Die DSGVO ist eine Verordnung, verabschiedet vom EU-Parlament im Jahr 2018. Sie vereinheitlicht die Regeln zur Verarbeitung von personenbezogen Daten in der europäischen Union. - (Bild: Adobe Stock/ peterschreiber.media)
Bis zu 20 Millionen Euro beziehngsweise 4 Prozent des weltweit erzielten Jahresumsatzes: Wie ein Paukenschlag erschien vielen die durch die DSGVO herbeigeführte drastische Erhöhung des Bußgeldrahmens für Datenschutz-Verstöße. Der folgende Beitrag soll exemplarisch einige Datenschutzvergehen darstellen sowie darüber aufklären, wie Fehler vermieden werden können und was im Falle eines Vorfalls zu tun ist.
Es kann auch Profis treffen
Die griechische Aufsichtsbehörde wurde tätig, nachdem mittels einer Beschwerde mitgeteilt wurde, dass die Unternehmensberatung PriceWaterhouse Coopers (PWC) Defizite hinsichtlich des Beschäftigtendatenschutzes aufweise. So stützte PWC die Datenverarbeitung fälschlicherweise auf Einwilligungen der Beschäftigten, obwohl andere der in der DSGVO genannten Rechtsgrundlagen einschlägig gewesen wären.
Dieses Vorgehen stelle seitens PWC nicht nur einen Verstoß gegen das Rechtmäßigkeitsprinzip dar, sondern verletze insbesondere auch den Grundsatz der Verarbeitung nach Treu und Glauben. Entsprechend dürfe nicht der Anschein erweckt werden, dass Datenverarbeitungen durch verantwortliche Stellen von den betroffenen Personen jederzeit widerrufbar wären. Vielmehr müsse, sofern eine andere Rechtsgrundlage greift, diese herangezogen werden und die betroffene Person entsprechend informiert werden. PWC verletzte seine Informations- ebenso wie seine Nachweispflichten.
Zum Hintergrund: Jeder Arbeitgeber benötigt für die Verarbeitung aller Daten seiner Beschäftigten zwingend eine Rechtsgrundlage. Solange er eine solche nicht nachweisen kann, darf er Daten weder abfragen, noch speichern oder für andere Zwecke benutzen oder gar weitergeben oder veröffentlichen. Eine der möglichen Rechtsgrundlagen ist die Einwilligung, die allerdings nur nach dem ultima ratio Prinzip genutzt werden sollte – gerade im Beschäftigungskontext bringt die Einwilligung verschiedene Problemstellungen mit sich, wie beispielsweise die Freiwilligkeit.
Im Angestelltenverhältnis muss regelmäßig von einer Machtasymmetrie zwischen Arbeitgeber und Arbeitnehmer ausgegangen werden. Zudem macht sich der Arbeitgeber durch eingeholte Einwilligungen abhängig von den Arbeitnehmern, da eine Einwilligung jederzeit ohne Angabe von Gründen mit Wirkung für die Zukunft widerrufen werden kann. Wenn nun Geschäftsprozesse auf solch fragilen Beinen fußen, muss die Datenverarbeitung und nicht zuletzt der Prozess selbst gründlich untersucht werden.
Aus diesem Grund empfiehlt es sich, den Datenschutzbeauftragten gründlich arbeiten und gerade die Datenverarbeitungen im Beschäftigtenkontext besonders unter die Lupe nehmen zu lassen, denn die Anwälte ehemaliger Beschäftigter wenden sich in Arbeitsrechtsprozessen vermehrt nun auch den Datenschutzverstößen durch Arbeitgeber zu.
Hilfe von den Datenschutz-Profis
Das Kompetenz-Team von Rehm Datenschutz besteht aus Volljuristen, Kommunikationswissenschaftler, Vertriebsspezialisten sowie IT-Spezialisten aus unterschiedlichen Branchen. Hier können Sie Kontakt zu den Datenschutz-Profis aufnehmen.
Es kann auch teuer werden
Hacker erlangen Daten von 500.000 Fluggästen. Diese Schlagzeile war damals Anlass für eine der bislang höchsten Geldbußen nach DSGVO: 204 Millionen Euro musste die Fluggesellschaft British Airways zahlen, weil aufgrund als zu schwach erachteten Sicherheitsvorkehrungen Betrüger an Login-, Kreditkarten-, Reise- und Adressdaten der Fluggäste gelangten.
