DSGVO & Erforderlichkeit: Wann ist die Verarbeitung personenbezogener Daten erlaubt?

von Jonatan

Im Geltungsbereich der Datenschutzgrundverordnung (DSGVO) dürfen personenbezogene Daten nur dann verarbeitet werden, wenn eine Rechtsgrundlage dies auch gestattet (Grundsatz der Rechtsmäßigkeit, Art.5 Abs.1 a) DSGVO).

So müssen Verantwortliche neben zahlreichen weiteren Anforderungen ein Verzeichnis der Verarbeitungstätigkeiten führen, einen Datenschutzbeauftragten bestellen und eine umfassende Bewertung besonders risikoreicher geplanter Verarbeitungsvorgänge durchführen, die so genannte Datenschutzfolgeabschätzung (DSFA).  
Bei Missachtung dieser Anforderungen drohen neben Schadenersatzforderungen auch aufsichtsrechtliche Maßnahmen, wie eine Entscheidung der polnischen Aufsichtsbehörden gegen die polnische Bank eines internationalen Autokonzerns zeigt.
So verhängte die Behörde ein Bußgeld in Höhe von insgesamt 576.220 polnischen Zloty (umgerechnet etwa 135.000 €), wegen Verstößen gegen die DSGVO. Nachzulesen ist die Entscheidung in polnischer Sprache auf der Website der polnischen Aufsichtsbehörde unter: https://uodo.gov.pl/en/553/1833 . Dem betroffenen Unternehmen wurde nach einer Vor-Ort-Kontrolle der Aufsichtsbehörde vorgeworfen, die Unabhängigkeit des Datenschutzbeauftragten nicht gewährleistet zu haben und bei der Erfassung und Bewertung von Profiling nicht korrekt vorgegangen zu sein.

Was war passiert?

Die sanktionierte Bank hatte zwar einen Datenschutzbeauftragten bestellt, dieser war jedoch gleichzeitig auch als regulärer Beschäftigter in der IT-Abteilung des Unternehmens angestellt und der zugehörigen Abteilungsleitung unterstellt.

Offiziell war Mitarbeiter in seiner Position als Datenschutzbeauftragte hingegen direkt dem zuständigen Vorstandsmitglied unterstellt. Faktisch war er allerdings nach den Feststellungen der Aufsichtsbehörde auch als Datenschutzbeauftragter der Abteilungsleitung der IT unterstellt. Ebenso erstattete er zwar vorgeblich der Unternehmensleitung Bericht, tatsächlich aber seiner Abteilungsleistung. Eine inhaltliche Weisungsfreiheit bei seiner Tätigkeit als Datenschutzbeauftragter war also faktisch nicht gewährleistet.

Entsprechende Anhaltspunkte lieferten insbesondere die Stellenbeschreibung, die dem Arbeitsvertrag für die Tätigkeit in der IT-Abteilung beigefügt war und die entsprechenden internen Organisationsvorschriften. So war der Abteilungsleiter der IT gleichzeitig zum Stellvertreter des Datenschutzbeauftragten ernannt worden. Auch wurden Aufgaben des Datenschutzbeauftragten wie die Verwaltung der Verarbeitungstätigkeiten der Abteilungsleitung der IT zugewiesen.

Daneben beging die Bank einen weiteren Verstoß gegen die DSGVO, indem sie umfassend automatisiert Kundendaten zur Bewertung der Kreditwürdigkeit ihrer Kunden verarbeitet und in diesem Zusammenhang auch umfassend Kundenprofile erstellte (Profiling nach Art.3 Nr.4 DSGVO), diese Tätigkeiten allerdings weder im Verzeichnis der Verarbeitungstätigkeiten erfasste noch eine erforderliche Datenschutzfolgenabschätzung durchführte.

Was sind die rechtlichen Hintergründe?

Unternehmen sind in bestimmten Fällen nach verpflichtet, einen Datenschutzbeauftragten zu benennen, beispielsweise bei umfassender Überwachung von Personen oder wenn eine bestimmte Anzahl von dauerhaft mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigten Personen vorhanden ist. Die entsprechenden Vorgaben finden sich in Art.37 DSGVO und werden durch landesspezifische Vorgaben wie z.B. § 38 des Bundesdatenschutzgesetzes (BDSG) ergänzt.

