{"id":2274,"date":"2019-09-19T11:18:11","date_gmt":"2019-09-19T09:18:11","guid":{"rendered":"https:\/\/www.ecovis.com\/datenschutzberater\/?p=696"},"modified":"2021-08-29T21:11:54","modified_gmt":"2021-08-29T19:11:54","slug":"verstoss-gegen-arbeitnehmerdatenschutz-e-150-000-geldbusse-gegen-pwc-business-solutions","status":"publish","type":"post","link":"https:\/\/www.ecovis.com\/datenschutzberater\/verstoss-gegen-arbeitnehmerdatenschutz-e-150-000-geldbusse-gegen-pwc-business-solutions\/","title":{"rendered":"Versto\u00df gegen Arbeitnehmerdatenschutz \u2013 \u20ac 150.000,- Geldbu\u00dfe gegen PwC Business Solutions"},"content":{"rendered":"<p>Die griechische Datenschutz-Aufsichtsbeh\u00f6rde hat bereits im Juli 2019 ein Bu\u00dfgeld in H\u00f6he von \u20ac 150.000,00 gegen die PwC Business Solutions SA verh\u00e4ngt.<\/p>\n<p>Die Entscheidung wird im wesentlichen damit begr\u00fcndet, dass PwC der Verarbeitung der Daten seiner Mitarbeiter eine falsche Rechtsgrundlage \u2013 n\u00e4mlich die Einwilligung \u2013 zugrunde gelegt hat. Dies f\u00fchre auch zu einem Versto\u00df gegen das Gebot einer fairen und transparenten Verarbeitung. Zudem war PwC offenbar nicht in der Lage, die Einhaltung der Grunds\u00e4tze f\u00fcr die Verarbeitung von Daten nachweisen zu k\u00f6nnen, was einen Versto\u00df gegen die in der DSGVO angeordnete Rechenschaftspflicht des Verantwortlichen darstellt.<\/p>\n<p>Die Entscheidung ber\u00fchrt eine ganze Reihe von Fragen im Zusammenhang mit der Wirksamkeit einer Einwilligung, der Freiwilligkeit einer solchen Einwilligung bei Arbeitnehmern, der Zul\u00e4ssigkeit des Wechsels zwischen verschiedenen Rechtsgrundlagen f\u00fcr die Verarbeitung der Daten und schlie\u00dflich auch der notwendigen Dokumentation im Unternehmen.<\/p>\n<h3>1. Rechtsgrundlagen f\u00fcr die Datenverarbeitung<\/h3>\n<p>Im Datenschutz gilt das so genannte Verbot mit Erlaubnisvorbehalt. Die Verarbeitung personenbezogener Daten ist grunds\u00e4tzlich verboten, es sei denn, sie kann auf eine Rechtsgrundlage (Erlaubnisnorm) gest\u00fctzt werden.<\/p>\n<h5>Die DSGVO enth\u00e4lt in Art. 6 sechs solcher Erlaubnisnormen, und zwar f\u00fcr die Verarbeitung<\/h5>\n<ul>\n<li>aufgrund einer <strong>Einwilligung<\/strong> des Betroffenen<\/li>\n<li>zum Zwecke der <strong>Vertragserf\u00fcllung oder -anbahnung<\/strong> zwischen Betroffenem und Verantwortlichem<\/li>\n<li>zur Erf\u00fcllung einer <strong>rechtlichen Verpflichtung<\/strong> des Verantwortlichen<\/li>\n<li>zum Schutz lebenswichtiger Interessen einer nat\u00fcrlichen Person<\/li>\n<li>zur Wahrnehmung einer hoheitlichen Aufgabe<\/li>\n<li>zur Wahrung der <strong>berechtigten Interessen<\/strong> des Verantwortlichen oder eines Dritten,<\/li>\n<\/ul>\n<p>wobei letztere eine dokumentierte Abw\u00e4gungsentscheidung zwischen dem Interesse des Verantwortlichen und dem des Betroffenen voraussetzt.<\/p>\n<h3>2. Grunds\u00e4tze f\u00fcr die Datenverarbeitung<\/h3>\n<p>Die Verarbeitung von Daten muss nach der DSGVO insbesondere den Grunds\u00e4tzen der \u201eRechtm\u00e4\u00dfigkeit, von Treu und Glauben und der Transparenz\u201c gen\u00fcgen. Zudem muss der Verantwortliche die Einhaltung aller Grunds\u00e4tze f\u00fcr die Datenverarbeitung nachweisen k\u00f6nnen, ihn trifft eine Rechenschaftspflicht und damit die Beweislast f\u00fcr die ordnungsgem\u00e4\u00dfe Verarbeitung.