Anforderungen an die Einbindung des Datenschutzbeauftragten ins Unternehmen

Anforderungen an die Einbindung des Datenschutzbeauftragten ins Unternehmen
Einbindung externer Datenschutzbeauftragter

Die luxemburgische Aufsichtsbehörde hat bei einem nicht näher benannten Unternehmen des Transportsektors eine Datenschutzprüfung zur Funktion des Datenschutzbeauftragten durchgeführt. Die Datenschutzprüfung erfolgte per Fragebogen und durch Vor-Ort-Untersuchungen beim geprüften Unternehmen.

Prüfkriterien zur Funktion des Datenschutzbeauftragten

Seitens der Aufsichtsbehörde wurden für die Überprüfung nachfolgende Kriterien festgelegt: [1]

  1. Erfüllung der Benennungspflicht eines Datenschutzbeauftragten (DSB);
  2. Veröffentlichung der Kontaktdaten des DSB;
  3. Mitteilung der DSB-Kontaktdaten durch den Verantwortlichen an die zuständige Aufsichtsbehörde;
  4. Überprüfung ob der DSB auf der Grundlage seiner beruflichen Qualifikationen, insbesondere des datenschutzspezifischen Fachwissens benannt wurde;
  5. Sicherstellung, dass die Aufgaben und Aufgaben des DSB nicht zu Interessenskonflikten führen;
  6. Sicherstellung, dass dem DSB, die für die Erfüllung seiner Aufgaben erforderlichen Ressourcen und der Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stehen;
  7. Sicherstellung, dass der DSB bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhält;
  8. Maßnahmen zur ordnungsgemäßen und frühzeitigen Einbindung des DSB durch den Verantwortlichen in alle mit dem Schutz personenbezogenen Daten zusammenhängenden Fragen;
  9. Sicherstellen, dass der DSB seinen Informations- und Beratungsauftrag für den Verantwortlichen und die Beschäftigten erfüllt ;
  10. Sicherstellen, dass der DSB eine angemessene Kontrolle über die Datenverarbeitung innerhalb seiner Organisation ausübt;
  11. Unterstützung des Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzung bei neuer Datenverarbeitung;

Untersuchungsergebnis

Im Untersuchungsbericht stellte der Prüfer insbesondere nachfolgende Versäumnisse des Verantwortlichen bei der Integration des Datenschutzbeauftragten in das Datenschutz Management des Unternehmens fest:

  • Mangelnde Einbeziehung des DSB in alle Angelegenheiten des Schutzes personenbezogener Daten;
  • Nicht ausreichende Gewährleistung der Autonomie des DSB;
  • Fehlende Formalisierung des Kontrollauftrags des DSB;
  • Unzureichende Maßnahmen zur Erfüllung des Informations- und Beratungsauftrags durch den DSB, wie Tätigkeitsberichte an die Geschäftsführung oder angemessenes Schulungssystem für Beschäftigte;

Geldbuße und Anweisungen durch die Aufsichtsbehörde

Aufgrund der festgestellten Verstöße gegen Datenschutzbestimmungen wurde das Unternehmen mit einer Geldbuße von 15.000 Euro belegt.

Zusätzlich zur Geldbuße sprach die Aufsichtsbehörde nachfolgende Anweisungen gegenüber dem Verantwortlichen aus:

  • Die formalisierte und dokumentierte Beteiligung des DSB in allen Fragen des Datenschutzes sicherzustellen;
  • Die Autonomie des DSB durch die Einrichtung und Aufrechterhaltung eines formalen Mechanismus zu garantieren;
  • Die Kontrollaufgaben des DSB zu formalisieren und zu dokumentieren;
  • Die Wahrnehmung des formellen und dokumentierten Unterichtungs- und Beratungsauftrages des DSB gegenüber dem Verantwortlichen sicherzustellen;

Quelle


[1] Vergl Abschnitt 4 Datenschutzbeauftragter, Art 37-39 DSGVO;