Der Datenschutzbeauftragte muss in seinem Aufgabenbereich weisungsfrei tätig sein können und unmittelbar der höchsten Managementebene berichten (Art.38 Abs.3 DSGVO).  Insofern nimmt der Datenschutzbeauftragte eine Sonderrolle ein, weil er meist aus den in Unternehmen sonst üblichen Organisationsstrukturen und Hirarchieebenen herausfällt.

Verantwortliche im Sinne der DSGVO müssen zudem ein Verzeichnis der Verarbeitungstätigkeiten führen, wenn keine Ausnahme vorliegt (Art.30 DSGVO). Dort müssen insbesondere die Zwecke der Verarbeitung, die betroffenen Personen und auch die Datenkategorien erfasst werden. Bei einer besonders risikoreichen Verarbeitung muss nach Art.35 DSGVO vor Beginn der Verarbeitung eine Bewertung der Folgen für die betroffenen Personen erfolgen (sog. „Datenschutzfolgenabschätzung“).

Die Durchführung von Profiling mit Rechtsfolgen für die Betroffenen stellt nach Art.35 Abs.3 a) DSGVO sogar einen typischen Fall dar, in dem eine Datenschutzfolgenabschätzung erforderlich sein kann. Zur Überprüfung der der Vorgaben der DSGVO können die Aufsichtsbehörden, wie hier geschehen, Kontrollen vor Ort im Unternehmen durchführen und ggf. auch Einsicht in entsprechende Unterlagen nehmen.

Fazit

Verstöße gegen die Datenschutzgrundverordnung können empfindliche Geldbußen zur Folge haben. Für Unternehmen ist deshalb besonders wichtig, das Thema Datenschutz nicht stiefmütterlich zu behandeln und die rechtlichen Anforderungen auch praktisch korrekt umzusetzen. Die Entscheidung der polnischen Aufsichtsbehörde zeigt, dass die Vorgaben der Datenschutzgrundverordnung nicht nur leere Worthülsen sind, sondern auch tatsächlich umgesetzt werden müssen.

Häufig übernimmt ein Beschäftigter als Zusatztätigkeit oder „Nebenjob“ die Stelle des Datenschutzbeauftragten. Hier muss dann besonders auf die Ausgestaltung des Beschäftigungsverhältnisses geachtet werden. Insbesondere im Arbeitsvertrag und auch den internen organisationsvorgaben wie Richtlinien und Organigrammen müssen die Besonderheiten der Stellung als Datenschutzbeauftragter hinreichend berücksichtigt und klargestellt werden.

Eine empfehlenswerte Vorgehensweise, um diese Problematik zu vermeiden, ist die Bestellungen des Datenschutzbeauftragten über einen externen Dienstleister wie aigner business solutions.

Falls Sie Fragen zum geschilderten Thema und/oder zu anderen datenschutzrelevanten Themen haben, kontaktieren Sie uns einfach!

Zentrale Hutthurm: +49 (0) 8505 91927 – 0

Niederlassung München: +49 (0) 89 413 2943 – 0

Oder nutzen Sie unser Kontaktformular.

Jonatan

Nach seinem Studium der Rechtswissenschaften sammelte Jonatan wertvolle Erfahrungen als Rechtsanwalt in einer renommierten Passauer Anwaltskanzlei. Während dieser Zeit entdeckte er seine Leidenschaft für das Rechtsgebiet Datenschutz, dem er sich seither mit großer Begeisterung widmet.

Mit seiner langjährigen Expertise als Rechtsanwalt bringt Jonatan das ideale Rüstzeug mit, um unsere Kunden in allen Bereichen des Datenschutzes kompetent und bedarfsgerecht zu beraten. Seine umfassende Fachkenntnis und sein lösungsorientierter Ansatz stärken nicht nur unser Team der Inhouse-Juristen, sondern unterstützen auch unsere Datenschutzbeauftragten in allen erforderlichen Bereichen.

Wir freuen uns, Jonatan an Bord zu haben, und schätzen seinen wertvollen Beitrag zur rechtssicheren und praxisnahen Umsetzung von Datenschutzmaßnahmen.