Welche Konsequenzen drohen, wenn kein Datenschutzbeauftragter benannt wird?

24.10.2024

Die europäischen Aufsichtsbehörden verhängen regelmäßig Sanktionen gegen Unternehmen, die es versäumt haben, einen Datenschutzbeauftragten (DSB) zu bestellen. Sie ordnen dann nicht nur die Bestellung von DSB an, sondern verhängen auch Bußgelder gegen Unternehmen.

Der Datenschutzbeauftragte ist für den Aufbau einer Datenschutzkultur innerhalb des Unternehmens verantwortlich. Wie sieht die Erfüllung dieser Aufgabe fast sechs Jahre nach dem Beginn der Anwendung der RODO-Bestimmungen in der Praxis aus? Mit welchen Problemen sind Datenschutzbeauftragte konfrontiert? Welche Ratschläge gibt die polnische Datenschutzbehörde Unternehmen, die einen Datenschutzbeauftragten bestellt haben, sowie den Datenschutzbeauftragten selbst? Welche Schlussfolgerungen lassen sich aus den Entscheidungen ausländischer Datenschutzbehörden über die Ausübung dieser Funktion ziehen?

Bestellung von Datenschutzbeauftragen gemäß der DSGVO

Die Bestimmungen der DSGVO (EU 2016/679) sehen im Wesentlichen vor, dass Datenschutzbeauftragte in drei Situationen bestellt werden müssen:

wenn die Verarbeitung von einer Behörde oder einer öffentlichen Einrichtung durchgeführt wird
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Die vorgenannten Begriffe wie „Kerntätigkeit“ oder „umfangreich“ sind in den Rechtsvorschriften nicht definiert.

Es ist Sache des Verantwortlichen oder des Auftragsverarbeiters – und damit des Unternehmens – zu beurteilen, ob sich aus der Tätigkeit eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten ergibt. Das Unternehmen nimmt diese Bewertung selbst vor, wobei es die speziellen Umstände der Verarbeitung personenbezogener Daten berücksichtigt und sich auf die Leitlinien der Artikel-29-Datenschutzgruppe zu Datenschutzbeauftragten und die Auslegungen der nationalen Aufsichtsbehörden stützt, einschließlich derjenigen, die sich aus ergangenen Entscheidungen ergibt.

EDSA – Bericht zu Datenschutzbeauftragten

Ende 2022 hat der Europäische Datenschutzausschuss (EDSA) und die ihm angehörenden europäischen Datenschutzaufsichtsbehörden eine gemeinsame Studie über die Ernennung und die Stellung von Datenschutzbeauftragten durchgeführt.

Diese mündete im EDSA-Bericht vom 16. Januar 2024, aus dem unter anderem hervorgeht, dass noch immer nicht alle Organisationen, die nach der DSGVO dazu verpflichtet sind, einen Datenschutzbeauftragten bestellt haben. Am überraschendsten ist, dass einige Verantwortliche im öffentlichen Sektor keinen Datenschutzbeauftragten bestellt haben, weil sie der irrigen Meinung waren, dass die von ihnen wahrgenommenen Aufgaben keine öffentlichen Aufgaben darstellen.

Die obigen Ausführungen zeigen, dass nicht nur die Prämissen in Bezug auf den Umfang und das Ausmaß der Tätigkeiten einer Organisation Auslegungsprobleme verursachen, sondern dass auch die grundlegende Prämisse in Bezug auf die Datenverarbeitung durch öffentliche Stellen manchmal missverstanden wird. Dies bedeutet, dass jede – öffentliche oder private – Einrichtung, die beschließt, keinen Datenschutzbeauftragten zu bestellen, dieser Entscheidung eine Analyse der (fehlenden) Pflicht zur Bestellung eines Datenschutzbeauftragten vorausgehen lassen sollte. Eine im Einklang mit dem Grundsatz der Rechenschaftspflicht gemäß der DSGVO dokumentierte Entscheidung kann erforderlichenfalls der Aufsichtsbehörde vorgelegt werden.

