Hohes Bußgeld wegen Verstoß gegen datenschutzrechtliche Informations- und Dokumentationspflichten
Ein kürzlich von der Niedersächsischen Datenschutzbehörde verhängtes Millionen-Bußgeld macht nochmals deutlich, dass die Gewährleistung der Rechtmäßigkeit der Datenverarbeitung allein längst noch nicht ausreicht, um die zahlreichen weiteren Anforderungen der Datenschutz-Grundverordnung (DS-GVO) zu erfüllen. Nicht zuletzt müssen Unternehmen aufgrund ihrer datenschutzrechtlichen Rechenschaftspflicht („Accountability“) auch in der Lage sein, nachzuweisen, dass und wie sie ihre datenschutzrechtlichen Pflichten erfüllen.
Im konkreten Fall verhängte die Datenschutzbehörde trotz an sich rechtmäßiger Datenverarbeitung ein Bußgeld über 1,1 Millionen Euro allein aufgrund folgender Pflichtverstöße:
- Fehlende Information betroffener Personen (Art. 13, 14 DS-GVO)
- Fehlende Vereinbarung zur Auftragsverarbeitung (Art. 28 DS-GVO)
- Fehlende Datenschutz-Folgenabschätzung (Art. 35 DS-GVO)
- Unvollständiges Verarbeitungsverzeichnis (Art. 30 DS-GVO)
Das verhängte Bußgeld unterstreicht nicht zuletzt auch die immense Bedeutung, die Aufsichtsbehörden den in der Praxis oft vernachlässigten datenschutzrechtlichen Informations- und Dokumentationspflichten beimessen.
Um bei Einführung neuer oder Umgestaltung existierender Geschäftsprozesse und Systeme die Einhaltung aller datenschutzrechtlichen Anforderungen sicherzustellen und deren Einhaltung zugleich auch nachweisen zu können, empfehlen wir Unternehmen im Sinne von „Privacy by Design“ die frühzeitige Erstellung und kontinuierliche Umsetzung solider und praxistauglicher Datenschutzkonzepte – gerade auch, um behördlichen Maßnahmen, Bußgeldern und Schadensersatzforderungen betroffener Personen wirkungsvoll vorzubeugen. Wirksame Datenschutzkonzepte für Geschäftsprozesse und Systeme sollten nicht nur sämtliche datenschutzrechtlichen Anforderungen adressieren, sondern zugleich festlegen, welche Rollen im Unternehmen diese Anforderungen praktisch umsetzen und durch welche konkreten Maßnahmen. Bestehende Geschäftsprozesse und Systeme sollten im Sinne eines kontinuierlichen Prozesses regelmäßig dahingehend überprüft werden, ob die im Datenschutzkonzept festgelegten Maßnahmen tatsächlich umgesetzt werden und wo möglicherweise noch Verbesserungspotential besteht.
Tragfähige und praktisch umsetzbare Konzepte für eine datenschutzkonforme Gestaltung von Geschäftsprozessen und Systemen zählen dabei nicht nur zu den essentiellen Präventionsmaßnahmen, um aufsichtsbehördliche Maßnahmen, Bußgelder oder Schadensersatzforderungen betroffener Personen von vornherein zu vermeiden. Auch bei der Abwehr behördlicher Maßnahmen, Bußgelder und Schadensersatzklagen im Rahmen der Data Protection Litigation können Datenschutzkonzepte zum Nachweis der Datenschutz-Compliance eine entscheidende Rolle spielen.
Share
Insights
