Gemeinsame Datennutzung – Bußgeld wegen fehlender Vereinbarung
Der Hamburgische Datenschutzbeauftragte berichtet über ein 13.000 € – Bußgeldverfahren wegen einer gemeinsamen Stammdatenhaltung. Die zentrale Verwaltung von Kunden- und Mitarbeiterstammdaten und die arbeitsteilige Datenverarbeitung innerhalb von Unternehmensverbünden ist jedoch „Stand der Technik“ und auch aus Datenschutzsicht der zentrale Schlüssel für eine wirksame Umsetzung von Betroffenenrechten. Was war passiert?
Rahmenvertrag zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO
Ein aktueller Fall vom Hamburger Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) verdeutlicht die Aktualität und Notwendigkeit einer entsprechenden unternehmensweiten Regelung und Überwachung.
In einem Bußgeldverfahren gegen ein größeres Unternehmen wurde die fehlende Rechtsgrundlage für die Weitergabe der Daten – hier wäre es eine Vereinbarung nach Art. 26 DSGVO gewesen – beanstandet und mit einem Bußgeld in Höhe von 13.000 Euro geahndet. Es wären auch noch weitere Sanktionen/Vorgaben denkbar gewesen. Auslöser war eine Beschwerde eines Kunden, dessen Daten an verschiedenen Stellen durch verschiedene konzernangehörige Gesellschaften genutzt wurden. Die Hamburger Aufsichtsbehörde prüfte daraufhin die internen Vereinbarungen zum Datenaustausch des Konzerns.
Der Einsatz einer gemeinsamen übergreifenden Datenverwaltung innerhalb eines Unternehmensverbundes ist an eine zentrale datenschutzrechtliche Anforderung geknüpft, die in der Praxis häufig nicht umgesetzt wird. Die DSGVO kennt kein „Konzernprivileg“, nach dem Daten eines Unternehmensverbundes ohne Rechtsgrundlage ausgetauscht werden dürften. Jedes einzelne Unternehmen ist für sich voll umfänglich verantwortlich – jede Weitergabe ist eine Übermittlung.
Für eine zulässige Nutzung von Daten durch andere Unternehmen ist immer eine Rechtsgrundlage, meist eine vertragliche Vereinbarung zwischen allen juristischen Personen erforderlich, die auf einen gemeinsamen Stammdatenbestand zurückgreifen. In der Regel handelt es sich bei solchen Anwendungen um eine Vereinbarung als „gemeinsam Verantwortlicher“ gem. Art. 26 DSGVO, die für die Betroffenen klar und transparent die jeweiligen Zuständigkeiten benennt. Diese Informationen müssen in den Datenschutzhinweisen zur Verfügung gestellt werden.
Zusätzlich braucht es aber auch ein funktionierendes Rollen- und Berechtigungskonzepts nach dem sog. „Need-to-know“-Prinzip. Hier muss technisch sichergestellt sein, dass immer nur die Mitarbeiter in dem Umfang Zugriffsrechte haben, wie es für ihre konkrete Arbeit zwingend erforderlich ist. Zwingend ist zwischen lesendem und änderndem Zugriffsrecht zu differenzieren.
Aufstellen eines Berechtigungskonzeptes
Wer Daten verarbeitet, muss dokumentieren, was er tut. Nachdem also alle Daten erfasst, eine passende Rechtsgrundlage und ein Verantwortlicher gefunden worden sind, folgt daher die Dokumentation.
Als nächsten Schritt gilt es daher, ein Berechtigungskonzept nach dem Need-to-know-Prinzip zu etablieren und zu dokumentieren. Jeder Mitarbeiter darf nur Zugriff auf die nötigen Ressourcen (Software, mobile Endgeräte, etc.) zur Erledigung der ihm vom Arbeitgeber zugewiesenen Aufgaben erhalten. Nicht mehr, aber auch nicht weniger.
Kernpunkte eines solchen Berechtigungskonzepts sind:
- Definition von Rollen (Aufgabenbereichen) und dazu gehörigen Rechten (auf welche Daten muss in welcher Form zugegriffen werden können), mit differenzierten Rechten für Lesen, Verändern oder Löschen von Daten, inklusive Vertretungsregelungen.
- Prozess und Verantwortlichkeit zur Vergabe, Erweiterung, Beschränkung und Entzug von Rechten. Festlegung des Kommunikationswegs.
- Verfahren bei Abteilungswechsel, Neueinstellung oder Ausscheiden eines Mitarbeiters.
Hier treffen rechtliche Bewertungen und technische sowie organisatorische Maßnahmen zusammen. Ein solches Berechtigungskonzept und dessen korrekte Umsetzung kann auch im gerichtlichen Verfahren überprüft werden (vgl. LAG Düsseldorf 12Sa186/19 zum Schadenersatzanspruch wegen fehlerhaftem Rechte- und Rollenkonzept) und sollte auch deshalb besondere Aufmerksamkeit bei der Erstellung und der regelmäßigen Prüfung genießen.
Gern unterstützen wir Sie als Ihre Datenschutzexperten bei der Erstellung und Dokumentation der erforderlichen internen Regelungen.
Quelle:
