Allgemein, Art. 15 DSGVO, Aufsichtsbehörden, Bußgelder, Gesetzliche Grundpflichten

70.000 EUR Bußgeld wegen Organisationsmängel bei DSGVO-Auskunftsprozess

by  •  • Kommentare deaktiviert für 70.000 EUR Bußgeld wegen Organisationsmängel bei DSGVO-Auskunftsprozess

Der Bußgeld -Tatbestand ereignete sich im Rahmen einer Anfrage auf Auskunft 2022 wie folgt:

Ein ehemaliger Angestellter der Unicredit S.p.A. verlangte von seinem Ex-Arbeitgeber (Verantwortlicher) Auskunft nach Art. 15 DSGVO. Er stellte seine Anfrage formlos. Er erhielt eine Eingangs-Bestätigung seiner Anfrage mit dem Avis einer Antwort innerhalb der gesetzlichen Frist von einem Monat sowie der Bitte, ein für seine Auskunfts-Anfrage beigefügtes Formular zu nutzen. Er nutzte dieses Formular nicht. Sein ehemaliger Arbeitgeber deutete die Nicht-Nutzung des Formulars als Desinteresse an der Fortführung seines Anliegens, sah die Anfrage als erledigt an und antwortete dadurch auch nicht weiter auf diese.

Wenn man denkt, man hat alles perfekt zum Thema Auskunftsanfragen organisiert…

Monate nach dem unbeantworteten Auskunftsersuchen wandte sich der Betroffene an die zuständige, italienische Datenschutzbehörde u.a. mit folgender Bitte:

  • Aufforderung zur Auskunftserteilung nach Art. 15 DSGVO
  • Ermahnung, dass die Ausübung der Betroffenenrechte nicht an das Ausfüllen eines Formulars geknüpft werden kann, da dies gegen die DSGVO verstößt.

Der Auskunfts-Prozess erschwerte dem Betroffenen sein Recht auf Auskunft

Mit der Aufforderung des zusätzlichen Ausfüllens eines Formulars für die bereits getätigte Auskunfts-Anfrage wurde eine unnötige Hürde für den Betroffenen bei der Ausübung seiner Rechte errichtet.

Die Unicredit erklärte bezgl. des Formulars: Für ehemalige Mitarbeiter wurde ein Prozess implementiert, der vorsieht, dass der Antrag von Anfragenden per E-Mail an eine Adresse in der Personalabteilung zu senden ist, wobei das Formular beizufügen ist. Die Antwort erfolge dann per E-Mail oder auf dem Postweg. „Das Ausfüllen des vorbereiteten Formulars dient einzig und allein dazu, dem Antragsteller das Ausfüllen zu erleichtern und den Gegenstand des Antrags verständlicher zu machen, um so die Gefahr von Rückfragen oder unzureichenden Antworten zu verringern.“

Nach Aufforderung durch die Datenschutzbehörde erhielt der Betroffene dann – auch ohne Formular – eine Antwort.

Die Antwort entsprach nicht den Anforderungen von Art.5 (1) a und Art. 15 DSGVO

In der Antwort wurde dem Betroffenen jedoch lediglich ein Informationsschreiben – das alle Arbeitnehmer auch bei ihrer Einstellung erhalten und das jederzeit über die Unternehmenswebseite zugänglich ist (Datenschutzinformationen nach Art. 1314 DSGVO) – übermittelt, was Auskunft gab über:

  • die Art und Weise,
  • des Zwecks der durchgeführten Verarbeitungen
  • die Kategorien der verarbeiteten personenbezogenen Daten
  • die Kategorien der Datenempfänger
  • und die Datenspeicherdauer
  • sowie die Auflistung der Rechte des Betroffenen

Mit dieser Information erhielt der Betroffene jedoch nicht die konkreten Daten, die zu seiner Person zu den angegebenen Zwecken verarbeitet wurden. Er war mit dieser Information also gar nicht in der Lage festzustellen, ob seine verarbeiteten Daten korrekt waren. Aber genau dieses Recht verfolgt Art 15 DSGVO mit dem Auskunftsrecht.

