Bei der Prüfung durch externe Auditoren müssen Unternehmen regelmäßig große Mengen an internen Daten offenlegen, darunter oft auch personenbezogene Daten von Beschäftigten oder Kunden. Ein aktueller Fall aus Niedersachsen, der auch für Unternehmen in Mecklenburg-Vorpommern relevant sein kann, zeigt nun, dass trotz der Umsetzung datenschutzrechtlicher Maßnahmen von Anfang an, die Datenschutzaufsicht Mängel feststellen und Bußgelder verhängen kann.
Hintergrund des Falles
Ein Unternehmen hatte gegen bestimmte rechtliche Bestimmungen des Landes verstoßen und im Rahmen eines gerichtlichen Verfahrens zugestimmt, seine Compliance-Strukturen durch unabhängige externe Stellen überprüfen zu lassen. Für diese Compliance-Audits musste das Unternehmen umfangreiche Unternehmensinformationen offenlegen, darunter potenziell auch personenbezogene Daten. Das Unternehmen war sich der datenschutzrechtlichen Problematik bewusst und führte vor der Offenlegung einen Prozess zur datenschutzrechtlichen Prüfung, Freigabe und Schwärzung nicht erforderlicher personenbezogener Daten durch. Bei der Offenlegung stützte sich das Unternehmen auf die Rechtsgrundlagen berechtigte Interessen, Rechtsverteidigung sowie auf Zwecke des Beschäftigungsverhältnisses.
Der Landesbeauftragte für den Datenschutz (LfD) bemängelte, dass das Unternehmen seine Mitarbeiter nicht gesondert und detailliert über die Datenweitergabe zum Zwecke des Audits informiert hatte. Zwar hatte das Unternehmen in seinen Datenschutz-Informationen etwa im Intranet die Datenweitergabe im Falle von Audits grundsätzlich erwähnt; nach Ansicht des LfD lag im konkreten Fall aber eine Zweckänderung im Sinne der Datenschutz-Grundverordnung (DSGVO) vor, die eine konkrete Information der betroffenen Mitarbeiter über Art und Umfang der Datenweitergabe notwendig gemacht hätte. Auch der Umfang der offengelegten Daten wich nach Ansicht des LfD von den Angaben in den Datenschutzerklärungen ab.
Aufgrund der unzureichenden Informationserteilung wurde gegen das Unternehmen ein Bußgeld in Höhe von 4,3 Millionen Euro festgesetzt. Dagegen legte es Einspruch ein, sodass die Entscheidung derzeit noch nicht rechtskräftig ist.
Weitere Datenschutz-Verstöße angemahnt
Neben dem Bußgeld sprach der LfD weitere Verwarnungen aus. So erfüllte das Unternehmen nach Ansicht des LfD nicht die Anforderungen des Artikels 32 DSGVO, der unter anderem die Pseudonymisierung und Verschlüsselung personenbezogener Daten vorschreibt. Das Unternehmen hätte bei der Weitergabe personenbezogener Daten an einen Auditor außerhalb des Europäischen Wirtschaftsraums per E-Mail zwar Pseudonymisierung und Transportverschlüsselung genutzt; diese Techniken stellten aber keine ausreichende Ende-zu-Ende-Verschlüsselung dar. Außerdem erhielt das Unternehmen eine Verwarnung, weil es für eines der Audits kein gesondertes Verarbeitungsverzeichnis errichtet hatte.
Schlussfolgerungen für Unternehmen in Mecklenburg-Vorpommern
Der aktuelle Fall zeigt das Risiko von Bußgeldern und Verwarnungen für Unternehmen in Mecklenburg-Vorpommern, selbst wenn diese grundsätzliche Datenschutz-Maßnahmen in ihren betrieblichen Prozessen integriert haben. Der Teufel steckt hier wie so oft im Detail: für eine sorgfältigen und wirklich umfassende Einhaltung der datenschutzrechtlichen Vorgaben sind in komplexen Fällen oft Erfahrungen und Expertenwissen notwendig.
In allen Zweifelsfällen sind unsere Experten von Datenschutz-Nordost mit kompetentem Rat für Sie da – um eine vollständige Datenschutz-Compliance in Ihrem Unternehmen sicherzustellen.