Bußgeldradar
Und hier wieder einige Beispiele aus der beliebten Rubrik „was kostet was“:
Bestellung eines Datenschutzbeauftragten allein schützt vor Strafe nicht!
Die luxemburgische Datenschutzbehörde führe eine Kontrolle bei einem namentlich nicht genannten Unternehmen durch und stellte Unzulänglichkeiten bei der Einbindung des internen Datenschutzbeauftragten fest. Das Unternehmen hatte den Datenschutzbeauftragten nicht angemessen in alle Prozesse in Bezug auf die Verarbeitung von personenbezogenen Daten eingebunden, verfolgte keinen standardisierten Kontrollplan zur Einhaltung der Vorgaben aus der DSGVO und der Datenschutzbeauftragte berichtete ebenfalls nicht direkt an die höchste Managementebene. Darüber hinaus konnte keine ordnungsgemäße und unabhängige Beratung durch den Datenschutzbeauftragten gewährleistet werden. Berichte hinsichtlich datenschutzrechtlicher Belange wurden zuvor mit dem Verwaltungs- und Finanzdirektor inhaltlich abgestimmt, was nach Ansicht der Datenschutzbehörde die Unabhängigkeit des Datenschutzbeauftragten beeinträchtige. Zudem konnte der Datenschutzbeauftragte keine ausreichenden datenschutzrechtlichen Kenntnisse vorweisen, die mit einem ausreichenden Training hätten vertieft werden können.
Der Spaß kostete immerhin 15.000 €.
Es zeigt sich denn doch und nicht zum ersten Mal, dass die Bestellung eines internen Datenschutzbeauftragten allein nicht ausreicht.
Der Datenschutzbeauftragte muss bei allen Datenverarbeitungsprozessen vorab konsultiert werden.
Ein formaler Prozess zur Einbindung des Datenschutzbeauftragten ist empfehlenswert und sollte im Unternehmen auch kommuniziert und gelebt werden. Auch muss der Datenschutzbeauftragte selbst sein Wissen „auf dem Laufenden“ halten (können, dürfen), was insbesondere bei internen, betrieblichen Datenschutzbeauftragten nicht immer der Fall ist, da dieser zumeist seine Tätigkeit „nebenbei“ ausüben soll.
Auch seit Langem in der Diskussion:
Verstoß gegen Speicherbegrenzung – Diesmal:
Kunden- und Interessentendaten –
Die französische Aufsichtsbehörde führte 2019 Kontrollen bei der Unternehmensgruppe AG2R LA MONDIALE durch, die im Versicherungssektor angesiedelt ist. Dabei traf es vor allem die Konzerngesellschaft SGAM AG2R LA MONDIALE schwerer, welche für die Gruppe Tätigkeiten in Bezug auf die Koordinierung von Vorsorge-, Abhängigkeits-, Kranken-, Spar- und Zusatzrentenversicherungen erbringt.
Das Unternehmen hatte Daten von fast 2.000 Interessenten mehrere Jahre nach dem letzten Kontakt noch aufbewahrt. In Bezug auf die Kundendaten wurde ebenfalls nicht die maximale Aufbewahrungsfrist eingehalten und Daten von mehr als 2 Mio. Kunden über 10 oder 30 Jahre lang gespeichert, zum Teil samt Gesundheitsdaten. Zwar hatte SGAM bereits Löschfristen für solche Archive definiert, jedoch wurden diese nicht in den Systemen und Anwendungen implementiert. Darüber hinaus hatte die französische Aufsichtsbehörde herausgefunden, dass zahlreiche Werbeanrufe nicht ordnungsgemäß durchgeführt wurden. Weder wurden die Betroffenen hinreichend nach Art. 13 DSGVO über die Datenverarbeitung informiert, noch wurden sie auf ihr Widerspruchsrecht hingewiesen.
Behörde: CNIL (Frankreich)
Branche: Versicherung
Verstoß: Art. 5 Abs. 1 lit. e DSGVO, Art. 13 DSGVO, Art. 14 DSGVO
Bußgeld: 1.750.000 Euro
Die Missachtung des datenschutzrechtlichen Grundprinzips der Speicherbegrenzung kommt in der Unternehmenslandschaft leider nicht selten vor. Insbesondere die Umsetzung von automatischen Löschfristen seitens jeder genutzten Software entgeht sogar dem wachsamsten Auge. Umso wichtiger ist es, ein Löschkonzept im Unternehmen zu implementieren und auch fortlaufend auf die Vollständigkeit hin zu überprüfen. Zwar scheint das Löschkonzept auf den ersten Blick ein unlösbares Rätsel zu sein, aber mit ein paar Tipps meistern Sie selbst diese Hürden.
