Es ist passiert. Und zwar nicht nur ein Mal. Und auch in mehreren EU-Mitgliedsstaaten. Auch in Deutschland. Und es kann teuer werden.
Aber von Anfang an. Wir erleben es ab und zu, glücklicherweise nicht allzu häufig: Wir bekommen Anfragen von Interessenten, ob wir den Datenschutzbeauftragten stellen möchten und im Angebotsprozess wird irgendwann die Frage gestellt (mal offensiver, mal verklausuliert), ob es für uns Ok, wäre, wenn wir einfach die Monatspauschale kassieren und ansonsten den Kunden in Ruhe lassen würden. Geld für das Nichtstun sozusagen. Kling erstmal gut, wir machen es natürlich trotzdem nicht. Wir würden damit unseren Verpflichtungen aus der DSGVO (siehe Artt. 38 und 39 DSGVO) nicht nachkommen.
Bußgelder bis zu 525.000 Euro
Dieser Pflichtverstoß wäre aber nicht nur ein Risiko für uns, sondern auch für unsere Kunden. Dies zeigt sich an der Menge der Bußgelder, die seit 2018 mit genau dieser Begründung erlassen wurden. Wir waren in der Lage insgesamt 23 Bußgelderlasse zu recherchieren, die sich mit dem Thema “mangelnde Einbindung der*des Datenschutzbeauftragten” beschäftigt haben und sind überzeugt, dass es weitere Fälle geben wird, die gegebenenfalls nicht bekannt wurden oder ohne Bußgeld abgeschlossen wurden.
Das letzte uns bekannte Bußgeld (wir schreiben diesen Artikel am 13.08.2024) für die mangelnde Einbindung der*des Datenschutzbeauftragten wurde am 22.07.2024 von der Französischen Commission nationale de l’informatique et des libertés (CNIL) verhängt und beträgt 6.900 Euro. Dabei ist anzumerken, dass sich dieses Bußgeld von der Höhe eher im unteren Bereich befindet. Zwar wurden noch niedrigere Bußgelder für die mangelnde Einbindung der*des Datenschutzbeauftragten verhängt, beispielsweise 2.000 Euro durch die Italienische Datenschutzaufsicht Garante per la protezione dei dati personali (GPDP). Die meisten Bußgelder in diesem Bereich sind allerdings deutlich höher und betragen bis zu 525.000 Euro, verhängt von der Berliner Beauftragten für den Datenschutz und die Informationsfreiheit, BlnBDI am 20.09.2022. Aktuell gehen wir davon aus, dass die Bußgelder sich zukünftig voraussichtlich im 5-stelligen Eurobereich abspielen dürften.
Der Sachverhalt, dass für die mangelnde Einbindung der*des DSB (wir nutzen des besseren Schreib- und Leseflusses wegen ab hier mal die Abkürzung DSB) überhaupt Bußgelder verhängt werden, dürfte viele überraschen. Er zeigt aber auch, dass die Aufsichtsbehörden das Thema sehr ernst nehmen. Die Zeiten, in denen Unternehmen sich mit einem “oh, das wussten wir gar nicht” herausreden können, sind aller Voraussicht nach vorbei.
Mangelnde Einbindung kann vieles sein
Wir möchten an dieser Stelle anmerken, dass die mangelnde Einbindung der*des DSB sich nicht nur darin ausdrücken kann, dass die*der DSB nicht informiert und befragt wird, wenn Änderungen an Verarbeitungstätigkeiten gemacht werden oder neue eingeführt werden sollen. Eine mangelnde Einbindung oder auch nicht ordnungsgemäße Benennung liegt nach Ansicht der Aufsichtsbehörden auch vor, wenn
- die Kontaktdaten der*des DSB nicht veröffentlicht wurden;
- die Person der*des DSB aufgrund von Interessenkonflikten nicht als DSB geeignet ist (beispielsweise Geschäftsführer*innen der Unternehmen);
- mangelnde Fachkunde bei der*dem DSB vorliegt.
In den Fällen, die wir uns näher angesehen haben, erhielten die Verantwortlichen durch die Aufsichtsbehörde stets vorab eine Aufforderung, die Situation zu beseitigen. Das Bußgeld wurde erst verhängt, als bei der erneuten Überprüfung klar wurde, dass die Situation weiterhin bestand.
Alle Pflichten der DSGVO gelten auch ohne DSB unverändert
Nun könnte man meinen, dass es ausreichen sollte, sich dann um eine*n geeignete*n DSB zu kümmern, wenn die Aufsichtsbehörde dazu auffordert. Dabei wird allerdings die Tatsache übersehen, dass – gleich ob mit oder ohne DSB – alle Pflichten der DSGVO stets identisch zu erfüllen sind. Entdecken die Aufsichtsbehörden im Rahmen eines Verfahrens rund um die Einbindung der*des DSB weitere Mängel, können diese ebenfalls zu Bußgeldern führen. Es ist davon auszugehen, dass diese Bußgelder dann auch ohne vorherige Aufforderung, die Situation abzustellen, verhängt werden, da es sich bereits um Folgeverstöße handelt.
Wir empfehlen daher zum einen, die Benennung der*des DSB ernst zu nehmen und auch keine Versuche zu unternehmen, hier Ressourcen in Form von Personal, Zeit oder Geld zu sparen. Zum anderen bitten wir um Verständnis, wenn wir nicht als “Alibi-DSB” zur Verfügung stehen.
Der große Vorteil der*des externen DSB für die Unternehmen und Behörden ist, dass diese*r für die eigene Beratungstätigkeit haftet und auf eigene Kosten für die notwendige Fachkunde und deren Aktualität sowie alle benötigten Arbeitsmittel (beispielsweise juristische Kommentare) sorgt. Die Folge davon ist jedoch, dass externe DSB üblicherweise darauf bestehen (müssen), auch zu beraten und von den Mandant*innen einbezogen zu werden.
Passiert dies bei Ihrer*m externen DSB nicht, sollten Sie nachdenklich werden…
____________________________________
Die bITs GmbH berät Ihre Kunden zu allen Themen des Datenschutzes und stellt auf Wunsch den externen Datenschutzbeauftragten.
Haben Sie weitere Fragen an uns? Gerne können Sie sich dazu an uns wenden. Hier finden Sie unsere Kontaktdaten. Unser Team stellt sich übrigens hier vor.