Kundenbeschwerde wegen 1,50 EUR führt zu DSGVO-Bußgeld in Höhe von ca. 172.000 EUR – Ein Problem: Teilzeit-DSB, der seine Aufgaben nicht erfüllen konnte

Die Datenschutzbehörde aus Belgien (APD) verhängte gegen ein Unternehmen ein Bußgeld in Höhe von 172.431 EUR, weil es das Unternehmen unter anderem versäumt hatte, die personenbezogenen Daten einer betroffenen Person im Zusammenhang mit Direktwerbung zu löschen und weil es einen Teilzeit-DSB beschäftigte, der aber überlastet war und seine Aufgaben nicht wirksam wahrnehmen konnte (hier die englische Zusammenfassung der Entscheidung bei noyb).

Hintergrund

Die betroffene Person kaufte ein Produkt von dem Verantwortlichen und entdeckte auf der Rechnung eine unerwartete Gebühr von 1,50 EUR für einen „Energiebeitrag“. Die betroffene Person bat um die Erstattung dieses Zuschlags und verlangte die Löschung aller ihrer personenbezogenen Daten. Der Verantwortliche lehnte die Erstattung der Gebühr ab, bestätigte jedoch den Eingang des Löschungsantrags und bestätigte, dass dieser umgehend bearbeitet werde.

Es kam, wie es kommen musste. Die Daten wurden zunächst nicht gelöscht. Die betroffene Person erhielt weiterhin Werbung von dem Verantwortlichen. Der Betroffene wandte sich dann mit der Bitte um Schlichtung an die belgische Datenschutzbehörde. 

Spätestens jetzt hätten bei dem Verantwortlichen wirklich alle Hebel in Bewegung gesetzt werden müssen. Aber: der Verantwortliche reagierte nicht auf Anschreiben der APD. Daraufhin legte die betroffene Person Beschwerde bei der Datenschutzbehörde ein.

Der Verantwortliche räumte im Verfahren Fehler des früheren eigenen Datenschutzbeauftragten (DSB) ein und erklärte außerdem, dass das Ausbleiben einer Antwort an die APD während der Schlichtung auf den früheren DSB zurückzuführen war und dass weder der derzeitige DSB noch die Geschäftsleitung von diesen Problemen wussten und der frühere DSB weder die Korrespondenz mit der APD oder der betroffenen Person bearbeitet noch diese Informationen intern weitergegeben hat.

Im Rahmen des Verfahrens erläuterte der Verantwortliche, dass er Initiativen ergriffen habe, um seine Reaktionsfähigkeit zu verbessern, insbesondere durch die Einstellung eines neuen DSB, der in Vollzeit mit einem Team von zwei Personen arbeitet.

Entscheidung der Datenschutzbehörde 

Die APD geht unter anderem von Verstößen gegen Art. 5 Abs. 2 und Art. 24 DSGVO aus. Insbesondere kritisiert die Behörde, dass der frühere Teilzeit-DSB nicht die erforderliche Zeit und Ressourcen zur Verfügung hatte, um seinen Tätigkeiten nachzukommen. 

Die APD weist ganz generell darauf hin, dass der Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen muss, um sicherzustellen, dass er in der Lage ist, nachzuweisen, dass die Verarbeitung im Einklang mit der DSGVO durchgeführt wird. Die Unfähigkeit des Verantwortlichen im vorliegenden Fall, die tatsächliche Löschung der Daten der betroffenen Person zu überprüfen oder schlüssig zu bestätigen, ließen Zweifel an der Wirksamkeit der bestehenden technischen und organisatorischen Maßnahmen aufkommen.

Als Verstoß gegen Art. 5 Abs. 1und Art. 24 DSGVO sah die Behörde auch die Tatsache, dass der frühere DSB in Teilzeit arbeitete und überlastet war, was ihn daran hinderte, wirksam auf die Anträge zu reagieren. Nach Ansicht der APD verdeutlichte dies das Versäumnis, Maßnahmen zur Gewährleistung der Einhaltung der DSGVO entsprechend Art. 5 und 24 DSGVO zu ergreifen.

Zudem verweist die Behörde auch auf die Anforderungen des Art. 38 Abs. 2 DSGVO hinsichtlich der Aufgaben des internen Datenschutzbeauftragten. Der Verantwortliche muss den DSB unterstützen, indem er ihm die zur Erfüllung seiner Aufgaben erforderlichen Mittel zur Verfügung stellt und hierbei muss er folgende Faktoren berücksichtigen.

  • der DSB muss gegebenenfalls in alle datenschutzrelevanten Angelegenheiten einbezogen werden
  • der Verantwortliche muss dem DSB ausreichend Zeit für die Wahrnehmung seiner Aufgaben zur Verfügung stellen
  • der Verantwortliche muss die Bestellung des DSB allen Mitarbeitern mitteilen, um sicherzustellen, dass seine Rolle innerhalb der Organisation weithin bekannt ist
  • der Verantwortliche muss für laufende Schulungen sorgen, um die Kenntnisse des DSB auf dem neuesten Stand zu halten.

Einen Verstoß gegen diese Vorgaben sah die Behörde unter anderem in der Tatsache, dass der frühere DSB in Teilzeit arbeitete und überlastet war, was ihn daran hinderte, wirksam auf die Anträge zu reagieren.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert