Griechische Aufsichtsbehörde verhängt 150'000 Euro Busse gegen PwC Griechenland für DSGVO-Verstoss bei Verarbeitung von Mitarbeiterdaten

 
Die griechische Datenschutzbehörde verhängte eine Busse von 150’000 Euro gegen PricewaterhouseCoopers Business Solutions SA (PwC BS) und ordnete Massnahmen an, um die Konformität mit der EU-Datenschutzgrundverordnung (DSGVO) herzustellen. Gemäss der Behörde stützte sich PwC BS für die Verarbeitung von Mitarbeiterdaten auf eine falsche Rechtsgrundlage. Der angegebene Erlaubnistatbestand der Einwilligung wäre nach Ansicht der Behörde nur einschlägig, wenn – anders als im vorliegenden Fall – keine andere Rechtsgrundlage in Frage komme. In dieser Angabe einer „unzutreffenden“ Rechtsgrundlage sah die Behörde einen Verstoss gegen die Datenverarbeitungsgrundsätze sowie die Informationspflicht der DSGVO. Zudem habe PwC BS seine Rechenschaftspflicht verletzt (Accountability-Grundsatz), weil keine interne Dokumentation über die Wahl der Rechtsgrundlage eingereicht und damit kein Nachweis der Rechtmässigkeit der Datenverarbeitung erbracht werden konnte.
 

Umsetzung der DSGVO in Griechenland

Die DSGVO gilt seit dem 25. Mai 2018. Die Umsetzung erfolgt durch die Mitgliedsstaaten. Im Ende Februar veröffentlichten Bericht des Europäischen Datenschutz­ausschusses (EDSA) zog dieser eine grundsätzlich positive Zwischenbilanz. Jedoch hatten acht Monate nach dem Inkrafttreten der DSGVO 5 von 28 Mitgliedsstaaten ihre nationalen Gesetze noch nicht vollständig angepasst, wozu auch Griechenland gehörte (vgl. dazu MLL-News vom 24.04.2019).

Nun hat die griechische Datenschutzbehörde in ihrem Entscheid vom 30. Juli 2019 aufgezeigt, dass die korrekte Umsetzung der DSGVO von grosser Wichtigkeit ist und die DSGVO auch durchgesetzt wird. Als Reaktion auf eine Beschwerde leitete die griechische Datenschutzbehörde eine Untersuchung gegen PwC BS ein. Gegenstand der Untersuchung war die Überprüfung, ob PwC BS die personen­bezogenen Daten ihrer Mitarbeiter rechtmässig verarbeitet. Gemäss der Beschwerde waren die Mitarbeiter verpflichtet, der beanstandeten Datenverarbeitung zuzustimmen.

 
Unangemessene Rechtsgrundlage

Die DSGVO schreibt vor, dass personenbezogene Daten rechtmässig, nach Treu und Glauben und in einer für die betroffene Person in nachvollziehbaren Weise verarbeitet werden müssen (Art. 5 Abs. 1 lit. a DSGVO). Dies bedeutet insbesondere, dass jede Verarbeitung von personenbezogenen Daten auf einen Erlaubnistatbestand abgestützt werden muss (vgl. Art. 6 DSGVO). Fehlt ein Erlaubnistatbestand, ist die Datenverarbeitung unrechtmässig.

Im vorliegenden Fall kommunizierte PwC BS gegenüber ihren Mitarbeitern, die Daten­verarbeitung erfolge auf Basis ihrer Einwilligung. Die griechische Datenschutzbehörde hielt fest, dass dies vorliegend jedoch der falsche Erlaubnistatbestand sei. Laut der Behörde folgt aus dem Fairnessgrundsatz (Art. 5 Abs. 1 lit. a DSGVO), dass nur auf die Einwilligung abgestellt werden kann, wenn kein anderer Erlaubnistatbestand gegeben sei. Es sei denn auch nicht zulässig, den Entscheid über den Erlaubnistatbestand nachträglich abzuändern und die Verarbeitung auf einen anderen Erlaubnistatbestand abzustützen. Sofern eine betroffene Person keine Einwilligung erteilt oder von ihrem Recht auf jederzeitigen Widerruf der Einwilligung Gebrauch mache, führe dies somit zu einem absoluten Verbot der Verarbeitung.

