Die belgische Datenschutzbehörde (APD) verhängte gegen ein Unternehmen eine Geldstrafe von 172.431 EUR, weil das Unternehmen versäumte, die personenbezogenen Daten einer Person im Zusammenhang mit Direktwerbung zu löschen. Zudem beschäftigte es einen überlasteten Teilzeit-Datenschutzbeauftragten (DSB), der seine Aufgaben nicht wirksam wahrnehmen konnte.

Eine betroffene Person entdeckte auf der Rechnung eines gekauften Produkts eine unerwartete Gebühr von 1,50 EUR für einen „Energiebeitrag“. Sie forderte die Erstattung dieses Betrags und die Löschung ihrer personenbezogenen Daten. Der Verantwortliche lehnte die Erstattung ab, bestätigte jedoch den Erhalt des Löschungsantrags und versprach, diesen umgehend zu bearbeiten. Dennoch wurden die Daten nicht gelöscht, und die betroffene Person erhielt weiterhin Werbung. Daraufhin wandte sich die Person an die belgische Datenschutzbehörde mit der Bitte um Schlichtung.

Der Verantwortliche reagierte nicht auf die Schreiben der APD, was dazu führte, dass die betroffene Person eine Beschwerde einreichte. Im Verfahren räumte der Verantwortliche Fehler des früheren DSB ein und erklärte, dass das Ausbleiben einer Antwort während der Schlichtung auf den früheren DSB zurückzuführen sei. Weder der aktuelle DSB noch die Geschäftsleitung waren über diese Probleme informiert, und der frühere DSB hatte weder die Korrespondenz mit der APD noch mit der betroffenen Person bearbeitet oder weitergeleitet.

Der Verantwortliche erklärte, Initiativen ergriffen zu haben, um seine Reaktionsfähigkeit zu verbessern, darunter die Einstellung eines neuen DSB in Vollzeit, unterstützt von einem Team von zwei Personen.

Die APD identifizierte Verstöße gegen Art. 5 Abs. 2 und Art. 24 DSGVO. Sie kritisierte, dass der frühere Teilzeit-DSB nicht über die erforderliche Zeit und Ressourcen verfügte, um seine Aufgaben zu erfüllen. Die Behörde betonte die Notwendigkeit geeigneter technischer und organisatorischer Maßnahmen, um die Einhaltung der DSGVO nachzuweisen. Die Unfähigkeit des Verantwortlichen, die tatsächliche Löschung der Daten zu überprüfen oder zu bestätigen, weckte Zweifel an der Wirksamkeit der bestehenden Maßnahmen.

Zusätzlich sah die APD Verstöße gegen Art. 5 Abs. 1 und Art. 24 DSGVO darin, dass der frühere DSB überlastet war und somit nicht wirksam auf Anfragen reagieren konnte. Die Behörde unterstrich, dass dies das Versäumnis des Verantwortlichen zeige, Maßnahmen zur Gewährleistung der DSGVO-Konformität zu ergreifen.

Weiterhin verwies die Behörde auf die Anforderungen des Art. 38 Abs. 2 DSGVO bezüglich der Aufgaben des DSB. Der Verantwortliche muss den DSB unterstützen, indem er ihm die erforderlichen Mittel zur Verfügung stellt und sicherstellt, dass der DSB in alle datenschutzrelevanten Angelegenheiten einbezogen wird. Außerdem muss der Verantwortliche dem DSB ausreichend Zeit für seine Aufgaben geben, die Bestellung des DSB allen Mitarbeitern mitteilen und für laufende Schulungen sorgen, um dessen Kenntnisse aktuell zu halten.

Die Tatsache, dass der frühere DSB in Teilzeit arbeitete und überlastet war, verhinderte eine wirksame Reaktion auf Anfragen und stellte somit einen Verstoß gegen diese Vorgaben dar.