Die belgische Datenschutzaufsichtsbehörde Autorité de protection des données (APD) hebt in einer aktuellen Entscheidung die Unterstützungspflichten des Verantwortlichen gegenüber seinem Datenschutzbeauftragten (DSB) hervor. Gleichzeitig stellt sie klar: Wird der Verantwortliche diesen nicht gerecht, ist es dem Datenschutzbeauftragten folglich nicht möglich seine Aufgaben vollumfänglich zu erfüllen und kommt es hierdurch zu Datenschutzverstößen, kann sich der Verantwortliche nicht durch den Hinweis auf entsprechende Versäumnisse seines DSB entlasten. Wir schauen uns an, wie sich der Verantwortliche in dem der APD zur Entscheidung vorliegenden Fall entlasten wollte und wie jene hierauf reagierte.
Der Inhalt im Überblick
Sachverhalt: Löschungsverlangen von Betroffenem ignoriert
Die APD veröffentlichte die Entscheidung ihrer Streitkammer in der Sache 87/2024 vom 03. Juni 2024 in französischer Sprache. Eine englische Aufbereitung der Entscheidung findet sich im so genannten GDPRhub, einer Initiative des österreichischen Datenschutzvereins NOYB – Europäisches Zentrum für digitale Recht. Der Entscheidung lässt sich entnehmen, dass ihr der folgende Sachverhalt zugrunde liegt:
Eine betroffene Person, die ein Produkt des Verantwortlichen erworben hatte, stellte anhand der Rechnung fest, dass ein „Energiebeitrag“ in Höhe von 1,50 € von ihr erhoben worden war und begehrte entsprechende Rückerstattung. Nachdem sich der Verantwortliche nicht hierauf eingelassen hatte, äußerte die betroffene Person in einer E-Mail an den Verantwortlichen, nicht weiter Kunde dieses sein zu wollen. Gleichsam forderte sie den Verantwortlichen zur Löschung all‘ ihrer durch diesen verarbeiteten personenbezogenen Daten auf. Der Verantwortliche bestätigte den Erhalt vorgenannter E-Mail und kündigte an, der hierin enthaltenen Forderung alsbald gerecht zu werden. Nichtsdestotrotz erhielt die betroffene Person weiterhin Werbung des Verantwortlichen. 4 ½ Monate später beantragte die betroffene Person daher die Einleitung eines Schlichtungsverfahrens bei der APD , welches daraufhin eingeleitet wurde.
Das Schlichtungsverfahren blieb mangels jeglicher Reaktion des Verantwortlichen erfolglos. Daraufhin wurde der Schlichtungsantrag schließlich, auf entsprechenden Antrag der betroffenen Person hin, in eine Beschwerde umgewandelt und an die Streitkammer der APD abgegeben, welche sich der Beschwerde in der Sache annahm.
Verteidigung des Verantwortlichen: Der DSB ist schuld
Einen wesentlichen Bestandteil des Beschwerdeverfahrens bildete sodann die mündliche Anhörung, zu der der Verantwortliche erschien.
Wie sich der Entscheidung entnehmen lässt, waren bis zur mündlichen Anhörung weder die eingangs benannte E-Mail der betroffenen Person beantwortet noch die durch den Verantwortlichen verarbeiteten personenbezogenen Daten der betroffenen Person gelöscht worden. Zu einer solchen Löschung nebst entsprechender Benachrichtigung der betroffenen Person kam es – ausweislich der Entscheidung der APD – laut Aussage des Verantwortlichen erst nach dem Abschluss der Verhandlungen der APD.
Wie sich der Entscheidung ferner entnehmen lässt, begründete der Verantwortliche
- das bisherige Ausbleiben sowohl der inhaltlichen Beantwortung der eingangs erwähnten E-Mail der betroffenen Person als auch der Umsetzung der hierin geforderten Löschung ihrer durch den Verantwortlichen verarbeiteten personenbezogenen Daten sowie
- den Mangel einer Reaktion auf Nachrichten der APD
zu einem großen Teil mit entsprechenden Versäumnissen seines damaligen Datenschutzbeauftragten. Dieser habe die empfangenen Nachrichten weder (vollumfänglich) bearbeitet noch intern über diese informiert. Er sei zwar schließlich nach der Mitteilung über das Scheitern des Schlichtungsverfahrens insofern tätig geworden, als er „Code 43“ auf die durch den Verantwortlichen verarbeiteten personenbezogenen Daten der betroffenen Person angewandt habe. Allerdings habe er hierdurch irrigerweise eine Einschränkung der Verarbeitung dieser statt einer Löschung bewirkt. Die Versäumnisse des damaligen, in Teilzeit beschäftigten, Datenschutzbeauftragten seien auf dessen Arbeitsüberlastung zurückzuführen. Wie der Verantwortliche hervorhob, habe er von dieser keine Kenntnis gehabt.