Im Gegensatz zu den Art. 13-14 DSGVO Informationen, die allgemeinen Charakters sind, muss nach Art. 15 DSGVO die Nennung der Angaben auf die anfragende Person vom Verantwortlichen konkretisiert werden. Diese Konkretisierung entspricht dem Transparenz-Grundsatz nach Art. 5 (1) a DSGVO. So schreibt die italienische Datenschutzbehörde: „Daher müssen bei der Übermittlung von Informationen an die betroffene Person gemäß Artikel 15 DSGVO alle in der Mitteilung enthaltenen Informationen überprüft und auf die konkreten Verarbeitungsvorgänge zugeschnitten werden, die bei der antragstellenden betroffenen Person tatsächlich durchgeführt werden. Ein Verweis auf die Datenschutzinformationen nach Art. 13-14 sind kein adäquates Mittel.“

Weiter führt die Behörde aus:

„Auch wenn die Erstellung eines Formulars im Allgemeinen eine organisatorische Maßnahme zur Erleichterung der Einreichung von Anträgen darstellt, steht es nicht im Einklang mit den geltenden Vorschriften über den Schutz personenbezogener Daten, die Einleitung des Verfahrens zur Ausübung des Rechts von der vorherigen Einreichung des ausgefüllten Formulars abhängig zu machen und in freier Form eingereichte Anträge nicht zu berücksichtigen...Dies gilt unbeschadet des Rechts des für die Verarbeitung Verantwortlichen, die betroffene Person falls erforderlich um Klarstellungen zum Gegenstand des Antrags zu bitten.
Die Ausübung des Rechts auf Auskunft über die eigenen personenbezogenen Daten ist eng mit der Festlegung der spezifischen Modalitäten und Fristen verbunden, innerhalb derer der für die Verarbeitung Verantwortliche den Anträgen der betroffenen Person nachkommen muss, wie dies in Artikel 12 der Verordnung festgelegt ist, um den Grundsätzen der Transparenz und der Verarbeitung nach Treu und Glauben Wirksamkeit zu verleihen (Artikel 58 und 60 der Verordnung). Insbesondere ist der für die Verarbeitung Verantwortliche verpflichtet,die Ausübung der Rechte der betroffenen Person nach den Artikeln 15 bis 22 zu  e r l e i c h t e r n “ (Art. 12 Absatz 2 der Verordnung) und „die betroffene Person unverzüglich, spätestens jedoch innerhalb eines Monats nach Eingang des Antrags, über die aufgrund eines Antrags nach den Artikeln 15 bis 22 ergriffenen Maßnahmen zu unterrichten“ (eine Frist, die im Falle der Komplexität und der großen Zahl der eingegangenen Anträge mit angemessener Unterrichtung der betroffenen Person um zwei Monate verlängert werden kann; Artikel 12 Absatz 3 der Verordnung). Umgekehrt erschwert die Verpflichtung, zusätzlich und unabhängig vom konkreten Inhalt eines Antrags auf Ausübung eines im System anerkannten Rechts ein vorgegebenes Formular auszufüllen, die Ausübung dieses Rechts (anstatt sie durch geeignete Maßnahmen zu erleichtern).“

Die italienische Datenschutzbehörde stellte in diesem Fall Verstöße gegen folgende Artikel der DSGVO fest:

Bei der Höhe des Bußgeldes fielen folgende Faktoren ins Gewicht:

a) Die Art, die Schwere und die Dauer des Verstoßes wurden im Zusammenhang mit der Art des Verstoßes, der sich auf die allgemeinen Grundsätze der Verarbeitung sowie auf die Ausübung der Rechte der betroffenen Person auswirkte, als relevant angesehen;

b) Im Hinblick auf den vorsätzlichen oder fahrlässigen Charakter des Verstoßes und den Grad der Haftung des Inhabers wurde das Verhalten des Unternehmens sowie der Grad der Nichteinhaltung der Datenschutzvorschriften in Bezug auf mehrere Bestimmungen berücksichtigt;

c) dass die Gesellschaft Adressat von vier Maßnahmen des Garanten (italienische Datenschutzbehörde) war, von denen eine insbesondere nach der Feststellung des Verstoßes gegen die Verpflichtung zur Rückmeldung über die Ausübung der Rechte der betroffenen Personen in der in Artikel 12 der Verordnung vorgesehenen spezifischen Art und Weise ergriffen wurde…; der zuvor festgestellte Verstoß bezieht sich auf die unzureichende Bereitstellung von Maßnahmen, die es den betroffenen Personen ermöglichen sollen, durch die Bereitstellung von Informationen über die Verarbeitung die Kontrolle über ihre personenbezogenen Daten auszuüben, ebenso wie im vorliegenden Fall der betroffenen Person nicht die Kontrolle über ihre Daten durch die Ausübung des Auskunftsrechts ermöglicht wurde…

d) zugunsten des Unternehmens wurde die Zusammenarbeit mit der Aufsichtsbehörde und die Tatsache berücksichtigt, dass der festgestellte Verstoß nur den Beschwerdeführer betraf.

 

Quelle: https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9795350