Die Aufsichtsbehörden werden bei der Verhängung von Bußgeldern immer aktiver. Wenn am Anfang nach der Einführung der DSGVO die Bußgelder noch rar gesät waren, so ist die Schonfrist mittlerweile abgelaufen. Hier erfahren Sie mehr über einzelner Bußgelder, die Aufsichtsbehörden in den vergangenen Monaten gegen unterschiedliche Unternehmen verhängt haben.
Daten von Kunden und Interessenten zu lange aufbewahrt
Jedes Unternehmen muss dem Grundsatz der Speicherbegrenzung gem. Art. 5 Abs. 1 lit. e) DSGVO nachkommen. Also dürfen Daten von Kunden und Interessenten nur so lange gespeichert werden, bis der Zweck der Datenverarbeitung erfüllt wurde. Sobald dieser Zweck nicht mehr besteht, müssen die Daten gelöscht werden, sofern keine Aufbewahrungspflicht entgegensteht. In einem aktuellen Fall wurde ein Bußgeld gegen ein Unternehmen verhängt, das Daten von Interessenten noch mehrere Jahre nach dem letzten Kontakt zu dem jeweiligen Lead vorrätig hatte, obwohl es diese bereits lange hätte löschen müssen.
Keine ausreichende Identifizierung eines Anrufers bei einer telefonischen Auskunftserteilung
Die Datenschutzgrundverordnung verlangt in Art. 32 DSGVO von jedem Unternehmen, dass es ausreichende technische und organisatorische Maßnahmen (TOM) vorhält, um die Daten vor einer Offenlegung gegenüber Unbefugten zu schützen. Welche TOM im jeweiligen Einzelfall tatsächlich zu erbringen sind, kommt auf die konkrete Verarbeitungssituation an.
In diesem Artikel lesen Sie mehr darüber, wann TOM sicher genug sind:
In dem konkreten Fall erhielt ein Unternehmen ein Bußgeld, weil es im Rahmen seiner Telefonauskunft zu geringe TOM zur Identifikation des Anrufers garantierte. Demnach genügte es, dass der Anrufer die Ausweisnummer eines Kunden nannte, um Auskunft über dessen personenbezogenen Daten zu erhalten. Dies reichte nach Auffassung der zuständigen Aufsichtsbehörde nicht aus, um sicherzustellen, dass der Anrufer tatsächlich die berechtigte Person ist oder eine entsprechende Vollmacht zur Auskunftserlangung innehat.
Unzulässige Datenübermittlung ins Ausland
Unternehmen müssen immer vorsichtiger werden, wenn es um die Frage der Übertragung von personenbezogenen Daten in ein Land außerhalb des EWR geht. Ein Unternehmen erhielt ein Bußgeld, weil es Daten außerhalb der EU verarbeiten ließ und dabei weder zusätzliche Maßnahmen zu den neuen Standardvertragsklauseln eingefordert noch eine Datentransfer-Folgenabschätzung (TIA) durchgeführt hatte.
Was Sie unbedingt beachten müssen, bevor Sie Daten außerhalb der EU bzw. des EWR verarbeiten lassen, erfahren Sie in diesem Artikel: https://sidit.de/blog/die-neuen-standardvertragsklauseln-was-sie-jetzt-tun-muessen/
Fehlender Prozess zur Einbeziehung des Datenschutzbeauftragten
Der Datenschutzbeauftragte eines Unternehmens berät gem. Art. 39 Abs. 1 DSGVO den Verantwortlichen bei der Umsetzung der DSGVO und überwacht deren Einhaltung. Hierbei muss der Verantwortliche gem. Art. 38 Abs. 1 DSGVO sicherstellen, dass der Datenschutzbeauftragte ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen eingebunden wird. Genau dies wurde einem Unternehmen zum Verhängnis, weil es den Datenschutzbeauftragten nicht rechtzeitig miteinbezog. Die Aufsichtsbehörde verhängte ein Bußgeld da das Unternehmen keinen strukturierten Plan vorlegen konnte, aus dem hervorging, in welchen Schritten das Unternehmen die Vorgaben des Datenschutzes mit dem Datenschutzbeauftragten bearbeiten würde.
Fazit: Bußgelder vermeiden durch organisierte Datenschutzarbeit
Die Verhängung eines Bußgeldes durch die zuständige Aufsichtsbehörde kann von Unternehmen meist sehr einfach vermieden werden, indem die Vorgaben der DSGVO gemeinsam mit dem Datenschutzbeauftragten bearbeitet werden. Hierzu ist es erforderlich, dass der Datenschutzbeauftragte frühzeitig und umfassend vom Verantwortlichen über Projekte informiert wird, bei denen personenbezogene Daten verarbeitet werden sollen. Zudem ist es sehr wichtig, dass der Datenschutz-Koordinator über ausreichend Rückendeckung der obersten Managementebene des Unternehmens verfügt und außerdem genug Arbeitszeit für die Datenschutz-Arbeit aufwenden kann.
Lesen Sie hier mehr dazu, welche Aufgaben dem Datenschutz-Koordinator obliegen: https://sidit.de/blog/der-datenschutzkoordinator
Suchen Sie einen kompetenten Datenschutzbeauftragten? Schreiben Sie uns unter: info@sidit.de
[…] der DSGVO auseinandergesetzt hat und die Meldungen in den Medien verfolgt, weiß, wie viele Bußgelder bereits verhängt wurden und vor allem wie hoch diese waren und sieht, dass Datenschutzverstöße […]