Mittlerweile sei der einstige Datenschutzbeauftragte durch einen neuen, in Vollzeit tätigen, Datenschutzbeauftragten ersetzt worden, welchem zudem zwei weitere Beschäftigte an die Seite gestellt worden seien, um ihn bei seiner Aufgabenerfüllung zu unterstützen.
APD: Verantwortlicher bleibt für den Datenschutz verantwortlich
Die APD erblickte in dem Ausbleiben einer inhaltlichen Beantwortung der hier in Rede stehenden E-Mail der betroffenen Person sowie in der mangelnden Umsetzung der hierin geforderten Löschung der durch den Verantwortlichen verarbeiteten personenbezogenen Daten dieser betroffenen Person unter anderem einen Verstoß gegen Art. 5 Abs. 2 DSGVO in Verbindung mit Art. 24 DSGVO.
So gehe aus diesem Verhalten bzw. aus den zu diesem Verhalten führenden Umständen hervor, dass der Verantwortliche seiner Verpflichtung interne, wirksame Verfahren einzurichten, die die Bearbeitung von Betroffenenanfragen gewährleisteten, nicht gerecht geworden sei.
Die APD ließ in diesem Kontext insbesondere die Argumentation des Verantwortlichen, mit welcher er die – mit dem Ausbleiben einer inhaltlichen Beantwortung der E-Mail der betroffenen Person sowie der mangelnden Umsetzung deren hierin befindlicher Forderung verbundenen – Datenschutzverstöße auf seinen früheren Datenschutzbeauftragten abzuwälzen suchte, nicht gelten. In entsprechender Ausführung wies die APD den Verantwortlichen auf dessen Unterstützungspflichten gegenüber seinem Datenschutzbeauftragten nach Art. 38 Abs. 2 DSGVO hin. Dort heißt es:
„Der Verantwortliche und der Auftragsverarbeiter unterstützen den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben gemäß Artikel 39, indem sie die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen und den Zugang zu personenbezogenen Daten und Verarbeitungsvorgängen sowie die zur Erhaltung seines Fachwissens erforderlichen Ressourcen zur Verfügung stellen.“
Nach Ansicht der APD, welche in diesem Zusammenhang auf das WP 243 rev.01 der Artikel-29-Datenschutzgruppe „Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“)“ verweist, seien insofern insbesondere die nachfolgenden Aspekte zu berücksichtigen:
- Eine frühzeitige Einbeziehung des Datenschutzbeauftragten oder ggf. seines Teams in alle datenschutzrechtsrelevante Fragen.
Frühzeitig bedeute hierbei eine Einbindung bereits im Planungsstadium. Der Datenschutzbeauftragte müsse zu einem „zentralen Ansprechpartner“ innerhalb des Verantwortlichen werden. - Die Gewährung angemessener zeitlicher Ressourcen.
Hierauf sei insbesondere bei in Teilzeit tätigen Datenschutzbeauftragten zu achten. Stehe dem Datenschutzbeauftragten kein ausreichendes Zeitkontingent zur Verfügung, so gerate der Datenschutzbeauftragte womöglich in Konflikte hinsichtlich der Priorisierung seiner Aufgaben, welches wiederum zu einer Beeinträchtigung der Fähigkeit zur Erfüllung seiner Aufgaben als Datenschutzbeauftragter führen könne. Die APD weist in diesem Zusammenhang darauf hin, dass der Umfang der Ressourcengewährung gegenüber dem Datenschutzbeauftragten mit der Größe, Komplexität, Struktur und den Risiken, die mit den Datenverarbeitungen bei dem Verantwortlichen verbunden seien, korreliere. Je komplexer oder sensibler die durchgeführten Datenverarbeitungen seien, desto umfangreicher müssten dem Datenschutzbeauftragten Ressourcen gewährt werden. - Eine angemessene Zurverfügungstellung von Ressourcen finanzieller, infrastruktureller und personeller Art
- Zugang zu den einzelnen Abteilungen des Verantwortlichen und zu internen Kommunikationsmitteln, die es ermöglichten, für die Anforderungen der DSGVO innerhalb des Verantwortlichen zu sensibilisieren und Schulungen durchzuführen
- Regelmäßige Schulungen des Datenschutzbeauftragten
- Die Einrichtung eines Teams, welches den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben unterstütze – sofern dies in Abhängigkeit der Größe und Struktur des Verantwortlichen erforderlich sei –
Summa summarum sei der Verantwortliche – wie die APD in Randnummer 68 ihrer hier in Rede stehenden Entscheidung ausführt –
„(…) gesetzlich [dazu] verpflichtet, die notwendigen Strukturen und Maßnahmen einzurichten, um die Arbeit des (…) [Datenschutzbeauftragten] zu erleichtern und den Schutz personenbezogener Daten zu gewährleisten.“
Zum konkreten Fall äußert die APD, der Umstand, dass der ehemalige Datenschutzbeauftragte eingehende Nachrichten der betroffenen Person sowie der APD infolge seiner Arbeitsüberlastung nicht (vollumfänglich) beantworten habe können, sei
„(…) besorgniserregend, da der (…) [Datenschutzbeauftragte] eine wesentliche Rolle bei der Gewährleistung der Einhaltung der DSGVO spiel[e] (…) [und] unterstreich[e] ein Versagen bei der Einführung geeigneter organisatorischer Maßnahmen, um die Einhaltung der DSGVO zu gewährleisten.“
Die APD lässt in diesem Kontext insbesondere auch das Argument des Verantwortlichen, er habe seinem Datenschutzbeauftragten vertraut und nichts von dessen Arbeitsüberlastung gewusst, nicht gelten.
