Bußgelder wegen Verstoß gegen die Rechenschaftspflicht

Verantwortliche Stellen sind nach der DS-GVO nicht nur verpflichtet, bei der Verarbeitung personenbezogener Daten alle Vorgaben einzuhalten, sie müssen dies auch nachweisen können. Diese Pflicht findet sich in der DS-GVO an zwei Stellen wieder. Zum einen verpflichtet Art. 5 Abs. 2 DS-GVO Sie dazu, im Rahmen der Rechenschaftspflicht die Beachtung der Grundsätze der ordnungsgemäßen Datenverarbeitung nachweisen zu können. Zum anderen dehnt Art. 24 Abs. 1 DS-GVO diese Rechenschaftspflicht auf sämtliche Pflichten des Verantwortlichen aus. Dies hat zur Folge, dass auch ein Bußgeld drohen kann, wenn die datenschutzrechtlichen Vorschriften zur Verarbeitung an sich zwar eingehalten werden, dies aber nicht nachgewiesen werden kann.

Deutschland

Gegen die VfB Stuttgart 1893 AG sowie den zugehörigen Verein wurde von der zuständigen Aufsichtsbehörde ermittelt, da das Unternehmen Datenflüsse nicht nachvollziehen konnte. Es wurden personenbezogene Daten von Mitgliedern an Dritte übermittelt, ohne dass es hierzu Dokumentationen gab. Dies stellt einen fahrlässigen Verstoß gegen die Rechenschaftspflicht dar, weshalb gegen die AG ein Bußgeld verhängt wurde. Positiv berücksichtigt wurde bei der Bemessung der Bußgeldhöhe, dass sich der Fußballverein sehr kooperativ zeigt und das Datenschutzmanagement noch während des laufenden Verfahrens umstrukturiert und verbessert wurde.

Griechenland

Ein Unternehmen konnte nicht nachweisen, dass die mit dem Betrieb der eingesetzten Videoüberwachung einhergehende Datenverarbeitung rechtmäßig war. Die stellt einen Verstoß gegen die Rechenschaftspflicht dar. Im Übrigen war die Videoüberwachung auch nicht zulässig.

Rumänien

Ein Nahrungsmittelhersteller konnte nicht nachweisen, dass die Datenverarbeitung im Rahmen der Videoüberwachung rechtmäßig war, was einen Verstoß gegen die Rechenschaftspflicht darstellt. Zudem war der Einsatz der Kameras in der Kantine sowie in den Umkleideräumen seiner Beschäftigten unzulässig, da die nicht erforderlich oder zweckdienlich war, was einen Verstoß gegen die Prinzipien der Zweckbindung und Datenminimierung darstellt.