Ein Un­ter­neh­men in Nie­der­sach­sen musste bei einer ex­ter­nen Prüfung große Mengen in­ter­ner Daten, dar­un­ter per­so­nen­be­zo­ge­ne Daten, of­fen­le­gen. Obwohl das Un­ter­neh­men da­ten­schutz­recht­li­che Vor­keh­run­gen ge­trof­fen hatte, stellte die Da­ten­­­schutz-Auf­­­sichts­­be­hör­­de Mängel fest und ver­häng­te ein Bußgeld sowie Ver­war­nun­gen.1

Trotz im­ple­men­tier­ter Da­ten­schutz­maß­nah­men be­män­gelt die Auf­sichts­be­hör­de un­zu­rei­chen­de In­for­ma­ti­on der Be­schäf­tig­ten und man­geln­de Si­cher­heits­vor­keh­run­gen bei der Da­ten­of­fen­le­gung während Compliance-Audits.

Hin­ter­grund

Hin­ter­grund war, dass das Un­ter­neh­men gegen ge­setz­li­che Be­stim­mun­gen ver­sto­ßen und sich ver­pflich­tet hatte, seine Com­­pli­­an­ce-Struk­­tu­­ren durch externe Stellen über­prü­fen zu lassen. Dabei wurden große Mengen an Un­ter­neh­mens­in­for­ma­tio­nen, ein­schließ­lich per­so­nen­be­zo­ge­ner Daten, of­fen­ge­legt. Es wurde ein Ver­fah­ren zur da­ten­schutz­recht­li­chen Prüfung und Schwär­zung nicht er­for­der­li­cher Daten eingeführt.

Die Auf­sichts­be­hör­de be­män­gel­te jedoch, dass das Un­ter­neh­men seine Mit­ar­bei­ter nicht aus­rei­chend über die Zweck­än­de­rung der Da­ten­ver­ar­bei­tung in­for­mier­te. Darüber hinaus sprach die Auf­sichts­be­hör­de Ver­war­nun­gen aus: wegen un­zu­rei­chen­der In­for­ma­ti­on der Mit­ar­bei­ter, un­zu­rei­chen­der In­ter­es­sen­ab­wä­gung bei der Of­fen­le­gung von Daten, Verstoß gegen Art. 32 DSGVO (un­zu­rei­chen­de Ver­schlüs­se­lung bei der Da­ten­über­tra­gung) und feh­len­dem Ver­ar­bei­tungs­ver­zeich­nis bei einer Prüfung. Das Un­ter­neh­men hat gegen diese Maß­nah­men Rechts­mit­tel ein­ge­legt, über die noch nicht ent­schie­den wurde. Es gab nur ge­ne­ri­sche In­for­ma­tio­nen im In­tra­net, aber keine in­di­vi­dua­li­sier­ten Mitteilungen.

Zu­sätz­lich sprach die Auf­sichts­be­hör­de Ver­war­nun­gen aus:

  • wegen un­zu­rei­chen­der Un­ter­rich­tung der Beschäftigten,
  • un­zu­rei­chen­der In­ter­es­sen­ab­wä­gung bei der Datenoffenlegung,
  • Ver­sto­ßes gegen Artikel 32 DSGVO (un­zu­rei­chen­de Ver­schlüs­se­lung bei der Da­ten­über­mitt­lung), und
  • feh­len­den Ver­ar­bei­tungs­ver­zeich­nis­ses bei einem Audit.

Es wurde ein Bußgeld von 4,3 Mil­lio­nen Euro ver­hängt. Das Un­ter­neh­men hat gegen diese Maß­nah­men Klage ein­ge­reicht, über die noch nicht ent­schie­den ist.

Der Datenschutz­beauftragte

Ein wich­ti­ger Aspekt, den das Un­ter­neh­men ver­säum­te, war die recht­zei­ti­ge In­for­ma­ti­on und Ein­bin­dung des Da­ten­schutz­be­auf­trag­ten. Der Datenschutz­beauftragte hätte früh­zei­tig in die Pro­zes­se der Da­ten­of­fen­le­gung und -prüfung ein­be­zo­gen werden müssen, um si­cher­zu­stel­len, dass alle da­ten­schutz­recht­li­chen An­for­de­run­gen erfüllt werden. Dies hätte auch die de­tail­lier­te und in­di­vi­du­el­le In­for­ma­ti­on der be­trof­fe­nen Be­schäf­tig­ten um­fas­sen müssen.

