Den luxemburgska dataskyddsmyndigheten inledde en utredning på en företagsgrupp med ett dotterbolag i Luxemburg. Företagsgruppen hade utsett ett gemensamt dataskyddsombud för alla företag, i enlighet med GDPR. Problemet enligt myndigheten var dock att dataskyddsombudet inte var tillräckligt involverad i företagets dataskyddsfrågor. Företaget hade inrättat en dataskyddsstyrelse, men ombudet var inte medlem i styrelsen. Dataskyddsombudet hade inte heller sitt säte i Luxemburg utan var endast indirekt involverad genom den lokala kontaktpunkten, som var en advokat inrättad för att assistera dataskyddsombudet i Luxemburg. Det visade sig att dataskyddsombudet endast blev involverad när en registrerad var missnöjd med advokatens arbete. Dataskyddsmyndigheten konstaterade även att företaget inte försedde ombudet med de nödvändiga resurserna samt befogenheter som GDPR kräver. Företaget kunde inte bevisa att dataskyddsombudet hade en direkt, formell och permanent medverkan i dataskyddsfrågor, vilket utgör en överträdelse av GDPR. Av denna anledning utfärdar den luxemburgska dataskyddsmyndigheten en straffsanktion på €18,000.
