Verstoß gegen Arbeitnehmerdatenschutz – € 150.000,- Geldbuße gegen PwC Business Solutions
Die griechische Datenschutz-Aufsichtsbehörde hat bereits im Juli 2019 ein Bußgeld in Höhe von € 150.000,00 gegen die PwC Business Solutions SA verhängt.
Die Entscheidung wird im wesentlichen damit begründet, dass PwC der Verarbeitung der Daten seiner Mitarbeiter eine falsche Rechtsgrundlage – nämlich die Einwilligung – zugrunde gelegt hat. Dies führe auch zu einem Verstoß gegen das Gebot einer fairen und transparenten Verarbeitung. Zudem war PwC offenbar nicht in der Lage, die Einhaltung der Grundsätze für die Verarbeitung von Daten nachweisen zu können, was einen Verstoß gegen die in der DSGVO angeordnete Rechenschaftspflicht des Verantwortlichen darstellt.
Die Entscheidung berührt eine ganze Reihe von Fragen im Zusammenhang mit der Wirksamkeit einer Einwilligung, der Freiwilligkeit einer solchen Einwilligung bei Arbeitnehmern, der Zulässigkeit des Wechsels zwischen verschiedenen Rechtsgrundlagen für die Verarbeitung der Daten und schließlich auch der notwendigen Dokumentation im Unternehmen.
1. Rechtsgrundlagen für die Datenverarbeitung
Im Datenschutz gilt das so genannte Verbot mit Erlaubnisvorbehalt. Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, es sei denn, sie kann auf eine Rechtsgrundlage (Erlaubnisnorm) gestützt werden.
Die DSGVO enthält in Art. 6 sechs solcher Erlaubnisnormen, und zwar für die Verarbeitung
- aufgrund einer Einwilligung des Betroffenen
- zum Zwecke der Vertragserfüllung oder -anbahnung zwischen Betroffenem und Verantwortlichem
- zur Erfüllung einer rechtlichen Verpflichtung des Verantwortlichen
- zum Schutz lebenswichtiger Interessen einer natürlichen Person
- zur Wahrnehmung einer hoheitlichen Aufgabe
- zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten,
wobei letztere eine dokumentierte Abwägungsentscheidung zwischen dem Interesse des Verantwortlichen und dem des Betroffenen voraussetzt.
2. Grundsätze für die Datenverarbeitung
Die Verarbeitung von Daten muss nach der DSGVO insbesondere den Grundsätzen der „Rechtmäßigkeit, von Treu und Glauben und der Transparenz“ genügen. Zudem muss der Verantwortliche die Einhaltung aller Grundsätze für die Datenverarbeitung nachweisen können, ihn trifft eine Rechenschaftspflicht und damit die Beweislast für die ordnungsgemäße Verarbeitung.
3. Zulässigkeit des Wechsels zwischen Rechtsgrundlagen
Auf den ersten Blick scheint die Einwilligung des Betroffenen der „Königsweg“ zu sein, um eine Rechtsgrundlage für die Datenverarbeitung zu schaffen. Auf den zweiten Blick allerdings ist dieser Weg häufig steinig, hügelig und mit reichlich Dornen gespickt, wie auch das Bußgeld gegen PwC zeigt:
Problematisch, wenn auch im konkreten Fall nicht relevant, ist zunächst, dass die Einwilligung jederzeit widerrufen werden kann. Die Rechtsgrundlage für die Datenverarbeitung entfällt dann – allerdings nicht etwa rückwirkend, sondern nur mit Wirkung für künftige Verarbeitungen. Will der Verantwortliche die Daten trotz Widerrufs der Einwilligung verarbeiten, so fällt sein Blick häufig auf die anderen Rechtsgrundlagen. Ein Arbeitgeber, der Meldungen zu Sozialversicherung abgeben oder Löhne rechnen lassen muss, wird sowohl bei der Vertragserfüllung als auch bei der Erfüllung von ihn treffenden rechtlichen Verpflichtungen auch schnell fündig. Er ist erfreut und wechselt einfach die Rechtsgrundlage für die Datenverarbeitung aus.
Ob ein solcher Wechsel zulässig ist, ist allerdings durchaus umstritten. Die griechische Aufsichtsbehörde geht offenbar davon aus, dass niemals zwei Rechtsgrundlagen nebeneinander einschlägig sein können, so dass ein „Wechsel“ denklogisch nie in Frage kommt. Dann jedenfalls, wenn eine Einwilligung eingeholt wurde, ohne dass der Betroffene auf das Vorhandensein anderer, einschlägiger Rechtsgrundlagen hingewiesen wurde, liegt ein Verstoß gegen die Grundsätze der fairen und transparenten Verarbeitung auf der Hand. Folgerichtig stellt die griechische Datenschutzaufsichtsbehörde in den ersten beiden tragenden Gründen ihrer Entscheidung darauf ab, dass PwC
- für die Verarbeitung der Daten seiner Mitarbeiter eine unangemessene Rechtsgrundlage verwendet hat – nämlich auf der Grundlage einer Einwilligung anstelle der sich aufdrängenden Rechtsgrundlagen Vertragserfüllung und Erfüllung rechtlicher Verpflichtungen und
- die Daten seiner Mitarbeiter unter Verstoß gegen die Grundsätze einer fairen und transparenten Verarbeitung verwendet hat, indem der Eindruck erweckt wurde, dass
- die Daten aufgrund einer Einwilligung verarbeitet würden,
- obwohl die Datenverarbeitung in Wirklichkeit auf einer anderen Rechtsgrundlage verarbeitet wurden und
- die Arbeitnehmer darüber nicht informiert wurden.
4. Rechenschaftspflicht
Nur ganz knapp begründet die Behörde ihre Entscheidung auch damit, dass PwC über die Einhaltung der Grundsätze für die Datenverarbeitung keine Nachweise vorgelegt habe und daher gegen die sie treffende Rechenschaftspflicht verstoßen habe. Nach Art. 5 Abs. 2 DSGVO trifft den Verantwortlichen eine umfassende Rechenschaftspflicht, er muss die Einhaltung sämtlicher Grundsätze für die Datenverarbeitung („… des Absatzes 1“) nachweisen können.
Dies wird regelmäßig nur mittels eines so genannten Datenschutz-Managementsystems möglich sein, wobei sich dessen Umfang und Inhalt in aller Regel an der Unternehmensgröße orientieren wird. Ohne ein solches System wird der Verantwortliche die ihn treffende Beweislast allerdings regelmäßig nicht erfüllen können.
5. Anordnungen der Aufsichtsbehörde
Die Aufsichtsbehörde hat gegen PwC ein Bußgeld in Höhe von € 150.000,00 verhängt. Das Bußgeld ist an Umsatz des Unternehmens (07/2017 bis 06/2018: ca. € 42 Mio.) und Schwere des Verstoßes orientiert. Es beläuft sich demnach auf 0,36% des Umsatzes, der Bußgeldrahmen reicht bekanntlich bis 4% des Umsatzes. Es dürfte für die meisten Unternehmer eine durchaus spürbare Größenordnung haben.
Daneben aber – und das wirkt möglicherweise deutlich schwerer – hat die Aufsichtsbehörde PwC aufgegeben, binnen drei Monaten (!)
- die Verarbeitung der personenbezogenen Daten ihrer Mitarbeiter in Übereinstimmung mit den Bestimmungen der DSGVO zu bringen und
- die ordnungsgemäße Anwendung der ersten beiden Grundsätze des Art. 5 Abs. 1 DSGVO herzustellen sowie
- im Anschluss die ordnungsgemäße Anwendung der weiteren vier Grundsätze des Art. 5 Abs. 1 DSGVO herzustellen und der Behörde nachzuweisen.
6. Schlussfolgerungen
- „Sicherheitshalber“ für jede denkbare Verarbeitung Einwilligungen einzuholen, ist nicht der richtige Weg und führt – wie bei PwC – regelmäßig zu einem Datenschutzverstoß.
- Einwilligungen von Arbeitnehmern müssen besonders kritisch geprüft werden, weil es aufgrund des Abhängigkeitsverhältnisses zum Arbeitgeber Zweifel an der Freiwilligkeit der Einwilligung geben kann. Gerade im Bereich der Verarbeitung von Mitarbeiterdaten gibt es eine ganze Reihe gesetzlicher Grundlagen. Daneben können aber auch vertraglich Grundlagen für die Datenverarbeitung geschaffen werden, die dann gerade keine Einwilligung sind.
- Gibt es neben der Einwilligung eine andere Rechtsgrundlage für die Verarbeitung, dann sollte diese auch angewendet werden.
- Der Wechsel von einer Rechtsgrundlage zu einer anderen, beispielsweise von der Einwilligung / dem berechtigten Interesse zur Vertragserfüllung / der Erfüllung einer rechtlichen Verpflichtung ist allenfalls dann zulässig, wenn der Betroffene von Beginn an fair und transparent darüber informiert wurde, dass es andere einschlägige Rechtsgrundlagen gibt und der Verantwortliche einen solchen Wechsel gegebenenfalls auch vornehmen wird. Ohne einen solchen Hinweis ist die Datenverarbeitung von Beginn an nicht rechtskonform. Anders gewendet:
Erweckt der Verantwortliche durch die Einholung einer Einwilligung beim Betroffenen den Eindruck, es käme für die Zulässigkeit der Datenverarbeitung auf eben diese Einwilligung an, dann ist er wegen der Grundsätze der fairen und transparenten Verarbeitung daran gebunden und kann sich später nicht darauf berufen, dass neben der Einwilligung auch andere Rechtsgrundlagen einschlägig sind. - Ohne eine ausreichende Dokumentation und – häufig – ein Datenschutz-Managementsystem ist die Einhaltung der Rechenschaftspflicht nicht möglich.