Griechische Aufsichtsbehörde verhängt Bußgeld wegen falscher Rechtsgrundlage

Freitag, 6. September 2019

Die griechische Aufsichtsbehörde hat am 30. Juli 2019 ein Bußgeld gegen das Beratungsunternehmen PricewaterhouseCoopers (PWC) in Höhe von 150.000€ verhängt. Grund für das Bußgeld ist die Verwendung einer falschen Rechtsgrundlage für die Verarbeitung von Beschäftigtendaten sowie die Nennung der falschen Rechtsgrundlage in den eigenen Informationsmaterialien. Laut Aufsichtsbehörde legitimierte PWC die Verarbeitung dieser Daten auf Grundlage einer Einwilligung, obwohl es für diesen Vorgang eine spezifische Rechtsgrundlage gebe. Die Information im Informationsmaterial sei demnach falsch. Neben der Zahlung des Bußgeldes wird PWC dazu aufgefordert, die Personalverarbeitungen insgesamt DSGVO-konform auszurichten.

Aufsichtsbehörde rügt die Erfüllung der Rechenschaftspflicht

Die griechische Aufsichtsbehörde sah entsprechend u.a. Verstöße gegen das Transparenzgebot, das Gebot der fairen Verarbeitung von personenbezogenen Daten sowie gegen die Verpflichtung, korrekt über die Datenverarbeitungen zu informieren. Damit sei PWC weiterhin auch nicht seiner Rechenschaftspflicht nachgekommen.

Insbesondere sei es unzulässig, die Beschäftigtendaten aufgrund einer Einwilligung zu verarbeiten. Eine Einwilligung soll in der Systematik der DSGVO immer als letztes Mittel dienen, wenn keine andere Rechtsgrundlage anwendbar ist. Pauschal Verarbeitungen mit Einwilligungen zu legitimieren, sei nicht im Sinne der DSGVO. Es müssen dann andere, speziellere Rechtsgrundlagen gewählt und verkündet werden, so die Behörde. Weiterhin sei es generell im Beschäftigungsverhältnis schwierig, freiwillige Einwilligungen der betroffenen Personen einzuholen. Diese Einschätzung entspricht den gesetzlichen Anforderungen der DSGVO zur Einwilligung; auch in Deutschland.

Beispielfall mit allgemeiner Wirkung

Der aktuelle Fall zeigt, dass die Wahl der richtigen Rechtsgrundlage ein wichtiger Punkt bei der Planung und Durchführung einer Verarbeitung von personenbezogenen Daten ist. Wird die Rechtsgrundlage wie im beschriebenen Fall falsch gewählt und kommuniziert, so wirkt dies letztendlich so, als hätte das verantwortliche Unternehmen gar keine Rechtsgrundlage für die Datenverarbeitung, auch wenn es theoretisch eine passende Rechtsgrundlage gäbe. Es ist auch nicht der Fall, dass bei der falschen Wahl der Rechtsgrundlage automatisch eine neue und richtige Rechtsgrundlage einspringt. Wählt der Verantwortliche die falsche Rechtsgrundlage, ist dieser dafür verantwortlich und muss sich mit den eventuellen Konsequenzen auseinandersetzen.

Um Bußgelder und Verfahren wie diese zu vermeiden, ist es daher entscheidend, dass die Rechtsgrundlagen passend zum Zweck und auch passend zu den Umständen der Verarbeitungen ausgewählt werden. Diese müssen dann auch in der Datenschutzerklärung transparent und eindeutig mitgeteilt werden.

Haben Sie Fragen zur rechtlichen Begründung von Verarbeitungen? Sind Sie unsicher, wie Sie ihre Datenschutzerklärung DSGVO-konform gestalten können? Kontaktieren Sie uns gern!

Quellen:

datenschutz-notizen.de vom 05.09.2019: Hellenic DPA Fines PWC for Unlawful Processing of Employee Data

Entscheidung der griechischen Aufsichtsbehörde (Zusammenfassung): SUMMARY OF HELLENIC DPA’S DECISION NO 26/2019