Die Offenlegung personenbezogener Daten an externe Auditoren ist in vielen Unternehmen ein notwendiger Bestandteil von Compliance-Prüfungen. Doch wie der Fall eines niedersächsischen Unternehmens zeigt, birgt diese Praxis erhebliche datenschutzrechtliche Risiken. Ein Bußgeld in Millionenhöhe und mehrere Verwarnungen der Aufsichtsbehörde unterstreichen die Bedeutung rechtskonformer Prozesse.
Warum personenbezogene Daten bei Audits ein Thema sind
Compliance-Audits erfordern oft die Offenlegung großer Mengen interner Daten, einschließlich personenbezogener Informationen über Beschäftigte oder Kunden. Die Weitergabe dieser sensiblen Daten muss den Vorgaben der Datenschutz-Grundverordnung (DSGVO) entsprechen. Andernfalls drohen Sanktionen.
In dem genannten Fall stützte das Unternehmen die Offenlegung personenbezogener Daten auf:
- Berechtigte Interessen (Art. 6 Abs. 1 Buchst. f DSGVO)
- Rechtsverteidigung (Art. 49 Abs. 1 Buchst. e DSGVO)
- Zwecke des Beschäftigungsverhältnisses
Trotz dieser Ansätze wurden mehrere Verstöße festgestellt.
Kritische Mängel im Datenschutzprozess
1. Unzureichende Information der Beschäftigten
- Die Offenlegung personenbezogener Daten an Auditoren wurde als Zweckänderung eingestuft, die gemäß Art. 13 Abs. 3 DSGVO eine detaillierte Information der Betroffenen erfordert.
- Fehler: Das Unternehmen informierte seine Mitarbeitenden nur allgemein über die Möglichkeit der Datenweitergabe, nicht jedoch über konkrete Datenkategorien oder betroffene Personen.
2. Offenlegung über das notwendige Maß hinaus
- In einigen Fällen wurden mehr personenbezogene Daten weitergegeben, als ursprünglich in den Datenschutzerklärungen angegeben.
3. Fehlende technische Schutzmaßnahmen
- Daten ab Schutzstufe D wurden per E-Mail ohne ausreichende Verschlüsselung an Auditoren außerhalb des Europäischen Wirtschaftsraums übermittelt.
- Die eingesetzte Pseudonymisierung und Transportverschlüsselung wurde als unzureichend bewertet, da eine Ende-zu-Ende-Verschlüsselung erforderlich gewesen wäre.
4. Fehlendes Verarbeitungsverzeichnis
- Für eines der Audits wurde zunächst kein gesondertes Verarbeitungsverzeichnis gemäß Art. 30 DSGVO erstellt, was ebenfalls zu einer Verwarnung führte.
Sanktionen und Maßnahmen
- Bußgeld: Eine Geldstrafe von 4,3 Millionen Euro wurde verhängt, weil die Informationspflichten gegenüber den Beschäftigten nicht eingehalten wurden.
- Verwarnungen: Weitere Verstöße, wie die Offenlegung nicht notwendiger Daten und die mangelhafte Datenübertragung, führten zu zusätzlichen Verwarnungen.
- Klage: Das Unternehmen hat gegen die Maßnahmen Klage erhoben. Bis zur Entscheidung des Verwaltungsgerichts gilt die Unschuldsvermutung.
Lösungsansätze für Unternehmen
1. Transparente Kommunikation
Beschäftigte und andere Betroffene müssen detailliert und individuell über die Verarbeitung ihrer Daten informiert werden, insbesondere bei Zweckänderungen.
2. Technische Absicherung
Sensible Daten müssen durch starke Verschlüsselung geschützt werden, insbesondere bei Übertragungen an externe Stellen.
3. Verarbeitungsverzeichnis erstellen
Ein umfassendes Verzeichnis gemäß Art. 30 DSGVO sollte alle relevanten Prozesse dokumentieren.
4. Datenschutzrechtliche Prüfung vor Offenlegung
Ein fester Prozess zur Bewertung der Rechtsgrundlagen und zur Minimierung der offengelegten Daten ist unerlässlich.
Fazit
Die Offenlegung personenbezogener Daten bei Compliance-Audits erfordert sorgfältige Planung und Umsetzung. Unternehmen sollten Prozesse etablieren, die Datenschutz und Rechtssicherheit gewährleisten. Die Einhaltung der DSGVO ist dabei nicht nur eine rechtliche Pflicht, sondern auch ein Vertrauensfaktor gegenüber Mitarbeitenden und Kunden.