An­for­de­run­gen und Auf­ga­ben für die Unternehmen

Aus den be­schrie­be­nen Mängeln ergeben sich klare An­for­de­run­gen und Auf­ga­ben für den Verantwortlichen:

  1. Erstens muss der Datenschutz­beauftragte in alle Phasen der Da­ten­ver­ar­bei­tungs­pro­zes­se ein­ge­bun­den werden, ins­be­son­de­re bei um­fang­rei­chen Da­ten­of­fen­le­gun­gen an externe Au­di­to­ren. Dies ge­währ­leis­tet eine früh­zei­ti­ge Prüfung und Ein­hal­tung der da­ten­schutz­recht­li­chen Anforderungen.
  2. Zwei­tens ist es un­er­läss­lich, die Be­schäf­tig­ten in­di­vi­du­ell und de­tail­liert über die Zweck­än­de­rung der Da­ten­ver­ar­bei­tung zu in­for­mie­ren. Nur so kann si­cher­ge­stellt werden, dass die Be­trof­fe­nen wissen, ob und wie ihre Daten be­trof­fen sind, und ge­ge­be­nen­falls ent­spre­chen­de Maß­nah­men er­grei­fen können.

Ein wei­te­rer wich­ti­ger Punkt ist die da­ten­schutz­recht­li­che Prüfung und Schwär­zung nicht er­for­der­li­cher per­so­nen­be­zo­ge­ner Daten vor der Of­fen­le­gung. Dieser Prozess muss sorg­fäl­tig im­ple­men­tiert und re­gel­mä­ßig über­prüft werden, um die Ein­hal­tung der Da­ten­schutz­vor­schrif­ten zu garantieren.

Darüber hinaus müssen bei der Über­mitt­lung per­so­nen­be­zo­ge­ner Daten, ins­be­son­de­re bei der Über­mitt­lung in Länder au­ßer­halb des Eu­ro­päi­schen Wirt­schafts­raums (EWR), an­ge­mes­se­ne Si­cher­heits­maß­nah­men, wie z. B. eine Ende-zu-Ende-Ver­­­schlüs­­se­­lung, ge­währ­leis­tet sein. Die vom Un­ter­neh­men ein­ge­setz­te Pseud­ony­mi­sie­rung und Trans­port­ver­schlüs­se­lung wurde von der Auf­sichts­be­hör­de als un­zu­rei­chend bewertet.

Schließ­lich ist es not­wen­dig, jede Da­ten­ver­ar­bei­tung im Ver­zeich­nis der Ver­ar­bei­tungs­tä­tig­kei­ten zu do­ku­men­tie­ren und re­gel­mä­ßig zu ak­tua­li­sie­ren. Dies dient der Trans­pa­renz und Nach­voll­zieh­bar­keit der Da­ten­ver­ar­bei­tung und ist ein we­sent­li­ches Element des Datenschutzmanagements.

Fazit

Durch die kon­se­quen­te Um­set­zung dieser Maß­nah­men können Un­ter­neh­men si­cher­stel­len, dass sie die da­ten­schutz­recht­li­chen An­for­de­run­gen er­fül­len und das Risiko von Buß­gel­dern und Ver­war­nun­gen mi­ni­mie­ren. Die früh­zei­ti­ge Ein­bin­dung des Da­ten­schutz­be­auf­trag­ten und die de­tail­lier­te In­for­ma­ti­on der Be­trof­fe­nen sind dabei ebenso ent­schei­dend wie die sorg­fäl­ti­ge Prüfung und Schwär­zung der Daten sowie die Ge­währ­leis­tung an­ge­mes­se­ner Sicherheitsmaßnahmen.

Haben Sie Fragen zu diesem und anderen Themen? Wir stehen Ihnen selbst­ver­ständ­lich gerne zur Ver­fü­gung – per E-Mail consulting@adorgasolutions.de.

1 Der Lan­des­be­auf­trag­te für den Daten­schutz Nie­der­sach­sen, Tä­tig­keits­be­richt 2023, Pkt. G.3.5 https://datenschutzarchiv.org/fileadmin/Dokumente/2023/29_TB_LfD_Niedersachen_2023_oDR-Nr_06062024.pdf 

Wie können wir Ihnen weiterhelfen?

Kontaktieren Sie uns: Wir sind gerne für Sie da!