Seit März 2018 bin ich Datenschutzbeauftragter der itemis AG und versuche, das Unternehmen datenschutzmäßig auf Kurs zu bringen. Doch ausgerechnet heute, am Nikolaustag, stellte sich heraus, dass grundlegende Dinge noch immer nicht verstanden wurden.
Was ist geschehen? Am Standort Lünen fanden alle Mitarbeiter zu Arbeitsbeginn folgende Nachricht des Marketings vor:
Naaa, seid ihr denn auch alle brav gewesen? Dem Nikolaus haben wir einfach mal "Ja!" gesagt – daher findet ihr auf euren Tischen heute eine kleine Überraschung.
Aus datenschutzrechtlicher Sicht ist das äußerst problematisch!
Bei der Einstufung als artig oder unartig handelt es sich zweifellos um personenbezogene Daten. Wir haben es also auf jeden Fall mit einem Datenschutzthema zu tun. Mehrere Autoren sind der Ansicht, dass es sich bei artig/unartig sogar um Gesundheitsdaten handelt, also um eine nach Artikel 9 der Datenschutzgrundverordnung (DSGVO) »besondere« Kategorie personenbezogener Daten, für deren Verarbeitung besonders strenge Maßstäbe gelten. Allerdings gehen die Ansichten der Juristen hier auseinander. Einschlägige Gerichtsurteile liegen bislang nicht vor.
In jedem Fall aber lässt sich aus der Nachricht
Naaa, seid ihr denn auch alle brav gewesen? Dem Nikolaus haben wir einfach mal "Ja!" gesagtschlussfolgern, dass hier eine Erhebung personenbezogener Daten der Mitarbeiter stattgefunden hat, und zwar nicht bei den Mitarbeitern selbst. Bei einer Datenerhebung, die nicht bei der betroffenen Person erfolgt, kommt Artikel 14 DSGVO zur Anwendung. Dieser Artikel sieht eine umfassende Informationspflicht vor, der hier aber in keinster Weise nachgekommen wurde!
Informationen nach Artikel 14 DSGVO fehlen komplett
Es fehlt allein schon die Information darüber, wer eigentlich der für diese Datenverarbeitung Verantwortliche ist, sprich: wer »über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet« (Artikel 4 Nummer 7 DSGVO). Man darf zwar vermuten, dass dies der Nikolaus ist, und im Folgenden gehe ich davon aus. Doch es ist nicht im Sinne der DSGVO, dass betroffene Personen im Dunkeln tappen und auf Vermutungen angewiesen sind! Ganz im Gegenteil: Sie will größtmögliche Transparenz schaffen! Transparenz ist ein wesentlicher Grundsatz des Datenschutzes, siehe Artikel 5 Absatz 1 Buchstabe a DSGVO.
Laut Artikel 14 Absatz 1 Buchstabe a muss der Verantwortliche, hier: der Nikolaus, den betroffenen Personen seinen Namen und seine Kontaktdaten offenlegen. Außerdem hätte der Nikolaus auch die Kontaktdaten seines Datenschutzbeauftragten nennen müssen. Beides ist nicht erfolgt!
Zwar nennt Artikel 14 Absatz 5 DSGVO verschiedene Umstände, bei denen die Informationspflicht entfällt, aber es ist nicht ersichtlich, dass einer dieser Umstände hier gegeben ist. Anders als man vermuten mag, ist auch die in Artikel 14 Absatz 5 Buchstabe a genannte Bedingung hier nicht anwendbar. Danach kann die Information entfallen, wenn die betroffene Person bereits über die Informationen verfügt. Diese Klausel ist hier nicht anwendbar, weil die betroffene Personen von klein auf lediglich über einen Teil der Informationen verfügen. Die Zwecke der Datenverarbeitung durch den Nikolaus sind zwar allgemein bekannt – Geschenke oder Rute –, nicht jedoch die übrigen von Artikel 14 geforderten Angaben.
Dazu zählen nicht nur die oben genannten Kontaktdaten, sondern vor allem auch die Angabe der Rechtsgrundlage, auf der der Nikolaus die Daten verarbeitet. Außerdem sind die Kategorien personenbezogener Daten, die verarbeitet werden, nicht genannt. Betroffene Personen werden auch nicht darüber informiert, ob der Nikolaus die Absicht verfolgt, die personenbezogenen Daten an einen Empfänger in einem Drittland oder einer internationalen Organisation zu übermitteln, ganz zu schweigen von geeigneten oder angemessenen Garantien, die dann vorhanden sein müssten.
Besonders kritisch: Datenübermittlung in die Türkei
In diesem speziellen Fall muss man ohnehin Schlimmes befürchten, denn der Nikolaus hat seinen Sitz bekanntlich in Myra in der Türkei. Die Übermittlung personenbezogener Daten in ein Drittland ist jedoch nur dann zulässig, wenn bestimmte Bedingungen eingehalten werden (Artikel 44 DSGVO). Wie sieht es beim Drittland Türkei aus? Ein Angemessenheitsbeschluss der EU-Kommission (Artikel 45 DSGVO), der die Datenübermittlung gestatten würde, liegt jedenfalls nicht vor.
Die von der EU-Kommission zur Verfügung gestellten Standarddatenschutzklauseln wären im Prinzip eine Möglichkeit, aber es darf bezweifelt werden, dass diese sich in der Türkei rechtlich wirksam durchsetzen lassen. Sollte die Information über artig oder unartig türkischen Stellen bekannt werden, muss man wohl von einem Risiko für die Grundrechte und Grundfreiheiten betroffener Personen ausgehen.
Für eine zulässige Datenübermittlung nach Myra bleibt allenfalls die Möglichkeit, gemäß Artikel 49 Absatz 1 Buchstabe a die Daten mit Einwilligung der betroffenen Person zu übertragen. Diese Einwilligung muss aber eine ausdrückliche sein, und die betroffene Person muss zuvor über die bestehenden möglichen Risiken derartiger Datenübermittlungen ohne Vorliegen eines Angemessenheitsbeschlusses und ohne geeignete Garantien unterrichtet werden. Dies ist nicht erfolgt.
Doch nicht nur der Nikolaus macht sich eines Verstoßes gegen geltendes Datenschutzrecht schuldig, sondern auch die itemis AG. Immerhin fordert Artikel 5 Absatz 1 Buchstabe d DSGVO, dass personenbezogene Daten sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein müssen. Hier hätte das Unternehmen die Frage »Naaa, seid ihr denn auch alle brav gewesen?« keinesfalls pauschal mit »Ja« beantworten dürfen! Vielmehr hätte man sich der erforderlichen Sorgfalt befleißigen und für jeden Mitarbeiter von der Korrektheit dieser Angabe überzeugen müssen. Es sind – ebenfalls gemäß Artikel 5 Absatz 1 Buchstabe d DSGVO – alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden. Hier besteht dringender Handlungsbedarf, von der grundsätzlichen Fragwürdigkeit dieser Verarbeitung einmal ganz abgesehen!
Aufsichtsbehörde wird informiert
Wegen ihres mutmaßlichen Datenschutzverstoßes muss die itemis AG jetzt unverzüglich entscheiden, ob sie eine Meldung gemäß Artikel 33 DSGVO an die Aufsichtsbehörde macht und gegebenenfalls auch an die betroffenen Personen gemäß Artikel 34 DSGVO. Ich kann nur dringend dazu raten, um gemäß § 43 (4) Bundesdatenschutzgesetz (BDSG) eine Geldbuße zu vermeiden.
Als betroffene Person werde ich mich jedenfalls gleich bei der Aufsichtsbehörde beschweren (Artikel 57 Absatz 1 Buchstabe f DSGVO). Aber vorher verputze ich noch meinen Schokonikolaus – hmm, lecker!
Kommentare