Ein Unternehmen in Niedersachsen musste bei einer externen Prüfung große Mengen interner Daten, darunter personenbezogene Daten, offenlegen. Obwohl das Unternehmen datenschutzrechtliche Vorkehrungen getroffen hatte, stellte die Datenschutz-Aufsichtsbehörde Mängel fest und verhängte ein Bußgeld sowie Verwarnungen.1 Trotz implementierter Datenschutzmaßnahmen bemängelt die Aufsichtsbehörde unzureichende Information der Beschäftigten und mangelnde Sicherheitsvorkehrungen bei der Datenoffenlegung während Compliance-Audits. Hintergrund Hintergrund war, dass das Unternehmen gegen gesetzliche Bestimmungen verstoßen und sich verpflichtet hatte, seine Compliance-Strukturen durch externe Stellen überprüfen zu lassen. Dabei wurden große Mengen an Unternehmensinformationen, einschließlich personenbezogener Daten, offengelegt. Es wurde ein Verfahren zur datenschutzrechtlichen Prüfung und Schwärzung nicht erforderlicher Daten eingeführt. Die Aufsichtsbehörde bemängelte jedoch, dass das Unternehmen seine Mitarbeiter nicht ausreichend über die Zweckänderung der Datenverarbeitung informierte. Darüber hinaus sprach die Aufsichtsbehörde Verwarnungen aus: wegen unzureichender Information der Mitarbeiter, unzureichender Interessenabwägung bei der Offenlegung von Daten, Verstoß gegen Art. 32 DSGVO (unzureichende Verschlüsselung bei der Datenübertragung) und fehlendem Verarbeitungsverzeichnis bei einer Prüfung. Das Unternehmen hat gegen diese Maßnahmen Rechtsmittel eingelegt, über die noch nicht entschieden wurde. Es gab nur generische Informationen im Intranet, aber keine individualisierten Mitteilungen. Zusätzlich sprach die Aufsichtsbehörde Verwarnungen aus: wegen unzureichender Unterrichtung der Beschäftigten, unzureichender Interessenabwägung bei der Datenoffenlegung, Verstoßes gegen Artikel 32 DSGVO (unzureichende Verschlüsselung bei der Datenübermittlung), und fehlenden Verarbeitungsverzeichnisses bei einem Audit. Es wurde ein Bußgeld von 4,3 Millionen Euro verhängt. Das Unternehmen hat gegen diese Maßnahmen Klage eingereicht, über die noch nicht entschieden ist. Der Datenschutzbeauftragte Ein wichtiger Aspekt, den das Unternehmen versäumte, war die rechtzeitige Information und Einbindung des Datenschutzbeauftragten. Der Datenschutzbeauftragte hätte frühzeitig in die Prozesse der Datenoffenlegung und -prüfung einbezogen werden müssen, um sicherzustellen, dass alle datenschutzrechtlichen Anforderungen erfüllt werden. Dies hätte auch die detaillierte und individuelle Information der betroffenen Beschäftigten umfassen müssen. Anforderungen und Aufgaben für die Unternehmen Aus den beschriebenen Mängeln ergeben sich klare Anforderungen und Aufgaben für den Verantwortlichen: Erstens muss der Datenschutzbeauftragte in alle Phasen der Datenverarbeitungsprozesse eingebunden werden, insbesondere bei umfangreichen Datenoffenlegungen an externe Auditoren. Dies gewährleistet eine frühzeitige Prüfung und Einhaltung der datenschutzrechtlichen Anforderungen. Zweitens ist es unerlässlich, die Beschäftigten individuell und detailliert über die Zweckänderung der Datenverarbeitung zu informieren. Nur so kann sichergestellt werden, dass die Betroffenen wissen, ob und wie ihre Daten betroffen sind, und gegebenenfalls entsprechende Maßnahmen ergreifen können. Ein weiterer wichtiger Punkt ist die datenschutzrechtliche Prüfung und Schwärzung nicht erforderlicher personenbezogener Daten vor der Offenlegung. Dieser Prozess muss sorgfältig implementiert und regelmäßig überprüft werden, um die Einhaltung der Datenschutzvorschriften zu garantieren. Darüber hinaus müssen bei der Übermittlung personenbezogener Daten, insbesondere bei der Übermittlung in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), angemessene Sicherheitsmaßnahmen, wie z. B. eine Ende-zu-Ende-Verschlüsselung, gewährleistet sein. Die vom Unternehmen eingesetzte Pseudonymisierung und Transportverschlüsselung wurde von der Aufsichtsbehörde als unzureichend bewertet. Schließlich ist es notwendig, jede Datenverarbeitung im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren und regelmäßig zu aktualisieren. Dies dient der Transparenz und Nachvollziehbarkeit der Datenverarbeitung und ist ein wesentliches Element des Datenschutzmanagements. Fazit Durch die konsequente Umsetzung dieser Maßnahmen können Unternehmen sicherstellen, dass sie die datenschutzrechtlichen Anforderungen erfüllen und das Risiko von Bußgeldern und Verwarnungen minimieren. Die frühzeitige Einbindung des Datenschutzbeauftragten und die detaillierte Information der Betroffenen sind dabei ebenso entscheidend wie die sorgfältige Prüfung und Schwärzung der Daten sowie die Gewährleistung angemessener Sicherheitsmaßnahmen. Haben Sie Fragen zu diesem und anderen Themen? Wir stehen Ihnen selbstverständlich gerne zur Verfügung – per E-Mail consulting@adorgasolutions.de. 1 Der Landesbeauftragte für den Datenschutz Niedersachsen, Tätigkeitsbericht 2023, Pkt. G.3.5 https://datenschutzarchiv.org/fileadmin/Dokumente/2023/29_TB_LfD_Niedersachen_2023_oDR-Nr_06062024.pdf
Impressum tecRacer Consulting GmbH Vahrenwalder Str. 156 30165 Hannover, Deutschland Telefon: +49 511- 59 0 95-950 Telefax: +49 511- 59 0 95-590 E-Mail: aws-sales@tecracer.de E-Mail: chef-sales@tecracer.de Web: www.tecracer.de Geschäftsführer: Dipl.-Wirt.
Für noch mehr Reichweite und Sichtbarkeit auch außerhalb von eBay: Mit dem neuen Werbeformat „Externe AnzeigenBETA“ von eBay Ads erhalten Händler*innen ab sofort einen direkten Zugang zu exklusiven Anzeigenplatzierungen auf externen Kanälen wie z. B. Goog
zum Artikel gehenEthik im digitalen Zeitalter Die Herausforderungen und Fragen im Zeitalter von Technologie, Künstlicher Intelligenz, Datenschutz und sozialen Medien Das digitale Zeitalter hat die Art und Weise, wie wir leben, arbeiten und kommunizieren, grundlegend verä
zum Artikel gehenIn der digitalen Welt ist eine Identitätsprüfung bisher kompliziert: Jeder kann sich im Internet als Millionenerbe, Profisportler oder Lifestyle-Guru ausgeben, ohne dass dies leicht nachprüfbar ist. Zudem spielen Themen wie Identitätsdiebstahl und Betrug
zum Artikel gehen