Mauß Datenschutz GmbH
  • Über uns
  • Hinweisgebersystem
  • Websitemonitoring
  • Kontakt
  • Blog
  • Newsletter
  • Impressum
  • Datenschutzhinweise
  • Click to open the search input field Click to open the search input field Suche
  • Menü Menü
private kontaktdaten beschäftigte mangelnde einbindung dsb datenschutzbeauftragter anonymisierung

Bußgelder wegen mangelnder Einbindung der*des Datenschutzbeauftragten

13. August 2024/von Datenschutzbeauftragter/tma

Es ist passiert. Und zwar nicht nur ein Mal. Und auch in mehreren EU-Mitgliedsstaaten. Auch in Deutschland. Und es kann teuer werden.

Aber von Anfang an. Wir erleben es ab und zu, glücklicherweise nicht allzu häufig: Wir bekommen Anfragen von Interessenten, ob wir den Datenschutzbeauftragten stellen möchten und im Angebotsprozess wird irgendwann die Frage gestellt (mal offensiver, mal verklausuliert), ob es für uns Ok, wäre, wenn wir einfach die Monatspauschale kassieren und ansonsten den Kunden in Ruhe lassen würden. Geld für das Nichtstun sozusagen. Kling erstmal gut, wir machen es natürlich trotzdem nicht. Wir würden damit unseren Verpflichtungen aus der DSGVO (siehe auch hier, ja der Artikel ist sehr alt, aber immer noch aktuell, das wiederum können Sie in Art. 38 und 39 DSGVO nachlesen)  nicht nachkommen.

Bußgelder bis zu 525.000 Euro

Dieser Pflichtverstoß wäre aber nicht nur ein Risiko für uns, sondern auch für unsere Kunden. Dies zeigt sich an der Menge der Bußgelder, die seit 2018 mit genau dieser Begründung erlassen wurden. Wir waren in der Lage insgesamt 23 Bußgelderlasse zu recherchieren, die sich mit dem Thema „mangelnde Einbindung der*des Datenschutzbeauftragten“ beschäftigt haben und sind überzeugt, dass es weitere Fälle geben wird, die gegebenenfalls nicht bekannt wurden oder ohne Bußgeld abgeschlossen wurden.

Das letzte uns bekannte Bußgeld (wir schreiben diesen Artikel am 13.08.2024) für die mangelnde Einbindung der*des Datenschutzbeauftragten wurde am 22.07.2024 von der Französischen Commission nationale de l’informatique et des libertés (CNIL) verhängt und beträgt 6.900 Euro. Dabei ist anzumerken, dass sich dieses Bußgeld von der Höhe eher im unteren Bereich befindet. Zwar wurden noch niedrigere Bußgelder für die mangelnde Einbindung der*des Datenschutzbeauftragten verhängt, beispielsweise 2.000 Euro durch die Italienische Datenschutzaufsicht Garante per la protezione dei dati personali (GPDP). Die meisten Bußgelder in diesem Bereich sind allerdings deutlich höher und betragen bis zu 525.000 Euro, verhängt von der Berliner Beauftragten für den Datenschutz und die Informationsfreiheit, BlnBDI am 20.09.2022. Aktuell gehen wir davon aus, dass die Bußgelder sich zukünftig voraussichtlich im 5-stelligen Eurobereich abspielen dürften.

Der Sachverhalt, dass für die mangelnde Einbindung der*des DSB (wir nutzen des besseren Schreib- und Leseflusses wegen ab hier mal die Abkürzung DSB) überhaupt Bußgelder verhängt werden, dürfte viele überraschen. Er zeigt aber auch, dass die Aufsichtsbehörden das Thema sehr ernst nehmen. Die Zeiten, in denen Unternehmen sich mit einem „oh, das wussten wir gar nicht“ herausreden können, sind aller Voraussicht nach vorbei.

Mangelnde Einbindung kann vieles sein

Wir möchten an dieser Stelle anmerken, dass die mangelnde Einbindung der*des DSB sich nicht nur darin ausdrücken kann, dass die*der DSB nicht informiert und befragt wird, wenn Änderungen an Verarbeitungstätigkeiten gemacht werden oder neue eingeführt werden sollen. Eine mangelnde Einbindung oder auch nicht ordnungsgemäße Benennung  liegt nach Ansicht der Aufsichtsbehörden auch vor, wenn

  • die Kontaktdaten der*des DSB nicht veröffentlicht wurden;
  • die Person der*des DSB aufgrund von Interessenkonflikten nicht als DSB geeignet ist (beispielsweise Geschäftsführer*innen der Unternehmen);
  • mangelnde Fachkunde bei der*dem DSB vorliegt.

In den Fällen, die wir uns näher angesehen haben, erhielten die Verantwortlichen durch die Aufsichtsbehörde stets vorab eine Aufforderung, die Situation zu beseitigen. Das Bußgeld wurde erst verhängt, als bei der erneuten Überprüfung klar wurde, dass die Situation weiterhin bestand.

Alle Pflichten der DSGVO gelten auch ohne DSB unverändert

Nun könnte man meinen, dass es ausreichen sollte, sich dann um eine*n geeignete*n DSB zu kümmern, wenn die Aufsichtsbehörde dazu auffordert. Dabei wird allerdings allerdings die Tatsache übersehen, dass – gleich ob mit oder ohne DSB – alle Pflichten der DSGVO stets identisch zu erfüllen sind. Entdecken die Aufsichtsbehörden im Rahmen eines Verfahrens rund um die Einbindung der*des DSB weitere Mängel, können diese ebenfalls zu Bußgeldern führen. Es ist davon auszugehen, dass diese Bußgelder dann auch ohne vorherige Aufforderung, die Situation abzustellen, verhängt werden, da es sich bereits um Folgeverstöße handelt.