Die EDSA schlug vor, dass die nationalen Aufsichtsbehörden ihre Aktivitäten in Bezug auf die Datenschutzbeauftragten fortsetzen und – sofern begründet – Durchsetzungsmaßnahmen zu ergreifen (z.B. Inspektionen, einstweilige Verfügungen, Bußgelder).

Es lohnt sich daher, das Thema sowohl im Zusammenhang mit der Frage zu betrachten, ob in der Organisation eine Analyse der Verpflichtung zur Benennung eines DSB durchgeführt wurde, und wie das Thema von den Aufsichtsbehörden angegangen wird

Die polnische Datenschutzbehörde passt auf

Im August 2019 erließ die Datenschutzbehörde eine Entscheidung (Az. ZSPR.421. 4.2018) gegen die Wohnungsbaugesellschaft, in der er ihr auftrug, die Verarbeitung personenbezogener Daten mit den Bestimmungen der DSGVO in Einklang zu bringen und einen Datenschutzbeauftragten zu bestellen.

Die Behörde wies darauf hin, dass die Genossenschaft im Zusammenhang mit der Überwachung regelmäßige Datenverarbeitungsvorgänge durchführt, die unter anderem in der Aufzeichnung, der Sichtung, dem Zugriff und der Löschung von aufgezeichnetem Filmmaterial bestehen, so dass die Organisation aufgrund der systematischen Überwachung von Daten in großem Umfang der Pflicht zur Bestellung eines Datenschutzbeauftragten unterliegt. Die Genossenschaft verarbeitete neben den Daten der Mieter auch Daten anderer Personen (Gastbewohner, Nutzer von Einzelhandels- und Dienstleistungsgeschäften) und verarbeitete daher nach Ansicht der Behörde Daten in großem Umfang.

Die Entscheidung der Datenschutzbehörde wurde vor Gericht angefochten. Das Woiwodschaftsverwaltungsgericht Warschau hob sie in seinem Urteil (II SA/Wa 2412/19) zu dem Teil auf, der sich auf die Bestellung des Datenschutzbeauftragten bezieht, da die Behörde die Notwendigkeit einer solchen Maßnahme nicht ausreichend nachgewiesen habe. Das Urteil ist noch nicht rechtskräftig, was darauf hindeutet, dass die Analyse der Bestimmungen zur Bestellung eines Datenschutzbeauftragten viele Schwierigkeiten bereitet. Für Begriffe wie „umfangreich“, „Haupttätigkeit“ oder „Überwachung“ gibt es keine rechtlichen Definitionen, und ihre Bedeutung wird für jeden Rechtsträger individuell bestimmt, wobei berücksichtigt wird, wie, in welchem Umfang und unter welchen Umständen er personenbezogene Daten verarbeitet.

Eine Auslegungsschwierigkeit besteht beispielsweise darin, dass der Begriff „umfangreich“ für ein Unternehmen, das personenbezogene Daten für Marketingzwecke verarbeitet und 100 Mitarbeiter beschäftigt, aber nur 20 Kunden hat, einen anderen Stellenwert hat als für eine private Augenarztpraxis, die 10 Mitarbeiter beschäftigt, aber eine ganze Provinz versorgt.

Das obige Urteil zeigt, dass eine Behörde in Bezug auf die Bestellung eines behördlichen Datenschutzbeauftragten einen anderen Standpunkt einnehmen kann als ein Unternehmen, Ausgangspunkt sollte immer eine fundierte Analyse der Verpflichtung zur Bestellung eines Datenschutzbeauftragten sein, die auch als Material im Verlauf eines möglichen Rechtsstreits mit der Behörde dienen kann.