Worin besteht nun der Bezug zur DSGVO? Nach der DSGVO bedarf es für die Verarbeitung personenbezogener Daten nicht nur einer Rechtsgrundlage und der Information der betroffenen Personen über die Verarbeitung, sondern auch der Umsetzung geeigneter technischer und organisatorischer Maßnahmen, um Integrität, Vertraulichkeit und Verfügbarkeit der Daten sicherstellen zu können. Die Umsetzung dieser Maßnahmen erfolgt aber nicht nach dem „one size fits all“- Ansatz, sondern nach dem risikobasierten Ansatz der DSGVO.
Wie der Fall von British Airways zeigt, haben hierfür die von der DSGVO geforderten Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung durchaus ihre Daseinsberechtigung: Ein einmal als sicher erachtetes System ist dies nicht für allezeit. Nur durch etablierte Prüfprozesse können etwaige Schwachstellen aufgedeckt werden. Als Verantwortlicher müssen Unternehmen nicht nur entsprechende Maßnahmen umsetzen, sondern entsprechend der Nachweispflicht auch die Prüfung und deren Ergebnis dokumentieren.
Gerade im Bereich der Datensicherheit ist eine enge Kooperation zwischen IT- und Datenschutzexperten extrem hilfreich. Beide Seiten verfolgen häufig die gleichen Ziele, welche im Rahmen einer abgestimmten Kooperation die Effizienz und das Ergebnis ihrer Aufgaben optimieren.
Es kann auch für schlechte Publicity sorgen
Neben der Rechtmäßigkeit und der Datensicherheit, existiert als weiteres Prinzip der DSGVO die Transparenz. So wurden mit der DSGVO die sogenannten Betroffenenrechte erheblich gestärkt. Auf diese Rechte wie Information, Auskunft, Berichtigung und Löschung können sich Betroffene berufen, also nicht nur Beschäftigte, sondern auch Kunden. Die Statistiken der Aufsichtsbehörden zeigen, dass das Bewusstsein für den Datenschutz auf Seiten der Betroffenen drastisch angestiegen ist, was sich auch in der steigenden Zahl von Beschwerden, die bei den Aufsichtsbehörden eingereicht werden, zeigt. Welche Konsequenzen die Missachtung von Auskunfts-, Lösch- und Widerspruchsrechten haben kann, sollte der Lieferdienst Delivery Hero erfahren: 195.407 EUR Geldbuße. Das Verfahren wurde durch Beschwerden von Kunden angestoßen.
Die Berliner Aufsichtsbehörde teilte mit, dass Kunden nicht aus dem CRM-System gelöscht wurden, obwohl die Betroffenen den Lieferdienst seit Jahren nicht mehr genutzt hatten. Zudem hatten sich Kunden darüber beschwert, dass Delivery Hero einigen Auskunftsersuchen nicht nachgekommen sei und dass dem Werbewiderspruch von Kunden schlechterdings keine Rechnung getragen wurde.
Die Missachtung von Betroffenenrechten ist nicht zwingend mit Vorsatz verbunden, sondern beruht oftmals schlichtweg auf mangelhaften Prozessen zum Umgang mit Betroffenenanfragen. Eine Prüfung der internen Datenschutzregelungen und nicht zuletzt deren wirksame Kommunikation an alle Beschäftigten dient nicht nur der Sicherheit im Umgang mit Betroffenenbegehren, sondern hilft letztlich auch, Geldbußen und negative Publicity zu vermeiden.
Fazit
Wie nicht zuletzt das Bußgeld der Berliner Aufsichtsbehörde gegen die Deutsche Wohnen – das bis dato höchste Bußgeld in Deutschland – zeigt, sind die Zeiten der Rücksichtnahme spätestens mit der Verabschiedung des Bußgeldkonzepts der Aufsichtsbehörden vorbei. Aus diesem Grund ist spätestens jetzt der Zeitpunkt gekommen, sich DSGVO-konform aufzustellen.
