ZUSATZ INFORMATIONEN

Hohes Bußgeld wegen Verstößen gegen DSGVO

Niedersächsische Datenschutzbehörde verhängt hohes Bußgeld wegen DSGVO-Verstößen

Bericht

Ein kürzlich von der Niedersächsischen Datenschutzbehörde verhängtes Millionen-Bußgeld macht nochmals deutlich, dass die Gewährleistung der Rechtmäßigkeit der Datenverarbeitung allein noch nicht ausreicht, um die zahlreichen weiteren Anforderungen der DSGVO zu erfüllen. Nicht zuletzt müssen Unternehmen aufgrund ihrer datenschutzrechtlichen Rechenschaftspflicht auch in der Lage sein nachzuweisen, dass und wie sie ihre datenschutzrechtlichen Pflichten erfüllen.

Im konkreten Fall verhängte die Datenschutzbehörde trotz an sich rechtmäßiger Datenverarbeitung ein Bußgeld über 1,1 Mio. Euro allein aufgrund folgender Pflichtverstöße:

  • Fehlende Information betroffener Personen (Art. 13, 14 DSGVO),
  • fehlende Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO),
  • fehlende Datenschutz-Folgenabschätzung (Art. 35 DSGVO),
  • unvollständiges Verarbeitungsverzeichnis (Art. 30 DSGVO).

Das verhängte Bußgeld unterstreicht nicht zuletzt auch die immense Bedeutung, die Datenschutzaufsichtsbehörden den in der Praxis oft vernachlässigten datenschutzrechtlichen Informations- und Dokumentationspflichten beimessen.

Um bei der Einführung neuer oder Umgestaltung existierender Geschäftsprozesse und Systeme die Einhaltung aller datenschutzrechtlichen Anforderungen sicherzustellen und deren Einhaltung zugleich auch nachweisen zu können, empfehlen sich die frühzeitige Erstellung und kontinuierliche Umsetzung solider und praxistauglicher Datenschutzkonzepte – gerade auch, um behördlichen Maßnahmen, Bußgeldern und Schadensersatzforderungen betroffener Personen wirkungsvoll vorzubeugen. Wirksame Datenschutzkonzepte für Geschäftsprozesse und Systeme sollten nicht nur sämtliche datenschutzrechtlichen Anforderungen adressieren, sondern zugleich festlegen, welche Rollen im Unternehmen diese Anforderungen praktisch umsetzen und durch welche konkreten Maßnahmen. Bestehende Geschäftsprozesse und Systeme sollten im Sinne eines kontinuierlichen Prozesses regelmäßig dahingehend überprüft werden, ob die im Datenschutzkonzept festgelegten Maßnahmen tatsächlich umgesetzt werden und wo möglicherweise noch Verbesserungspotenzial besteht.

Tragfähige und praktisch umsetzbare Konzepte für eine datenschutzkonforme Gestaltung von Geschäftsprozessen und Systemen zählen dabei nicht nur zu den essenziellen Präventionsmaßnahmen, um aufsichtsbehördliche Maßnahmen, Bußgelder oder Schadensersatzforderungen betroffener Personen von vornherein zu vermeiden. Auch bei der Abwehr behördlicher Maßnahmen, Bußgelder und Schadensersatzklagen im Rahmen entsprechender behördlicher oder Gerichtsverfahren können Datenschutzkonzepte zum Nachweis der Datenschutz-Compliance eine entscheidende Rolle spielen.

(Quelle: Noerr-News vom 29. Juli 2022)