Bußgelder wegen fehlender Benennung oder Meldung eines Datenschutzbeauftragten

Die Frage ab wann ein Datenschutzbeauftragter bestellt werden muss oder sollte, beschäftigt viele Unternehmen. Die Aufgabe des Datenschutzbeauftragten ist die Einhaltung von datenschutzrechtlichen Vorgaben in einem Unternehmen zu prüfen und zu überwachen.

Mehr Informationen zum Datenschutzbeauftragten

Welche Aufgaben und Rechte ein Datenschutzbeauftragter hat, erfahren Sie in unserem ABC-Text! Gerne werden wir auch für Sie als externer Datenschutzbeauftragter tätig. Informieren Sie sich hier über unser Angebot.

Die Ernennung eines Datenschutzbeauftragten kann daher in vielen Fällen sinnvoll sein. Sind die Vorrausetzungen für die Bestellpflicht nach Art. 37 DS-GVO oder § 38 BDSG erfüllt, stellt die fehlende Benennung einen Bußgeldtatbestand dar. Dieser wird auch dann erfüllt, wenn zwar ein Datenschutzbeauftragter bestellt ist, dieser aber aufgrund fehlender fachlicher Qualifikation oder eines Interessenskonflikts nicht geeignet ist. Ebenfalls mit einem Bußgeld geahndet kann die fehlende Einbindung und Unterstützung des Datenschutzbeauftragten durch die verantwortliche Stelle, zu der Unternehmen nach Art. 38 Abs. 1, 2 DS-GVO verpflichtet sind.

Deutschland

Ein Telekommunikationsanbieter kam seiner Pflicht zur Bestellung eines Datenschutzbeauftragten nicht nach. Dieser wurde bereits im Vorfeld mehrfach von der Behörde aufgefordert, seiner Bestellpflicht nachzukommen. Bei der Bemessung der Bußgeldhöhe wurde berücksichtigt, dass es sich um ein Kleinstunternehmen handelt.

Durch eine Beschwerde wurde die Hamburgische Aufsichtsbehörde auf die Facebook Germany GmbH aufmerksam. Diese hatte 2017 der Aufsichtsbehörde gemeldet, dass die damalige Datenschutzbeauftragte ihr Amt nicht weiter ausführen werde, jedoch nicht mitgeteilt, wer der neue Datenschutzbeauftragte sein wird. Dies ist jedoch gem. Art. 37 Abs. 7 DS-GVO verpflichtend vorgesehen. Das Bußgeld ergeht nur gegen die deutsche Tochterfirma von Facebook, nicht gegen den Mutterkonzern, da es sich um einen ausschließlich in Deutschland begangenen Verstoß gegen die Mitteilungspflicht handelt.

Eine Autowaschkette versäumte es, einen gesetzlich vorgeschriebenen Datenschutzbeauftragten zu benennen. Zudem war die eingesetzte Videoüberwachungsanlage nicht mit den Anforderungen der DS-GVO vereinbar und damit rechtswidrig.

Luxemburg

Ein luxemburgisches Unternehmen hatte den internen Datenschutzbeauftragten nicht bei allen Datenschutzfragen eingebunden und ihm zudem nicht ausreichend Ressourcen  zur Verfügung gestellt, damit dieser seine Pflichten ordnungsgemäß erfüllen könnte. Ein neuernannter Datenschutzbeauftragter hat außerdem keine ausreichenden Weiterbildungsmöglichkeiten erhalten.

Österreich

Ein medizinisches Ambulatorium vertraute auf die (falschen) Informationen Dritter und unterließ es, einen Datenschutzbeauftragten zu bestellen, der bei medizinischen Einrichtungen allerdings erforderlich ist. Das Ambulatorium hätte aufgrund seiner besonderen datenschutzrechtlichen Verantwortung die Vorgaben in Eigeninitiative prüfen müssen. Die Behörde kritisierte zudem die unvollständigen und unverständlichen Datenschutzinformationen für Patienten und das Fehlen erforderlicher Datenschutzfolgenabschätzungen.

Spanien

Bei Ermittlungen bezüglich der Videoüberwachungsanlage bei einer privaten Sicherheitsfirma wurde die Aufsichtsbehörde darauf aufmerksam, dass das Unternehmen keinen gesetzlich erforderlichen Datenschutzbeauftragten benannt hatte. Die ahndete die unrechtmäßige Videoüberwachung sowie die fehlende Benennung mit einem Bußgeld.

Die Aufsichtsbehörde erreichten mehrere Beschwerden, dass ein Online-Versandhändler keinen Datenschutzbeauftragten benannt hatte. Das Unternehmen gab an, bereits seit März 2019 einen Datenschutzbeauftragten benannt zuhaben, dies aber erst im Februar 2020 öffentlich gemacht zu haben. Die Aufsichtsbehörde sah die Benennung als verspätete an und ahndete zudem die fehlende Meldung an die Aufsichtsbehörde.