Zum einen liege es etwa, wenn der Verantwortliche – wie im konkreten Fall – einen Datenschutzbeauftragten benenne und eine Funktions-E-Mail Adresse für den Erhalt von Betroffenenanfragen einrichte, die ausschließlich von diesem Datenschutzbeauftragten betreut werde, in der Verantwortung jenes Verantwortlichen, sicherzustellen, dass
„(…) die an diese Adresse gerichteten E-Mails regelmäßig abgerufen und bearbeitet werden, selbst wenn (…) der (…) [Datenschutzbeauftragte] (…) überlastet ist.“
Dies folge aus dem Pflichtenprogramm des Art. 38 DSGVO, dessen Umsetzung dem Verantwortlichen obliege.
Zum anderen hätte der Verantwortliche
„(…) das Problem bzw. die Probleme (…) erkennen und lösen können, anstatt blindes Vertrauen in den (…) [Datenschutzbeauftragten] zu setzen.“
Dies ergebe sich aus Art. 38 Abs. 3 S. 3 DSGVO. Dort heißt es:
„Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene des Verantwortlichen oder des Auftragsverarbeiters.“
Darüber hinaus merkt die APD an, der Umstand, dass der Verantwortliche die Schuld für die Mängel hinsichtlich der Bearbeitung der, in der hier in Rede stehenden E-Mail enthaltenen, Forderung der betroffenen Person auf seinen Datenschutzbeauftragten schiebe, deute auf seine Unkenntnis von den Verpflichtungen eines Verantwortlichen nach der DSGVO hin.
Anweisungen, Warnung und Bußgeld
Im Ergebnis ergriff die APD gegenüber dem Verantwortlichen Abhilfemaßnahmen nach Art. 58 Abs. 2 lit. a), c), g) sowie d) DSGVO (jeweils simultan auf die entsprechenden Normen des Loi du 3 décembre 2017 portant création de l’Autorité de protection des données (im Folgenden: LCA) gestützt) und verhängte gem. Art. 58 Abs. 2 lit. i) DSGVO in Verbindung mit Art. 83 DSGVO (simultan auf die entsprechenden Normen des LCA gestützt) ein Bußgeld gegen ihn.
Verantwortliche müssen ergriffene Maßnahmen evaluieren
Die hier besprochenen Ausführungen der APD zu den Unterstützungspflichten des Verantwortlichen nach Art. 38 DSGVO zeigen: Allein mit der Benennung eines Datenschutzbeauftragten und der originären Zurverfügungstellung gewisser Ressourcen – mögen sie im Zeitpunkt ihrer erstmaligen Gewährung auch hinreichend sein – ist es nach Ansicht der APD offenbar nicht getan. Vielmehr gehört nach deren Ansicht zu einer Erfüllung der Unterstützungspflichten des Verantwortlichen offenbar auch, dass sich dieser eigeninitiativ – das ist ohne, dass es eines entsprechenden Hinweises seitens des Datenschutzbeauftragten bedürfte – fortwährend des Ausreichens der gewährten Ressourcen vergewissert und deren Umfang, so erforderlich, aufstockt. Insofern erinnern die entsprechenden Ausführungen der APD an die Erläuterungen des EuGH betreffend die Pflichten des Verantwortlichen gem. Art. 32 Abs. 4 DSGVO in Verbindung mit Art. 29 DSGVO, in dem Urteil jenes vom 11. April 2024 in der Rechtssache C-741/21. Den jeweiligen Ausführungen ist gemein, dass hiernach alleine das einmalige Ergreifen gewisser Maßnahmen durch den Verantwortlichen nicht genügt, sondern sich der Verantworltiche zudem (regelmäßig) des Ausreichens bzw. der Wirksamkeit ergriffener Maßnahmen vergewissern muss. Bezogen auf die Unterstützungspflichten gegenüber dem Datenschutzbeauftragten nach Art. 38 Abs. 2 DSGVO stellt sich für Verantwortliche daher die abschließende Frage: Ist es an der Zeit für eine Evaluierung des Ausreichens der gewährten Ressourcen?