteht unter anderem, wenn die Kerntätigkeit in einer umfangreichen…
- Passwortwechsel Goodbye
Der regelmäßige Passwortwechsel entsprich nach dem aktuellen IT-Grundschutzkompendium nicht mehr dem Stand der Technik. Das…