<\/p>\n<h3>3. Zul\u00e4ssigkeit des Wechsels zwischen Rechtsgrundlagen<\/h3>\n<p>Auf den ersten Blick scheint die Einwilligung des Betroffenen der \u201eK\u00f6nigsweg\u201c zu sein, um eine Rechtsgrundlage f\u00fcr die Datenverarbeitung zu schaffen. Auf den zweiten Blick allerdings ist dieser Weg h\u00e4ufig steinig, h\u00fcgelig und mit reichlich Dornen gespickt, wie auch das Bu\u00dfgeld gegen PwC zeigt:<\/p>\n<p>Problematisch, wenn auch im konkreten Fall nicht relevant, ist zun\u00e4chst, dass die Einwilligung jederzeit widerrufen werden kann. Die Rechtsgrundlage f\u00fcr die Datenverarbeitung entf\u00e4llt dann \u2013 allerdings nicht etwa r\u00fcckwirkend, sondern nur mit Wirkung f\u00fcr k\u00fcnftige Verarbeitungen. Will der Verantwortliche die Daten trotz Widerrufs der Einwilligung verarbeiten, so f\u00e4llt sein Blick h\u00e4ufig auf die anderen Rechtsgrundlagen. Ein Arbeitgeber, der Meldungen zu Sozialversicherung abgeben oder L\u00f6hne rechnen lassen muss, wird sowohl bei der Vertragserf\u00fcllung als auch bei der Erf\u00fcllung von ihn treffenden rechtlichen Verpflichtungen auch schnell f\u00fcndig. Er ist erfreut und wechselt einfach die Rechtsgrundlage f\u00fcr die Datenverarbeitung aus.<\/p>\n<h5>Ob ein solcher Wechsel zul\u00e4ssig ist, ist allerdings durchaus umstritten. Die griechische Aufsichtsbeh\u00f6rde geht offenbar davon aus, dass niemals zwei Rechtsgrundlagen nebeneinander einschl\u00e4gig sein k\u00f6nnen, so dass ein \u201eWechsel\u201c denklogisch nie in Frage kommt. Dann jedenfalls, wenn eine Einwilligung eingeholt wurde, ohne dass der Betroffene auf das Vorhandensein anderer, einschl\u00e4giger Rechtsgrundlagen hingewiesen wurde, liegt ein Versto\u00df gegen die Grunds\u00e4tze der fairen und transparenten Verarbeitung auf der Hand. Folgerichtig stellt die griechische Datenschutzaufsichtsbeh\u00f6rde in den ersten beiden tragenden Gr\u00fcnden ihrer Entscheidung darauf ab, dass PwC<\/h5>\n<ul>\n<li>f\u00fcr die Verarbeitung der Daten seiner Mitarbeiter eine unangemessene Rechtsgrundlage verwendet hat \u2013 n\u00e4mlich auf der Grundlage einer Einwilligung anstelle der sich aufdr\u00e4ngenden Rechtsgrundlagen Vertragserf\u00fcllung und Erf\u00fcllung rechtlicher Verpflichtungen und<\/li>\n<li>die Daten seiner Mitarbeiter unter Versto\u00df gegen die Grunds\u00e4tze einer fairen und transparenten Verarbeitung verwendet hat, indem der Eindruck erweckt wurde, dass\n<ul>\n<li>die Daten aufgrund einer Einwilligung verarbeitet w\u00fcrden,<\/li>\n<li>obwohl die Datenverarbeitung in Wirklichkeit auf einer anderen Rechtsgrundlage verarbeitet wurden und<\/li>\n<li>die Arbeitnehmer dar\u00fcber nicht informiert wurden.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<h3>4. Rechenschaftspflicht<\/h3>\n<p>Nur ganz knapp begr\u00fcndet die Beh\u00f6rde ihre Entscheidung auch damit, dass PwC \u00fcber die Einhaltung der Grunds\u00e4tze f\u00fcr die Datenverarbeitung keine Nachweise vorgelegt habe und daher gegen die sie treffende Rechenschaftspflicht versto\u00dfen habe. Nach Art. 5 Abs. 2 DSGVO trifft den Verantwortlichen eine umfassende Rechenschaftspflicht, er muss die Einhaltung s\u00e4mtlicher Grunds\u00e4tze f\u00fcr die Datenverarbeitung (\u201e\u2026 des Absatzes 1\u201c) nachweisen k\u00f6nnen.<\/p>\n<p>Dies wird regelm\u00e4\u00dfig nur mittels eines so genannten Datenschutz-Managementsystems m\u00f6glich sein, wobei sich dessen Umfang und Inhalt in aller Regel an der Unternehmensgr\u00f6\u00dfe orientieren wird. Ohne ein solches System wird der Verantwortliche die ihn treffende Beweislast allerdings regelm\u00e4\u00dfig nicht erf\u00fcllen k\u00f6nnen.<\/p>\n<h3>5. Anordnungen der Aufsichtsbeh\u00f6rde<\/h3>\n<p>Die Aufsichtsbeh\u00f6rde hat gegen PwC ein Bu\u00dfgeld in H\u00f6he von \u20ac 150.000,00 verh\u00e4ngt. Das Bu\u00dfgeld ist an Umsatz des Unternehmens (07\/2017 bis 06\/2018: ca. \u20ac 42 Mio.) und Schwere des Versto\u00dfes orientiert. Es bel\u00e4uft sich demnach auf 0,36% des Umsatzes, der Bu\u00dfgeldrahmen reicht bekanntlich bis 4% des Umsatzes. Es d\u00fcrfte f\u00fcr die meisten Unternehmer eine durchaus sp\u00fcrbare Gr\u00f6\u00dfenordnung haben.<\/p>\n<p>Daneben aber \u2013 und das wirkt m\u00f6glicherweise deutlich schwerer \u2013 hat die Aufsichtsbeh\u00f6rde PwC aufgegeben, binnen drei Monaten (!)<\/p>\n<ul>\n<li>die Verarbeitung der personenbezogenen Daten ihrer Mitarbeiter in \u00dcbereinstimmung mit den Bestimmungen der DSGVO zu bringen und<\/li>\n<li>die ordnungsgem\u00e4\u00dfe Anwendung der ersten beiden Grunds\u00e4tze des Art. 5 Abs. 1 DSGVO herzustellen sowie<\/li>\n<li>im Anschluss die ordnungsgem\u00e4\u00dfe Anwendung der weiteren vier Grunds\u00e4tze des Art. 5 Abs. 1 DSGVO herzustellen und der Beh\u00f6rde nachzuweisen.<\/li>\n<\/ul>\n<h3>6. Schlussfolgerungen<\/h3>\n<ul>\n<li>\u201eSicherheitshalber\u201c f\u00fcr jede denkbare Verarbeitung Einwilligungen einzuholen, ist nicht der richtige Weg und f\u00fchrt \u2013 wie bei PwC \u2013 regelm\u00e4\u00dfig zu einem Datenschutzversto\u00df.<\/li>\n<li>Einwilligungen von Arbeitnehmern m\u00fcssen besonders kritisch gepr\u00fcft werden, weil es aufgrund des Abh\u00e4ngigkeitsverh\u00e4ltnisses zum Arbeitgeber Zweifel an der Freiwilligkeit der Einwilligung geben kann. Gerade im Bereich der Verarbeitung von Mitarbeiterdaten gibt es eine ganze Reihe gesetzlicher Grundlagen. Daneben k\u00f6nnen aber auch vertraglich Grundlagen f\u00fcr die Datenverarbeitung geschaffen werden, die dann gerade keine Einwilligung sind.<\/li>\n<li>Gibt es neben der Einwilligung eine andere Rechtsgrundlage f\u00fcr die Verarbeitung, dann sollte diese auch angewendet werden.<\/li>\n<li>Der Wechsel von einer Rechtsgrundlage zu einer anderen, beispielsweise von der Einwilligung \/ dem berechtigten Interesse zur Vertragserf\u00fcllung \/ der Erf\u00fcllung einer rechtlichen Verpflichtung ist allenfalls dann zul\u00e4ssig, wenn der Betroffene von Beginn an fair und transparent dar\u00fcber informiert wurde, dass es andere einschl\u00e4gige Rechtsgrundlagen gibt und der Verantwortliche einen solchen Wechsel gegebenenfalls auch vornehmen wird. Ohne einen solchen Hinweis ist die Datenverarbeitung von Beginn an nicht rechtskonform. Anders gewendet:<br \/>\nErweckt der Verantwortliche durch die Einholung einer Einwilligung beim Betroffenen den Eindruck, es k\u00e4me f\u00fcr die Zul\u00e4ssigkeit der Datenverarbeitung auf eben diese Einwilligung an, dann ist er wegen der Grunds\u00e4tze der fairen und transparenten Verarbeitung daran gebunden und kann sich sp\u00e4ter nicht darauf berufen, dass neben der Einwilligung auch andere Rechtsgrundlagen einschl\u00e4gig sind.<\/li>\n<li>Ohne eine ausreichende Dokumentation und \u2013 h\u00e4ufig \u2013 ein Datenschutz-Managementsystem ist die Einhaltung der Rechenschaftspflicht nicht m\u00f6glich.<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"<p>Die griechische Datenschutz-Aufsichtsbeh\u00f6rde hat bereits im Juli 2019 ein Bu\u00dfgeld in H\u00f6he von \u20ac 150.000,00 gegen die PwC Business Solutions SA verh\u00e4ngt. Die Entscheidung wird im wesentlichen damit begr\u00fcndet, dass PwC der Verarbeitung der Daten seiner Mitarbeiter eine falsche Rechtsgrundlage \u2013 n\u00e4mlich die Einwilligung \u2013 zugrunde gelegt hat. Dies f\u00fchre auch zu einem Versto\u00df gegen [&hellip;]<\/p>\n","protected":false},"author":9,"featured_media":2184,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[29],"tags":[],"class_list":["post-2274","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutzberatung"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/2274","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/users\/9"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/comments?post=2274"}],"version-history":[{"count":1,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/2274\/revisions"}],"predecessor-version":[{"id":2303,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/posts\/2274\/revisions\/2303"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media\/2184"}],"wp:attachment":[{"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/media?parent=2274"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/categories?post=2274"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ecovis.com\/datenschutzberater\/wp-json\/wp\/v2\/tags?post=2274"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}