Strafe wegen Verarbeitung von Personaldaten
Die griechische Niederlassung der Price Waterhouse Coopers Business Solutions S.A. (PWC) wurde zur Zahlung einer Geldstrafe von € 150.000,- verurteilt.
Vorfall
In der Pressemitteilung führte die griechische Datenschutzbehörde an, dass das Unternehmen von den eigenen Mitarbeitern eine Einwilligung eingeholt hat um Personaldaten zu verarbeiten. Nach Ansicht der Beamten ist jedoch keine explizite Zustimmung erforderlich gewesen, da eine entsprechende Verarbeitung durch andere Rechtsgründe gedeckt ist. Paragraph 6 Artikel 1 der DSGVO nennt eine Vielzahl von Bedingungen, die eine Verarbeitung rechtfertigen. Unter anderem:
- b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen
- c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt
Mit beiden Punkten lässt sich eine Datenverarbeitung rechtfertigen. PWC entschied sich jedoch eine explizite Zustimmung von den Mitarbeitern einzuholen, einen Weg den viele Firmen vor Einführung der DSGVO gewählt haben, um „auf Nummer sicher zu gehen“.
Aufgrund dieser Zustimmung wurde das Unternehmen jedoch mit der Geldstrafe belegt. Nach Argumentation der Datenschutzbehörde hat PWC eine falsche Rechtsgrundlage für die Verarbeitung definiert, daher war die Verarbeitung insgesamt unzulässig und somit die unzulässige Datenverarbeitung zu sanktionieren.
Fazit
Um den 25. Mai 2018 haben Sie mit Sicherheit eine Vielzahl von Aushängen, Informationsblättern etc. gesehen, die auf die Datenverarbeitung nach DSGVO hingewiesen haben. Vermutlich mussten Sie zudem bei diversen Firmen eine Einwilligung unterschreiben, damit Ihr Arzt, Ihr Elektriker usw. weiterhin Aufträge von Ihnen annehmen konnte. Wir haben bereits damals darauf hingewiesen, dass diese Einwilligungen nicht notwendig sind, viele vermeintliche Experten empfahlen jedoch entsprechende Maßnahmen, um auf der sicheren Seite zu sein. Dieses Urteil der griechischen Datenschutzbehörde zeigt jedoch, dass die Umsetzung der DSGVO nicht ohne echtem Expertenwissen möglich ist.
Die Grundlage, um Ihr Unternehmen DSGVO-fit zu machen, ist das verpflichtende Verarbeitungsverzeichnis. Dort erfassen Sie alle Prozesse die personenbezogene Daten verarbeiten. Dort müssen Sie für jeden einzelnen Schritt angeben, welche Rechtsgrundlage die Verarbeitung hat. Ohne leistungsstarker Software benötigen Sie viel Zeit und einen Datenschutz-Experten, um den gesetzlichen Anforderungen zu entsprechen. Der einfachere Weg ist easyGDPR. Mit diesem Online-Werkzeug erstellen Sie Ihr Verarbeitungsverzeichnis binnen weniger Stunden. Ab Version Standard können Sie sogar Datenverarbeiter-Verträge erstellen, welche Sie benötigen wenn personenbezogene Daten an andere Firmen weitergegeben werden (z.B. Paketdienste, Newsletter-Versand etc.). Sicheren Sie sich noch heute Ihre Lizenz von easyGDPR.
Entscheidungsdatum:
30.07.2019
Land:
Griechenland
Art des Verstoßes:
Illegale Datenverarbeitung
Betroffene Datensätze:
unbekannt
Waren sensible Daten betroffen?:
Nein
verhängte Geldstrafe:
€ 150,000,-