Konsequenzen bei Nichternennung eines Datenschutzbeauftragten

Wie sieht die Frage der Nichtbestellung eines Datenschutzbeauftragten im Ausland aus? Die belgische Aufsichtsbehörde beispielsweise hat (Autorité de protection des données) in ihrem Beschluss 21/2022 vom 2. Februar 2022 (Nr. DOS-2019-01377) das Interactive Advertising Bureau Europe (IAB) aufgefordert, einen Datenschutzbeauftragten wegen der Verarbeitung personenbezogener Daten im Rahmen eines Tools zur einfachen Erfassung von Nutzerpräferenzen bei Werbefragen (Transparency & Consent Framework, TCF), zu bestellen.

Für das Versäumnis, einen Datenschutzbeauftragten zu bestellen sowie andere festgestellte Verstöße hat die Behörde ein Bußgeld in Höhe von 250.000 € und 5.000 € für jeden Tag der Tag der Verzögerung bei der Erfüllung der in der Entscheidung auferlegten Pflichten auferlegt, einschließlich der Verzögerung bei der Bestellung des DAtenschutzbeauftragten.

Während des Verfahrens argumentierte das IAB, dass es nicht verpflichtet sei, einen Datenschutzbeauftragten zu bestellen. Die Behörde vertrat die gegenteilige Auffassung und argumentierte unter anderem damit, dass das IAB in großem Umfang personenbezogene Daten im Zusammenhang mit der Tätigkeit der Überwachung von Personen unter Anwendung des TCF-Standards verarbeitet, was eine Kerntätigkeit darstellt.

Sie wies darauf hin, dass die Verarbeitung in großem Umfang erfolgt und dass das TCF-Tool in vielen EU-Ländern verwendet wird, die Daten vielen Werbetreibenden zur Verfügung gestellt und über einen langen Zeitraum verarbeitet werden (so lange, wie es notwendig ist, um nachzuweisen, dass in Übereinstimmung mit der TCF-Politik eine Einwilligung eingeholt wurde ). Die Behörde vertrat daher die Auffassung, dass es eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten aufgrund der oben genannten Umstände bestand

Gegen die Entscheidung der belgischen Behörde wurde Berufung eingelegt. Aufgrund vorläufiger Fragen des belgischen Gerichts zum Status des IAB als Verantwortlicher und zur Frage, ob TC-String (numerische Zeichenketten, die relevante Nutzerpräferenzen enthalten) personenbezogene Daten im Sinne der DSGVO darstellen, wurde die endgültige Entscheidung bis zur Antwort des Gerichtshofs der Europäischen Union ausgesetzt. Die Antwort auf die Vorabentscheidungsfragen wird sich daher auf die Beurteilung der Frage auswirken, ob das IAB verpflichtet ist, einen Datenschutzbeauftragten zu bestellen, und wird dem Markt Auslegungshilfen bieten.

Unabhängig von der Antwort des Gerichtshofes sollten die für die Verarbeitung Verantwortlichen bereits in der Phase der Entscheidung der nationalen Aufsichtsbehörde bedenken, dass die Beurteilung der Verpflichtung zur Bestellung eines Datenschutzbeauftragten keine von den geschäftlichen Gegebenheiten losgelöste Analyse ist und eine eingehende Kenntnis der Verarbeitung und Antworten auf zahlreiche Fragen erfordert, z. B. welche Rolle der Datenschutzbeauftragten bei der Datenverarbeitung spielt, mit welchen Instrumenten die Daten verarbeitet werden, wie viele Daten erhoben und wie lange sie gespeichert werden und wie der Überwachungsmechanismus konkret aussieht.

Datenschutzbeauftragte und Beschwerdeverfahren

Die spanische Aufsichtsbehörde (Agencia Española de Protección de Datos, AEPD) verhängte gegen KFC RESTAURANTS SPAIN, S.L. (KFC) ein Bußgeld in Höhe von 20 000 Euro, weil das Unternehmen im April 2023 in einem aufgrund einer Beschwerde (Az. PS/00140/2022) eingeleiteten Verfahren keinen Datenschutzbeauftragten bestellt hatte, und ordnete die Bestellung innerhalb eines Monats an. Die Beschwerde bezog sich auf Unregelmäßigkeiten in der Datenschutzpolitik, bei der Prüfung wurde festgestellt, dass kein DSB bestellt worden war.