Wir empfehlen daher zum einen, die Benennung der*des DSB ernst zu nehmen und auch keine Versuche zu unternehmen, hier Ressourcen in Form von Personal, Zeit oder Geld zu sparen. Zum anderen bitten wir um Verständnis, wenn wir nicht als „Alibi-DSB“ zur Verfügung stehen.

Der große Vorteil der*des externen DSB für die Unternehmen und Behörden ist, dass diese*r für die eigene Beratungstätigkeit haftet und auf eigene Kosten für die notwendige Fachkunde und deren Aktualität sowie alle benötigten Arbeitsmittel (beispielsweise juristische Kommentare) sorgt. Die Folge davon ist jedoch, dass externe DSB üblicherweise darauf bestehen (müssen), auch zu beraten und von den Mandant*innen einbezogen zu werden.

Passiert dies bei Ihrer*m externen DSB nicht, sollten Sie nachdenklich werden…

https://datenschutzbeauftragter-hamburg.de/wp-content/uploads/2022/05/magnifying-4340698-scaled.jpg 1707 2560 Datenschutzbeauftragter/tma /wp-content/uploads/2016/06/datenschutz_hamburg_logo.png Datenschutzbeauftragter/tma2024-08-13 12:55:332024-08-15 15:35:13Bußgelder wegen mangelnder Einbindung der*des Datenschutzbeauftragten
Das könnte Sie auch interessieren
e-mail verschlüsselung ao bfdi datenschutz schulung sensibilisierung datenschutzhinweise Sensibilisierung der Beschäftigten – Pflicht oder Kür?
facebook fanpage Aufsichtsbehörden fordern Abschaltung von Facebook-Fanpages von Behörden
e-mail marketing einwilligung informationspflichten 7 uwg Fallen beim E-Mail-Marketing gegenüber Bestandskunden
berechtigtes interesse 6 1 f dsgvo bundesgerichtshof bgh eugh europäischer gerichtshof privacyshield gericht bußgeld 1&1 risiko bgh auskunftsrecht lag sachsen olg münchen schadenersatz google fonts eugh löschbegehren sicherheit e-mail auskunft frist unverzüglich Aufgezwungene besondere Kategorien personbezogener Daten
Datenschutzerklärung Datenschutzhinweise nur auf englisch LG Hamburg: Datenschutzhinweise müssen in der Sprache der Nutzer*innen geschrieben sein
KI-VO Serie zur KI-Verordnung: KI-Kompetenz und verbotene Praktiken

Bitte beachten Sie

Unsere Beiträge sind stets als allgemeine Information zu verstehen. Sie stellen die persönliche Meinung der jeweiligen Autor*innen dar und können eine professionelle Datenschutzberatung nicht ersetzen. Für die Korrektheit übernehmen wir keine Gewähr. Alle Informationen basieren auf unserem Wissensstand zum Zeitpunkt der Veröffentlichung. Sie können möglicherweise durch Rechtsprechung, Aussagen der Aufsichtsbehörden zum Datenschutz, geänderte Gesetzgebung oder ähnliches nicht mehr aktuell sein. Dies gilt insbesondere mit zunehmendem zeitlichen Abstand zum Veröffentlichungszeitpunkt.

Melden Sie sich für unseren kostenlosen Newsletter an

Abonnieren Sie unseren kostenlosen Newsletter.

Selbstverständlich können Sie sich jederzeit wieder abmelden. Für alle weiteren Details beachten Sie bitte unsere Datenschutzhinweise.

Sie erhalten in den nächsten Minuten eine E-Mail mit einem Bestätigungs-Link. Bitte prüfen Sie Ihren Posteingang und ggf. auch den Spamordner. Bitte klicken Sie den Bestätigungs-Link an, um Ihr Abonnement zu bestätigen. Erst danach ist das Abonnement aktiv. Vielen Dank für Ihr Interesse an unserem Newsletter. Mauß Datenschutz GmbH

Suchen

Search Search

Kontakt

Mauß Datenschutz GmbH

Neuer Wall 10
20354 Hamburg

Telefon:
040 / 999 99 52-0

Rechtliches

Impressum
Datenschutzhinweise

© Copyright Mauß Datenschutz GmbH | Datenschutz | Impressum | Kontakt         
Link to: Verarbeitung von Daten Verstorbener: Postmortaler Datenschutz Link to: Verarbeitung von Daten Verstorbener: Postmortaler Datenschutz Verarbeitung von Daten Verstorbener: Postmortaler Datenschutzhome office telearbeit mobiles arbeiten videokonferenz datenschutzhinweise webseite verstorbene Personen Link to: NIS-2 – ein neues Gesetz und to-dos im Bereich der IT-Sicherheit Link to: NIS-2 – ein neues Gesetz und to-dos im Bereich der IT-Sicherheit überprüfung tom ransomware trojaner NIS-2 BSIG NIS2UmsuCGNIS-2 – ein neues Gesetz und to-dos im Bereich der IT-Sicherheit
Nach oben scrollen Nach oben scrollen Nach oben scrollen