Unternehmen stehen häufig vor der Herausforderung, große Mengen an internen Daten im Rahmen von Audits offenzulegen – insbesondere bei Prüfungen durch externe Auditoren. Doch gerade die Weitergabe von personenbezogenen Daten an Dritte ist aus datenschutzrechtlicher Sicht hochsensibel. Ein aktueller Fall in Niedersachsen zeigt die Konsequenzen auf, die unzureichende Datenschutzmaßnahmen und Informationspflichten mit sich bringen können. In diesem Beitrag fassen wir den Fall und die datenschutzrechtlichen Anforderungen zusammen, die Unternehmen bei Audits beachten sollten.
Hintergrund: Compliance-Audit und Datenschutz
In dem Fall hatte ein niedersächsisches Unternehmen aufgrund rechtlicher Vorgaben seine Compliance-Strukturen durch externe Auditoren prüfen lassen. Dazu musste es umfangreiche Unternehmensinformationen offenlegen, die auch personenbezogene Daten von Mitarbeitern und Kunden beinhalteten. Um datenschutzkonform vorzugehen, hatte das Unternehmen einen internen Prozess zur datenschutzrechtlichen Prüfung der offengelegten Daten entwickelt, inklusive der Schwärzung nicht erforderlicher personenbezogener Informationen.
Die Offenlegung stützte das Unternehmen auf die berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), Rechtsverteidigung (Art. 49 Abs. 1 lit. e DSGVO) sowie auf Zwecke des Beschäftigungsverhältnisses. Doch trotz dieser Vorkehrungen beanstandete die niedersächsische Datenschutzaufsichtsbehörde (LfD) Mängel in der Umsetzung und verhängte ein Bußgeld sowie Verwarnungen.
Unzureichende Information der Mitarbeiter als Kernproblem
Ein zentrales Problem stellte die fehlende individuelle Information der Mitarbeiter über die Weiterverarbeitung ihrer Daten für die Zwecke des Audits dar. Der Landesbeauftragte für den Datenschutz (LfD) sah die Offenlegung personenbezogener Daten an die Auditoren als eine Zweckänderung im Sinne der DSGVO, was eine gesonderte Information der betroffenen Mitarbeiter erforderlich gemacht hätte. Die vorhandene Datenschutzerklärung enthielt zwar allgemeine Hinweise zur Datenweitergabe, jedoch nach Ansicht des LfD ohne ausreichende Details, sodass die Mitarbeiter nicht erkennen konnten, ob sie selbst betroffen waren.
Hohe Geldbuße wegen unzureichender Informationspflicht
Da das Unternehmen aus Sicht des LfD seiner Informationspflicht gegenüber den Beschäftigten nicht ausreichend nachgekommen war, verhängte die Behörde ein Bußgeld von 4,3 Millionen Euro. Das Unternehmen legte Einspruch ein, und die Entscheidung ist bislang noch nicht rechtskräftig. Im Bußgeldbescheid werden Rechtspositionen herangezogen, die teilweise noch nicht höchstrichterlich entschieden sind.
Weitere Verstöße und verwaltungsrechtliche Verwarnungen
Zusätzlich zur unzureichenden Informationspflicht bemängelte der LfD weitere Verstöße im Rahmen des Audits, darunter:
- Fehlende Interessenabwägung: In einem Fall konnte das Unternehmen nicht schlüssig nachweisen, dass ein überwiegendes berechtigtes Interesse die Weitergabe bestimmter Daten an einen Auditor rechtfertigte. Der LfD bemängelte eine unzureichende und undokumentierte Abwägung der Interessen.
- Unzureichende Datensicherheitsmaßnahmen: In einem separaten Auditprozess wurden Daten mit der Schutzstufe D per E-Mail an einen Auditor außerhalb des Europäischen Wirtschaftsraums (EWR) gesendet – ohne ausreichende Ende-zu-Ende-Verschlüsselung. Die eingesetzte Pseudonymisierung und Transportverschlüsselung wurde vom LfD als nicht ausreichend bewertet.
- Fehlendes Verarbeitungsverzeichnis: Ein gesondertes Verarbeitungsverzeichnis für das Audit war nicht vorhanden. Diese Dokumentation ist gemäß Art. 30 DSGVO für jede Verarbeitung personenbezogener Daten notwendig, was der LfD entsprechend abmahnte.
Das Unternehmen hat gegen diese verwaltungsrechtlichen Abhilfemaßnahmen Klage erhoben, und die Maßnahmen sind bis zur endgültigen gerichtlichen Entscheidung noch nicht bestandskräftig.
Was Unternehmen aus dem Fall lernen können
Die aktuellen Maßnahmen der niedersächsischen Datenschutzbehörde zeigen, wie wichtig es ist, Datenschutzregelungen konsequent und detailliert zu beachten, insbesondere bei Audits. Unternehmen sollten folgende Punkte beachten:
- Individuelle Information der Betroffenen: Stellen Sie sicher, dass alle betroffenen Personen im Rahmen von Audits über die Verarbeitung ihrer Daten detailliert informiert werden – insbesondere, wenn eine Zweckänderung im Sinne der DSGVO vorliegt.
- Transparente Interessenabwägung: Eine schlüssige und dokumentierte Interessenabwägung ist essenziell, wenn personenbezogene Daten auf berechtigte Interessen gestützt weitergegeben werden.
- Datensicherheitsmaßnahmen: Bei sensiblen Daten müssen besonders hohe Sicherheitsstandards (wie Ende-zu-Ende-Verschlüsselung) eingehalten werden, insbesondere bei der Übermittlung außerhalb des EWR.
- Dokumentation und Verarbeitungsverzeichnisse: Eine detaillierte Dokumentation und die Erstellung spezifischer Verzeichnisse für jede Art der Verarbeitung sind unerlässlich. Dies bietet Transparenz und reduziert rechtliche Risiken bei Prüfungen.
Fazit: Datenschutz bei Audits erfordert höchste Präzision
Der Fall verdeutlicht, dass Datenschutzmaßnahmen auch bei scheinbar etablierten Verfahren wie Audits gründlich und individuell angepasst sein müssen. Transparente Informationspflichten und hohe Datensicherheitsstandards sind ein Muss. Der Schutz der personenbezogenen Daten von Mitarbeitern und Kunden ist nicht nur eine gesetzliche Anforderung, sondern stärkt das Vertrauen der Belegschaft und Kunden in die Sorgfalt des Unternehmens.