Die Geschäftstätigkeit des Verantwortlichen bestand in der Gastronomie mit verschiedenen Verkaufsstellen, nur ein kleiner Teil (und der damit verbundene Umsatz, der etwas mehr als 1 % des Gesamtumsatzes ausmachte) umfasste die Verarbeitung personenbezogener Daten im Zusammenhang mit online aufgegebenen Catering-Bestellungen. Der Verantwortliche hielt es daher nicht für erforderlich, einen Datenschutzbeauftragten zu bestellen.

In ihrer Antwort akzeptierte die Behörde, dass die Verarbeitung personenbezogener Daten von Kunden, die online Bestellungen aufgeben, in Form von IP-Adressdaten, Browserverlauf, Benutzerpräferenzen, Cookie-Daten, Geolokalisierungsdaten oder Abrechnungsdaten eine umfangreiche Verarbeitung und gleichzeitig eine Überwachung dieser Personen darstellt.

Die Schlussfolgerung aus der obigen Entscheidung ist, dass die Frage der Bestellung eines Datenschutzbeauftragten durch ein Unternehmen auch in Fällen, die aufgrund von Beschwerden eingeleitet werden, von den Aufsichtsbehörden geprüft wird. Unternehmen sollten bedenken, dass die Aufsichtsbehörde den oben erwähnten Verstoß gegen die DSGVO-Bestimmungen auch im Zuge der Untersuchung feststellen kann, ob andere Versäumnisse seitens des Verantwortlichen oder des Auftragsverarbeiters vorliegen (es muss also keine Kontrolle sein, die nur den Datenschutzbeauftragten betrifft).

Einmalige oder tageweise Geldbuße?

Bemerkenswert ist auch die Entscheidung der französischen Aufsichtsbehörde (Commission Nationale de l’Informatique et des Libertés, CNIL, Ref. SAN-2023-018) vom 12. Dezember 2023, in der die Behörde eine Verwaltungsstrafe gegen die Gemeinde Kourou verhängte, weil sie keinen Datenschutzbeauftragten benannt und nicht mit der Behörde zusammengearbeitet hatte.

Die Auffassung der französischen Behörde, dass es notwendig war, einen Inspektor zu bestellen, wirft keine Zweifel auf. Es ist jedoch wichtig, den Sachverhalt des Falles genau zu betrachten. Die CNIL machte die Gemeinde zunächst (aus Höflichkeit) auf die Notwendigkeit der Bestellung eines Datenschutzbeauftragten aufmerksam, forderte sie dann förmlich zur Bestellung auf und verhängte, als auch diese Maßnahme fehlschlug, eine Geldbuße in Höhe von 5.000 €. Da die Gemeinde immer noch keinen Datenschutzbeauftragten bestellt hatte, beschloss die CNIL, für jeden Tag der Verspätung bei der Bestellung eines Datenschutzbeauftragten eine tägliche Geldstbuße zu verhängen (150 € pro Tag, nach zwei Monaten nach Zustellung der Entscheidung), und ordnete außerdem die Veröffentlichung der Entscheidung auf der Website der Gemeinde an, wobei der Wortlaut und die Gestaltung von der CNIL vorgegeben wurden.

Vor dem Hintergrund dieses Falles sollten Unternehmen bedenken, dass sie mit der Behörde zusammenarbeiten sollten, auch wenn sie die Einschätzung der Behörde zur Notwendigkeit der Bestellung eines Datenschutzbeauftragten anzweifeln, und sei es nur, um ihre Argumente vorzubringen. Andernfalls steigt die Wahrscheinlichkeit einen Bußgeldbescheid zu erhalten.

Autorinnen: Anna Matusiak Wekiera und Ewelina Keciek

__________________________________________