Die belgische Datenschutzaufsichtsbehörde, Autorité de protection des données (APD), hat kürzlich in einer Entscheidung die essenzielle Rolle und Unterstützungspflichten des Verantwortlichen gegenüber seinem Datenschutzbeauftragten (DSB) betont. Die APD stellte klar, dass der Verantwortliche sich nicht durch die Schuldzuweisung an den DSB entlasten kann, wenn dieser seine Aufgaben nicht vollumfänglich erfüllt und dadurch Datenschutzverstöße entstehen. Wir analysieren den Fall und beleuchten die daraus resultierenden Pflichten und Maßnahmen.
Der Fall: Ignoriertes Löschungsverlangen und Schlichtungsverfahren
Am 3. Juni 2024 veröffentlichte die APD ihre Entscheidung in der Sache 87/2024, die auf einem Löschungsverlangen einer betroffenen Person basiert. Diese Person hatte ein Produkt des Verantwortlichen erworben und einen Rechnungsposten beanstandet. Nach Ignorieren ihrer Rückerstattungsforderung verlangte sie per E-Mail die Löschung ihrer personenbezogenen Daten und kündigte an, kein Kunde mehr sein zu wollen. Obwohl der Verantwortliche den Erhalt der E-Mail bestätigte und die Löschung zusicherte, erhielt die betroffene Person weiterhin Werbung.
Nachdem ein Schlichtungsverfahren aufgrund mangelnder Reaktion des Verantwortlichen erfolglos blieb, wurde die Beschwerde an die Streitkammer der APD weitergeleitet. Im Verlauf des Verfahrens wurde deutlich, dass weder die E-Mail der betroffenen Person beantwortet noch ihre Daten gelöscht worden waren, was schließlich zur Eröffnung eines förmlichen Beschwerdeverfahrens führte.
Was hätte der Verantwortliche tun müssen?
Es ist bereits fraglich, ob der Verantwortliche, der der Betroffenen die Löschung zugesagt hatte, die Löschanfrage überhaupt ordentlich geprüft hatte. Nach deutschem Recht hätte der Verantwortliche aufgrund der vertraglichen Bindung zur Betroffenen zumindest erwägen sollen, die personenbezogenen Daten für den Zeitraum der ordentlichen Verjährungsfrist teilweise aufzubewahren. Dies wäre auch nach belgischem Recht zu überlegen, das sogar in der Regel deutlich längere Verjährungsfristen hat. Egal ob eine Löschung im Ergebnis erfolgt wäre oder nicht – der Wunsch der Betroffenen, keine Werbung zu erhalten, hätte beachtet werden müssen.
War das die Schuld des Datenschutzbeauftragten?
In der mündlichen Anhörung verteidigte sich der Verantwortliche mit der Behauptung, der damalige Datenschutzbeauftragte habe die E-Mail der betroffenen Person sowie Schreiben der APD nicht bearbeitet oder intern weitergeleitet. Diese Versäumnisse führte der Verantwortliche auf die Überlastung des Datenschutzbeauftragten zurück. Der Verantwortliche betonte, dass er von dieser Arbeitsüberlastung jedoch nichts gewusst habe. Inzwischen sei der DSB durch einen neuen, vollzeitbeschäftigten Datenschutzbeauftragten ersetzt worden, der durch zwei weitere Mitarbeitende unterstützt werde.
Die Aufsichtsbehörde ließ die Argumentation des Verantwortlichen nicht gelten und betonte, dass das Versäumnis, die E-Mail zu beantworten und die Daten zu löschen, einen Verstoß gegen Art. 5 Abs. 2 und Art. 24 DSGVO darstelle. Der Verantwortliche habe es versäumt, interne und wirksame Verfahren einzurichten, um die Bearbeitung von Betroffenenanfragen zu gewährleisten.
Die APD verwies auf Art. 38 Abs. 2 DSGVO, der die Unterstützungspflichten des Verantwortlichen gegenüber dem DSB definiert. Diese Unterstützung umfasst die Bereitstellung notwendiger Ressourcen, den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die Mittel zur Erhaltung des Fachwissens des Datenschutzbeauftragten. Die APD hob hervor, dass der Datenschutzbeauftragte frühzeitig in alle datenschutzrelevanten Fragen einbezogen werden und ausreichende zeitliche sowie finanzielle, infrastrukturelle und personelle Ressourcen erhalten müsse. Darüber hinaus müsse der Datenschutzbeauftragte Zugang zu allen Abteilungen und Kommunikationsmitteln haben, um seine Aufgaben effektiv wahrnehmen zu können.
Im Ergebnis verhängte die Behörde vor allem ein Bußgeld gemäß Art. 83 DSGVO.
Fazit
Die Entscheidung der APD unterstreicht, dass die bloße Benennung eines Datenschutzbeauftragten und die einmalige Bereitstellung von Ressourcen nicht ausreichen. Der Verantwortliche muss regelmäßig überprüfen, ob die gewährten Ressourcen ausreichend sind und gegebenenfalls aufstocken.
Verantwortliche müssen sicherstellen, dass die Unterstützung des Datenschutzbeauftragten kontinuierlich den rechtlichen Anforderungen gerecht wird und sie auf diese Weise ihren Unterstützungspflichten ausreichend nachkommen. Eine regelmäßige Evaluierung und Anpassung der Maßnahmen ist unerlässlich, um Datenschutzverstöße zu vermeiden und den Schutz personenbezogener Daten zu gewährleisten. Verantwortliche sollten daher proaktiv prüfen, ob die bereitgestellten Ressourcen für den DSB ausreichen und bei Bedarf nachbessern. Die Entscheidung dient als Mahnung, die Unterstützungspflichten ernst zu nehmen und die eigenen Datenschutzmaßnahmen kontinuierlich zu evaluieren und zu optimieren.
Was Sie bei Betroffenenanfragen generell beachten sollten, insbesondere bei Auskunftsanfragen, können Sie hier nochmal nachlesen.
Bildnachweis: KI generiert