Ein Unternehmen in Niedersachsen musste bei einer externen Prüfung große Mengen interner Daten, darunter personenbezogene Daten, offenlegen. Obwohl das Unternehmen datenschutzrechtliche Vorkehrungen getroffen hatte, stellte die Datenschutz-Aufsichtsbehörde Mängel fest und verhängte ein Bußgeld sowie Verwarnungen.1
Trotz implementierter Datenschutzmaßnahmen bemängelt die Aufsichtsbehörde unzureichende Information der Beschäftigten und mangelnde Sicherheitsvorkehrungen bei der Datenoffenlegung während Compliance-Audits.
Hintergrund
Hintergrund war, dass das Unternehmen gegen gesetzliche Bestimmungen verstoßen und sich verpflichtet hatte, seine Compliance-Strukturen durch externe Stellen überprüfen zu lassen. Dabei wurden große Mengen an Unternehmensinformationen, einschließlich personenbezogener Daten, offengelegt. Es wurde ein Verfahren zur datenschutzrechtlichen Prüfung und Schwärzung nicht erforderlicher Daten eingeführt.
Die Aufsichtsbehörde bemängelte jedoch, dass das Unternehmen seine Mitarbeiter nicht ausreichend über die Zweckänderung der Datenverarbeitung informierte. Darüber hinaus sprach die Aufsichtsbehörde Verwarnungen aus: wegen unzureichender Information der Mitarbeiter, unzureichender Interessenabwägung bei der Offenlegung von Daten, Verstoß gegen Art. 32 DSGVO (unzureichende Verschlüsselung bei der Datenübertragung) und fehlendem Verarbeitungsverzeichnis bei einer Prüfung. Das Unternehmen hat gegen diese Maßnahmen Rechtsmittel eingelegt, über die noch nicht entschieden wurde. Es gab nur generische Informationen im Intranet, aber keine individualisierten Mitteilungen.
Zusätzlich sprach die Aufsichtsbehörde Verwarnungen aus:
- wegen unzureichender Unterrichtung der Beschäftigten,
- unzureichender Interessenabwägung bei der Datenoffenlegung,
- Verstoßes gegen Artikel 32 DSGVO (unzureichende Verschlüsselung bei der Datenübermittlung), und
- fehlenden Verarbeitungsverzeichnisses bei einem Audit.
Es wurde ein Bußgeld von 4,3 Millionen Euro verhängt. Das Unternehmen hat gegen diese Maßnahmen Klage eingereicht, über die noch nicht entschieden ist.
Der Datenschutzbeauftragte
Ein wichtiger Aspekt, den das Unternehmen versäumte, war die rechtzeitige Information und Einbindung des Datenschutzbeauftragten. Der Datenschutzbeauftragte hätte frühzeitig in die Prozesse der Datenoffenlegung und -prüfung einbezogen werden müssen, um sicherzustellen, dass alle datenschutzrechtlichen Anforderungen erfüllt werden. Dies hätte auch die detaillierte und individuelle Information der betroffenen Beschäftigten umfassen müssen.
Anforderungen und Aufgaben für die Unternehmen
Aus den beschriebenen Mängeln ergeben sich klare Anforderungen und Aufgaben für den Verantwortlichen:
- Erstens muss der Datenschutzbeauftragte in alle Phasen der Datenverarbeitungsprozesse eingebunden werden, insbesondere bei umfangreichen Datenoffenlegungen an externe Auditoren. Dies gewährleistet eine frühzeitige Prüfung und Einhaltung der datenschutzrechtlichen Anforderungen.
- Zweitens ist es unerlässlich, die Beschäftigten individuell und detailliert über die Zweckänderung der Datenverarbeitung zu informieren. Nur so kann sichergestellt werden, dass die Betroffenen wissen, ob und wie ihre Daten betroffen sind, und gegebenenfalls entsprechende Maßnahmen ergreifen können.
Ein weiterer wichtiger Punkt ist die datenschutzrechtliche Prüfung und Schwärzung nicht erforderlicher personenbezogener Daten vor der Offenlegung. Dieser Prozess muss sorgfältig implementiert und regelmäßig überprüft werden, um die Einhaltung der Datenschutzvorschriften zu garantieren.
Darüber hinaus müssen bei der Übermittlung personenbezogener Daten, insbesondere bei der Übermittlung in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), angemessene Sicherheitsmaßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung, gewährleistet sein. Die vom Unternehmen eingesetzte Pseudonymisierung und Transportverschlüsselung wurde von der Aufsichtsbehörde als unzureichend bewertet.
Schließlich ist es notwendig, jede Datenverarbeitung im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren und regelmäßig zu aktualisieren. Dies dient der Transparenz und Nachvollziehbarkeit der Datenverarbeitung und ist ein wesentliches Element des Datenschutzmanagements.
Fazit
Durch die konsequente Umsetzung dieser Maßnahmen können Unternehmen sicherstellen, dass sie die datenschutzrechtlichen Anforderungen erfüllen und das Risiko von Bußgeldern und Verwarnungen minimieren. Die frühzeitige Einbindung des Datenschutzbeauftragten und die detaillierte Information der Betroffenen sind dabei ebenso entscheidend wie die sorgfältige Prüfung und Schwärzung der Daten sowie die Gewährleistung angemessener Sicherheitsmaßnahmen.
Haben Sie Fragen zu diesem und anderen Themen? Wir stehen Ihnen selbstverständlich gerne zur Verfügung – per E-Mail consulting@adorgasolutions.de.
1 Der Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2023, Pkt. G.3.5 https://datenschutzarchiv.org/fileadmin/Dokumente/2023/29_TB_LfD_Niedersachen_2023_oDR-Nr_06062024.pdf