Darüber hinaus geht die griechische Aufsichtsbörde auch davon aus, dass die Voraussetzungen für eine gültige Einwilligung ohnehin nicht gegeben waren. Da die Einwilligung im Rahmen des Arbeitsverhältnisses abgegeben werde, könne diese aufgrund des offensichtlichen Ungleichgewichts der Parteien nicht als freiwillig angesehen werden. Unzutreffend war der Erlaubnistatbestand aber jedenfalls, weil die Datenverarbeitung zur Vornahme von Handlungen bestimmt gewesen sei, die in direktem Zusammenhang mit Folgendem standen:

  • der Erfüllung von Arbeitsverträgen (Erlaubnistatbestand „Vertrag“),
  • der Einhaltung einer rechtlichen Verpflichtung (Erlaubnistatbestand „Gesetz“) und
  • dem reibungslosen und effektiven Betrieb des Unternehmens (Erlaubnistatbestand „berechtigtes Interesse“).
     

Mangelnde Transparenz und verletzte Informationspflicht

Die Datenverarbeitung durch PwC BS erfolgte somit nicht, wie gegenüber den Mitarbeitern kommuniziert, auf Basis von deren Einwilligung, sondern auf einer anderen Rechtsgrundlage. Über diese Erlaubnistatbestände wurden die Mitarbeiter allerdings nie informiert. Die griechische Datenschutzbehörde ging deshalb von einer unfairen und intransparenten Datenverarbeitung und damit einem Verstoss gegen Art. 5 Abs. 1 DSGVO aus. Zugleich verlangt die DSGVO auch explizit eine Information der Betroffenen über die Rechtsgrundlage einer Datenverarbeitung (Art. 13 Abs. 1 lit. c DSGVO). Da PWC BS jedoch eine falsche Rechtsgrundlage angegeben habe, sei diese Informationspflicht nicht erfüllt worden.
 

Verletzung der Rechenschaftspflicht

Die DSGVO auferlegt den Verantwortlichen ferner eine Rechenschaftspflicht. Wer personenbezogene Daten verarbeitet, muss deshalb nachweisen können, dass die Datenverarbeitungsgrundsätze der DSGVO eingehalten sind. Zu diesem Grundsätzen zählt der bereits erwähnte Grundsatz der Rechtmässigkeit der Datenverarbeitung sowie der Fairnessgrundsatz. Damit soll die Compliance aktiv durch den für die Datenverarbeitung Verantwortlichen sichergestellt werden und er in die Lage versetzt werden, Fragestellungen der jeweiligen Aufsichtsbehörden beantworten zu können.

Im vorliegenden Fall hat die griechische Behörde von ihren Ermittlungsbefugnissen Gebrauch gemacht und PwC BS aufgefordert, die interne Dokumentation über die Wahl der Rechtsgrundlage einzureichen. Hierzu war PwC BS als Verantwortlicher aber offenbar nicht in der Lage war. Laut der Behörde gelang es PwC BS daher einerseits nicht, die Einhaltung der Rechtmässigkeit und der Nachvollziehbarkeit der Datenverarbeitung für die Betroffenen nachzuweisen. Andererseits habe  PwC BS seine Compliance-Pflichten auf die Mitarbeiter übertragen. Diese wurden nämlich zur Bestätigung aufgefordert, dass die Verarbeitung ihrer Daten in direktem Zusammenhang mit dem Arbeitsverhältnis sowie der Arbeitsorganisation stehe und hierfür relevant und angemessen sei. Dieses Vorgehen verletze den Grundsatz der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO.
 

