Mitarbeiterüberwachung und Vorgehen bei Kundenbetreuung verstoßen gegen DS-GVO
Zwei hohe Bußgelder machen in der Welt des Datenschutzes auf sich aufmerksam. Wie wir teilweise in unserem Newsletter schon berichtet haben, wurden ein Telekommunikationsunternehmen und eine Modekette zu hohen Geldbußen verurteilt. Grund dafür waren verschiedene Verstöße gegen die gesetzlichen Vorgaben der DS-GVO.
Wie es zu diesen Verurteilungen kam und wie es für die Unternehmen jetzt weiter geht, lesen Sie im Blog von Datenschutzberater.NRW. Wie können Sie Bußgelder im Datenschutz in NRW verhindern? – Das lesen Sie weiter unten im Text.
Telekommunikationsunternehmen: Keine ausreichenden TOMs zum Schutz personenbezogener Daten
Im ersten Fall wurde einem Telekommunikationsunternehmen schon im vergangenen Jahr vorgeworfen, keine ausreichenden technischen und organisatorischen Maßnahmen (TOMs) ergriffen zu haben, um personenbezogene Daten am Servicetelefon vor dem Zugriff Unbefugter zu schützen.
Was kompliziert klingt, ist eigentlich ein recht einfacher Sachverhalt: Hatte ein Kunde beim Dienstleister angerufen, musste er sich nach Angaben des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) teilweise lediglich mit Namen und Geburtsdatum verifizieren. Nach diesen Angaben konnte der Anrufer dann an weitere Daten des Betroffenen gelangen.
Nach Ansicht der Behörde reichte das aber nicht aus, um personenbezogene Daten des Betroffenen ausreichend zu schützen. Die technischen und organisatorischen Maßnahmen waren an dieser Stelle also nicht ausreichend.
Unternehmen besserte nach – trotz allem folgte eine Geldbuße
Dem BfDi war bekannt geworden, dass das Unternehmen demnach der Verpflichtung nicht nachgekommen war, die Verarbeitung von personenbezogenen Daten systematisch zu schützen. Nachdem der unzureichende Datenschutz bemängelt wurde, besserte das Unternehmen nach und versuchte diesen Mangel an Datenschutz zu beheben. Trotzdem verhängte der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit eine Geldbuße von 9.550.000 Euro.
Gericht in Bonn soll über Datenschutz entscheiden
Das Unternehmen hat Einspruch gegen diese Strafe eingelegt. Ein Bonner Gericht soll nun klären, ob die Strafe so rechtmäßig ist. Auftakt der Verhandlung war der 07.10.2020.
****
Update: Anfang November 2020 entschied das Landgericht Bonn, dass die Strafe nach unten korrigiert werden soll. Die neue Geldbuße beträgt nun 900.000 €.
****
Anrufer müssen sich ausreichend verifizieren – Unternehmen muss mögliche Betroffene ausreichen prüfen
Vielen Unternehmen kann es beim Datenschutz so gehen, wie dem Telekommunikationsunternehmen, das jetzt in Bonn vor Gericht den Einspruch gegen die Geldbuße eingelegt hat. Vor allem Dienstleister mit Kundenverkehr haben jeden Tag mit den personenbezogenen Daten von natürlichen Personen zu tun. Was sind personenbezogene Daten? – Lesen Sie mehr in unserem Blogartikel.
Wichtig ist, dass bei der Herausgabe von Informationen zu personenbezogenen Daten, der Betroffene einwandfrei identifiziert werden muss. Das gilt zum einen im Tagesgeschäft, aber auch bei Betroffenenanfragen. Achten Sie daher bei jeder Herausgabe von personenbezogenen Daten – egal ob schriftlich oder mündlich darauf, dass derjenige, der die Daten erhält, auch berechtigt dazu ist. Richten Sie entsprechende technische und organisatorische Maßnahmen ein, um die personenbezogenen Daten des Betroffenen ausreichend zu schützen.
Modekette sammelt unerlaubt personenbezogene Daten von Mitarbeitern
Wie bekannt wurde, wurden Mitarbeiter in der Niederlassung in Nürnberg nach Urlauben und nach Abwesenheit bei Krankheiten zu einem Gespräch gebeten. Dort wurden gezielt private Dinge der Betroffenen abgefragt und dokumentiert.
Diese waren dann für Führungskräfte frei zugänglich, um unter anderem auch berufliche Entscheidungen zu treffen, so Medienberichte. Diese Sammlung von personenbezogenen Daten, ohne eindeutige Einwilligung des Betroffenen, ist nicht erlaubt.
Mitarbeiter systematisch ausgefragt und dabei private und gesundheitliche Daten gespeichert
Besonders brisant dabei ist, dass laut Medienberichten, in diesem Zusammenhang auch Gesundheitsdaten gespeichert wurden. Diese gehören zu der besonderen Kategorie personenbezogener Daten, welche besonders schützenswert sind.
Vorgehen flog auf, weil Daten auf Server für alle im Unternehmen zugänglich waren
Als wäre die unerlaubte Weitergabe der personenbezogenen Daten an Führungskräfte nicht schon brisant genug gewesen, so wurde dieser Missstand durch eine Datenpanne aufgedeckt: Die Daten waren für einen gewissen Zeitraum aufgrund eines technischen Fehlers standortweit einsehbar gewesen – so Medienberichte.
Unternehmen lenkt ein und erstellt ein neues Datenschutzkonzept für Niederlassung in Nürnberg
Nach Bekanntwerden dieser Vorgehensweise und dem Verstoß gegen die gesetzlichen Vorgaben im Datenschutz, lenkte das Unternehmen ein und erstellte ein weitreichendes Konzept für den Umgang mit den personenbezogenen Daten der Mitarbeiter für den Standort Nürnberg. Außerdem entschuldigte sich das Unternehmen bei allen Betroffenen und zahlte einen entsprechenden Schadensersatz an sie aus.
Da es sich bei diesem Vorfall allerdings um einen „besonders intensiven Eingriff in die Rechte der Betroffenen“ handle, denn es wurden systematisch Daten abgefragt und dokumentiert, die nicht hätten erfasst werden dürfen, verhängte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit eine Geldbuße für das Unternehmen.
Die mit 35,5 Mio. Euro extrem hohe Strafe diente hierbei wohl vor allem als Abschreckung.
Datenschutz für Mitarbeiter in NRW: Nur notwendige Daten erfassen
Der Datenschutz besagt, dass personenbezogene Daten nur im notwendigen Maße verarbeitet werden dürfen (Grundsatz der Datenminimierung) und einer Zweckbindung unterliegen. Das bedeutet, Sie dürfen nur für den Zweck erhoben werden, für den Sie erfasst wurden. Darüber hinaus dürfen Daten nur dann erhoben werden, wenn der Betroffene ausdrücklich sein Einverständnis dafür gegeben hat.
Daher sollten Sie in keinem Fall Daten Ihrer Mitarbeiter erfassen und speichern, die über das für das Arbeitsverhältnis notwendige Maß hinausgehen. Vor allem im Bereich personenbezogene Daten von Mitarbeitern gibt es verschiedenes zu beachten. Dies haben wir in unterschiedlichen Blogthemen zum Nachlesen schon einmal für Sie zusammengefasst:
- Datenschutz in der Praxis – Mitarbeiter-Fotos und ihre Tücken
- Datenschutz aktuell – Mitarbeiterdaten im Datenschutz
Praktischer Datenschutz für Unternehmen in NRW
Datenschutz muss praxisorientiert und umsetzbar sein, aber auch die geltende Rechtsprechung einhalten. Daher sollten Unternehmen, Vereine, Vermieter und jeder, der personenbezogene Daten verarbeitet sich dabei professionell unterstützen lassen.
Ein (externer) Datenschutzbeauftragter kann dabei helfen den Datenschutz ausreichend umzusetzen. Unter bestimmten Vorgaben ist ein (externer) Datenschutzbeauftragter für Unternehmen und jene, die personenbezogene Daten verarbeiten in NRW verpflichtend zu bestellen.
Durch den (externen) DSB können Datenpannen vermieden und korrekte Dokumentationen nach den Vorgaben der DS-GVO erstellt werden.
Datenschutzberater.NRW als Partner für Ihren Datenschutz in Köln, Düsseldorf, Bonn und ganz NRW
Mit unserem Angebot können wir Ihnen helfen teure Datenpannen zu vermeiden und den Datenschutz in Ihrem Unternehmen auf den richtigen Weg zu bringen.
Datenschutzberater.NRW bietet Ihnen unter anderem folgende Leistungen:
- Datenschutz-Erstberatung
- Datenschutz-Audit
- IT-Audit
- GoBD-Beratung
- Websitescan für eine DS-GVO-konforme Homepage
- Projektbezogenen Datenschutz
- Mitarbeiterschulungen
Dieser Artikel dient zur allgemeinen Erstinformation, ersetzt keine fachliche und individuelle Beratung und erhebt keinen Anspruch auf Vollständigkeit. Benötigen Sie Hilfe bei der Umsetzung der DS-GVO in NRW? Senden Sie uns eine unverbindliche Anfrage – wir beraten Sie gerne über unsere Leistungen im Datenschutz.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.