Bußgeld wegen fehlender Einbindung des Datenschutzbeauftragten

Wegen der unzureichenden Einbindung des Datenschutzbeauftragten musste ein Unternehmen aus Luxemburg nun ein Bußgeld in Höhe von 15.000 Euro zahlen. Der betreffende Datenschutzbeauftragte wurde nicht bei allen Datenschutzfragen einbezogen. Die Behörde stellte daher u.a. einen Verstoß gegen Art. 38 Abs. 1 DSGVO fest. Hiernach ist sicherzustellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle Fragen, die mit dem Schutz personenbezogener Daten zusammenhängen, eingebunden wird.

 

Fälle der Einbeziehung

In der Praxis ist eine Einbindung des Datenschutzbeauftragten insbesondere in folgenden Fällen erforderlich:

  • vor der Auswahl eines Auftragsverarbeiters,
  •  vor der Aufnahme neuer Verarbeitungstätigkeiten,
  • bei Datenschutzvorfällen,
  • bei der Durchführung einer Datenschutz-Folgenabschätzung,
  • bei der Gestaltung von Betriebs- bzw. Dienstvereinbarungen,
  •  bei allen sonstigen Projekten und Maßnahmen, bei denen personenbezogene Daten eine Rolle spielen

 

Datenschutzorganisation

Die Einbindung des Datenschutzbeauftragten erfordert überhaupt erstmal eine Organisation des Datenschutzes im eigenen Unternehmen. Im ersten Schritt ist die Benennung des Datenschutzbeauftragten allen Mitarbeitern bekannt zu machen. Um als Ansprechpartner für das Thema Datenschutz im Unternehmen zur Verfügung zu stehen, sollten neben den Kontaktdaten vor allem die Aufgaben und Zuständigkeiten des Datenschutzbeauftragten in einer Leitlinie zusammengefasst werden. Nach dieser sollte jeder Mitarbeiter verpflichtet werden, datenschutzrelevante Themen an den Datenschutzbeauftragten zu melden.

 

Frühzeitige Einbindung

Oft werden dem Datenschutzbeauftragten abgeschlossene Vorgänge zur Kenntnis gebracht. Dann ist es meist zu spät, um noch Veränderungen zu bewirken oder grundsätzliche Fragen mit der Aufsichtsbehörde abzustimmen. Die Einbindung des Datenschutzbeauftragten sollte daher möglichst schon im Prozess der Auswahl oder Entscheidung über eine neue Verarbeitungstätigkeit erfolgen. Nur so wird sichergestellt, dass auch die Anforderungen der DSGVO berücksichtigt werden und nachträglich kein zusätzlicher Planungsaufwand entsteht. Sinnvoll ist es daher zum Beispiel auch, den Datenschutzbeauftragten bereits vor der Auswahl eines neuen Dienstleisters oder vor dem Kauf einer neuen Software ins Boot zu holen.

Rechtsanwalt Robert Harzewski