Geldbusse und Massnahmen für PwC BS auferlegt

Nach Feststellung der Verstösse gegen die DSGVO hat die griechische Datenschutzbehörde beschlossen, von ihren „Abhilfebefugnissen“ Gebrauch zu machen. Sie ordnete deshalb Massnahmen an, welche PwC BS innerhalb von drei Monaten umzusetzen hat. Die Massnahmen beinhalten die Pflicht, die Verarbeitung der personenbezogenen Daten seiner Mitarbeiter in Einklang mit den DSGVO-Vorschriften zu bringen. Das Beratungsunternehmen muss deshalb sicher­stellen, dass die Verarbeitung der Daten basierend auf der korrekten Rechts­grundlage vorgenommen wird und es seine Rechenschaftspflicht in genügender Weise erfüllt. Die Aufsichtsbehörde ist jedoch der Auffassung, dass diese Massnahmen noch nicht ausreichen, um die künftige Einhaltung der verletzten DSGVO-Vorschriften zu gewährleisten. Deshalb verhängte sie zudem ein Bussgeld in der Höhe von 150’000 Euro gegen PwC BS.
 

Bedeutung der Entscheidung

Die vorliegende Entscheidung verdeutlicht die unter den Aufsichtsbehörden verbreitete Ansicht, dass die einmal festgelegte Rechtsgrundlage nachträglich nicht mehr geändert werden kann. Demnach liegt in der Angabe eines Erlaubnistatbestands dessen Voraussetzungen nicht erfüllt sind, stets ein Verstoss gegen die DSGVO, selbst wenn die Voraussetzungen eines anderen Erlaubnistatbestands gegeben waren. Unabhängig davon, ob die Auffassung in dieser Absolutheit zutreffend ist, muss die zentrale Frage nach der einschlägigen Rechtsgrundlage einer Datenverarbeitung demnach mit besonderer Sorgfalt geklärt werden.

Die Entscheidung zeigt ferner auch den grossen Ermessensspielraum der Behörden in Bezug auf die Höhe der Bussen. Bussgelder für den Verstoss gegen Art. 5 DSGVO können bis zu 20 Mio. Euro oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäfts­jahres betragen. Insbesondere im Vergleich zu den bereits für DSGVO-Verletzungen aus­gesprochene Bussen (vgl. dazu beispielsweise MLL-News vom 12.08.2019) wie beispielsweise die von der französischen Datenschutz­behörde CNIL gegen Google in der Höhe von 50 Mio. EUR (vgl. dazu MLL-News vom 25.2.2019), fiel jene gegen PwC BS moderat aus.

Schliesslich veranschaulicht der vorliegenden Falls, dass sich ein Verstoss gegen die DSGVO auch nicht bloss mit der Bezahlung eines Bussgeldes wiedergutmachen lässt. Die einschneidenden Folgen der Entscheidung liegen denn auch eher in den angeordneten Massnahmen und somit in der effektiven Kombination von Busse und Massnahmen. PwC BS muss nun innerhalb von drei Monaten die auferlegten Massnahmen umgesetzt haben, was je nach Grösse, Struktur und Organisation einer Unternehmung eine grössere Heraus­forderung darstellen kann. Neben der Aufforderung zur Beseitigung eines Verstosses stehen den Aufsichtsbehörden nach Art. 58 DSGVO auch noch weitere Befugnisse zu. So können sie auch öffentliche Verwarnungen aussprechen sowie permanente und vorübergehende Aussetzungen der Datenverarbeitung anordnen. Diese Behelfe können nicht nur die Reputation eines Unternehmens empfindlich schädigen, sondern jene, die auf die Verarbeitung personenbezogener Daten angewiesen sind, existenziell bedrohen.
 

Entscheidung auch für Schweizer Unternehmen relevant

Die Entscheidung sollten auch Schweizer Unternehmen zum Anlass nehmen, um die Erlaubnistatbestände für ihre Datenverarbeitungen sowie die entsprechende Dokumentation des Entscheidungsprozesses kritisch zu hinterfragen. Denn auch Schweizer Unternehmen können vom Anwendungsbereich der DSGVO erfasst sein, selbst wenn sie über keine Niederlassung in der EU bzw. im EWR verfügen. Die DSGVO gelangt u.a. zur Anwendung, wenn Personen in der EU bzw. im EWR Waren oder Dienstleistungen angeboten werden (sog. Targeting-Kriterium). Der räumliche Anwendungsbereich wird regelmässig eröffnet sein, wenn die Angebote inhärent internationaler Natur sind und die DSGVO deshalb extraterritoriale Wirkung entfaltet (vgl. zum Ganzen auch MLL-News vom 10. Dezember 2018).

 

Weitere Informationen: