News

Bußgeld der italienischen Datenschutzbehörde im Zusammenhang mit einem Hinweisgebersystem

Die italienische Datenschutzaufsichtsbehörde hat gegen den Betreiber des Flughafens Bologna ein Bußgeld in Höhe von 40.000 EUR verhängt (siehe hier). Dem Bußgeld liegt ein Sachverhalt zu Grunde, in dem es um ein vom Flughafenbetreiber eingerichtetes Hinweisgebersystem geht.

Für dieses System hatte der Verantwortliche keine Datenschutz-Folgenabschätzung (DSFA) durchgeführt und sich dafür entschieden, Daten während der Speicherung und Übertragung im Netz nicht zu verschlüsseln. Die Implementierung einer Verschlüsselung von Daten hätte den Kauf einer zusätzlichen Komponente beim Anbieter des Systems erfordert und es wurde argumentiert, dass hiermit unverhältnismäßig hohe Implementierungskosten verbunden gewesen wären. Zudem wurde auch darauf abgestellt, dass nur wenig Daten mit dem System verarbeitet werden, weil Hinweise nur sehr selten erteilt wurden.

Für Unternehmen ist dieses Bußgeld deswegen interessant, weil die Umsetzungsfrist der europäischen Whistleblowing-Richtline 2019/1937 für nationale Gesetzgeber immer näher rückt und eine Vielzahl von Unternehmen hierunter verpflichtet sind, ein Hinweisgebersystem einzurichten. Die italienische Behörde hat in ihrem Bußgeldbescheid betont, dass von der Datenverarbeitung in Hinweisgebersystemen grundsätzlich ein hohes Risiko ausgeht. Das ist angesichts der grundlegenden sensiblen Natur von Hinweisen zu potenziellen Gesetzesverstößen auch stimmig. Der Umstand, dass Hinweise häufig Mitarbeiter des Verantwortlichen betreffen und diese als besonders schutzwürdige Personen gelten und in Hinweismeldungen enthaltene Vorwürfe bei tatsächlich erfolgten Verstößen arbeitsrechtliche Konsequenzen nach sich ziehen können, stützen diese Annahme. Unternehmen sollten daher genau prüfen, ob sie wirklich nicht einer Pflicht zum Durchführen einer DSFA aus Art. 35 DSGVO unterliegen. Hierzu ist eine Schwellwertanalyse durchzuführen. In der Regel wird es schwer sein, gegen das Vorliegen einer solchen Pflicht zu argumentieren.

Des Weiteren wird anhand des Bußgelds auch deutlich, dass aufgrund des hohen Risikos auch stärkere Sicherheitsmaßnahmen erforderlich sind. Im Rahmen der Bestimmung des Umfangs der nach Art. 32 DSGVO erforderlichen technischen und organisatorischen Maßnahmen sind zwar auch Implementierungskosten zu beachten. Für die italienische Behörde war jedoch das von der Datenverarbeitung ausgehende Risiko und die Pflicht des Verantwortlichen, die Geeignetheit der Maßnahmen nachweisen zu können (Art. 5 Abs. 2 DSGVO, Art. 24 DSGVO), ausschlaggebend für die Verhängung des Bußgelds. Der Verantwortliche hat mit Verweis auf die Implementierungskosten und die geringe Anzahl an Datenverarbeitungen im Hinweisgebersystem die Behörde nicht überzeugen können. Beachtlich ist in diesem Kontext auch, dass nach Ansicht der italienischen Aufsichtsbehörde Daten in Hinweisgebersystemen zwangsläufig mit einer starken Verschlüsselung gespeichert und genauso bei der Übertragung gesichert werden müssen.

Für Unternehmen ist die Schnittmenge zwischen den datenschutzrechtlichen Vorgaben und den (in Deutschland ins nationale Recht noch umzusetzenden) Regelungen der Whistleblowing-Richtlinie mit Herausforderungen verbunden. Dabei ist nicht nur das im Zentrum des Bußgelds stehende hohe Risiko aufgrund der Sensibilität der Daten an sich relevant. Insbesondere die Einhaltung der Informationspflichten aus Art. 13 DSGVO und Art. 14 DSGVO sowie die Betroffenenrechte stellen Unternehmen vor Schwierigkeiten bei der Umsetzung in der Praxis. Die Durchführung einer DSFA sollte in dem Kontext nicht allzu sehr als Last und mehr als eine Chance gesehen werden, in einem Schwung alle datenschutzrechtlich relevanten kritischen Themen zu betrachten und Lösungen für die Umsetzung zu finden. So kann die Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO auch gleichzeitig mit den Vorgaben aus Art. 35 DSGVO erfüllt werden.

Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.
Wirtschaftsjurist, Counsel
Philipp Quiel, LL.M.

Zurück

News

OLG Schleswig-Holstein: keine Pflicht zur Ende-zu-Ende Verschlüsselung bei Geschäftsgeheimnissen

In seinem Urteil vom 28. April 2022 (Az. 6 U 39/21) entschied das Schleswig-Holsteinische Oberlandesgericht, welche Geheimhaltungsmaßnahmen angemessen i. S. v. § 2 Abs. 1 Nr. 1 lit. b GeschGehG sind. Außerdem hat sich das Gericht mit der Frage auseinandergesetzt, ob ein Individualinteresse ein berechtigtes Interesse zur Nutzung des Geschäftsgeheimnisses i. S. v. § 5 GeschGehG begründen kann.

Gesetz für faire Verbraucherverträge – Wichtige Änderungen und Handlungsbedarf für Unternehmen

Das „Gesetz für faire Verbraucherverträge“ ist seit dem 1. Oktober 2021 zu großen Teilen in Kraft. Durch die Änderung der entsprechenden Vorschriften des Bürgerlichen Gesetzbuches (BGB) und des Gesetzes gegen den unlauteren Wettbewerb (UWG) wird die Kündigung von Langzeitverträgen für Verbraucher erleichtert, das AGB-Recht verschärft und die Dokumentationspflichten für die Einwilligung bei Telefonwerbung erweitert. Da die Neuregelungen stufenweise in Kraft traten, gelten aktuell bereits neue Vorgaben für die Verwendung von AGB sowie die erweiterten Dokumentationspflichten für die Einwilligung in die Telefonwerbung. Ab dem 1. Juli 2022 gelten darüber hinaus die neuen Regeln für die Kündigung von Verbraucherverträgen, die über eine Website geschlossen wurden.

Datenschutzkonferenz zum Online-Handel – Behörden argumentieren für Pflicht zum Anbieten eines Gastzugangs und tendieren stark zur Einwilligung

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat einen Beschluss zum datenschutzkonformer Online-Handel mittels Gastzugang veröffentlicht. Der Beschluss enthält 4 Kernthesen zu Anforderungen, die laut der DSK für Online-Händler bestehen. Viele der darin enthaltenen Aussagen kann man zumindest als kontrovers bezeichnen. So verlangt die DSK von Online-Händlern, dass diese immer auch einen Gastzugang für Bestellungen anbieten. Zudem gehen die Behörden davon aus, dass für das Einrichten eines fortlaufen geführten Kundenkontos immer eine Einwilligung erforderlich sei und eine solche Einwilligung nicht freiwillig erteilt werden kann, wenn nicht auch ein Gastzugang ohne Registrierung angeboten werden würde. Die Nutzung von im Vertragsverhältnis erhobene Daten für Werbezwecke soll laut der DSK ebenfalls nur mit einer Einwilligung rechtfertigbar sein. Dasselbe gilt laut der Behördenansicht auch für die Speicherung von Zahlungsdaten. Im Folgenden werden die Kernaussagen der DSK zusammengefasst und hinterfragt.

News