Das Bußgeld basiert auf einer Überprüfung der luxemburgischen Datenschutzbehörde bei einem nicht näher benannten Unternehmen. Dabei wurde festgestellt, dass die Rolle des internen Datenschutzbeauftragten nicht konform zur DSGVO ausgestaltet war.
So waren seine Kontaktdaten nicht auf der Website des Unternehmens abrufbar. Stattdessen mussten Nutzer bei Datenschutzanfragen auf ein allgemeines Kontaktformular zurückgreifen oder das Unternehmen per Post, Telefon oder Messenger kontaktieren. Eine direkte Kontaktaufnahme mit dem Datenschutzbeauftragten war nicht möglich.
Zudem war der Datenschutzbeauftragte nicht in alle Prozesse zum Schutz personenbezogener Daten eingebunden und berichtete, entgegen den DSGVO-Anforderungen, nicht direkt an die oberste Führungsebene.
Darüber hinaus fehlte ein standardisierter Prüfplan, mit dem der Datenschutzbeauftragte die Einhaltung der DSGVO im Unternehmen regelmäßig kontrollieren konnte.
Sanktionsadressat
Unternehmen
Bußgeld
18.700 EUR
Verletzte Rechtsnorm
Art. 37 Abs. 7 DSGVO
Art. 38 Abs. 1 und 3 DSGVO
Art. 39 Abs. 1 lit. b DSGVO
Matthias A. Walter, http://www.tec4net.com
EDV-Sachverständiger und Datenschutzauditor
Quellen und Links:
Datenschutzbehörde: Luxemburg – Commission nationale pour la protection des données
https://cnpd.public.lu/content/dam/cnpd/fr/decisions-fr/2021/Decision-41FR-2021-sous-forme-anonymisee.pdf
Rechtssichere Webseite für Unternehmen – Website-Compliance-Check
https://website-compliance.tec4net.com
tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX, NIS-2 und PCI-DSS.
www.tec4net.com – www.it-news-blog.com – www.it-sachverstand.info – www.datenschutz-muenchen.com – www.it-sicherheit-muenchen.com