Unter welchen Umständen dürfen Unternehmen personenbezogene Daten – zum Beispiel von Beschäftigten – an externe Prüfer preisgeben? Was ist für diese Datenverarbeitung aus Sicht der DSGVO (Datenschutz-Grundverordnung) zu gewährleisten? Ein konkreter Fall gibt Antworten.
Problem der Preisgabe von Daten an Dritte
Im Zuge zunehmender regulatorischen Anforderungen stehen Unternehmen immer häufiger vor der Herausforderung, externe Prüfungen durchzuführen. Dies betrifft insbesondere Audits, bei denen unabhängige Auditoren beauftragt werden, die Einhaltung von rechtlichen und regulatorischen Vorgaben zu überprüfen. Dabei kommt es häufig zu einer Offenlegung sensibler Daten, unter anderem auch personenbezogener Daten von Beschäftigten oder Kunden.
Der Landesbeauftragte für den Datenschutz Niedersachsen (LfD) beleuchtet in seinem Tätigkeitsbericht für das Jahr 2023 die datenschutzrechtlichen Herausforderungen, die sich im Rahmen derartiger Prüfungen ergeben können.
In dem diskutierten Fall handelte es sich um sogenannte Compliance-Audits, welchen ein deutsches Unternehmen, das gegen bestimmte rechtliche Bestimmungen eines nicht näher bestimmten Landes verstoßen hatte, vor einem ausländischen Gericht zustimmte. Für diese Konformitätsprüfungen musste das Unternehmen große Mengen an Unternehmensinformationen gegenüber den externen Auditoren offenlegen, die (trotz Schwärzung nicht erforderlicher Daten) teilweise auch personenbezogene Daten enthielten.
Anhand der oben beschriebenen Umstände ist davon auszugehen, dass für die in Rede stehenden Audits mehr personenbezogene Daten preisgegeben werden mussten als dies bei einem herkömmlichen Datenschutz- oder Informationssicherheitsaudit (etwa einem TISAX-Assessment oder einem Audit nach ISO 27001) der Fall wäre. Dennoch sind die Ausführungen des LfD allgemein auf solche Audits übertragbar, wenn bei diesen personenbezogene Daten – wie etwa unterschriebene Vertraulichkeitsverpflichtungen von Beschäftigten – mit den Auditoren geteilt werden. Auch für andere Überprüfungen wie etwa Due-Diligence-Prüfungen können die Ausführungen von Relevanz sein.
Rechtsgrundlage und Informationspflichten bei der Datenweitergabe
Im Rahmen der DSGVO ist die Weitergabe personenbezogener Daten an Dritte wie etwa Auditoren nur unter bestimmten Voraussetzungen zulässig. Diese Datenverarbeitung bedarf stets einer Rechtsgrundlage nach Art. 6 Abs. 1 DSGVO. Im vorliegenden Fall stützte das Unternehmen die Weitergabe personenbezogener Daten an die Auditoren auf das berechtigte Interesse nach Art. 6 Abs. 1 lit. f) DSGVO sowie auf Zwecke der Rechtsverteidigung und der Durchführung des Beschäftigungsverhältnisses (Art. 6 Abs. 1 lit. b) DSGVO).
Die Aufsichtsbehörde stellte jedoch fest, dass die Offenlegung der Daten in mehrfacher Hinsicht unzureichend war. Die Weitergabe von Kunden- und Beschäftigtendaten an externe Auditoren sah der LfD als eine Zweckänderung im Sinne von Art. 6 Abs. 4 DSGVO, da diese Daten ursprünglich nicht für Auditzwecke erhoben wurden. Entsprechend sei eine umfassende und gesonderte Information der betroffenen Personen notwendig. Zwar würde das Unternehmen in seiner Datenschutzerklärung allgemein über die Möglichkeit der Datenweitergabe an Auditoren informieren, jedoch beurteilte der LfD diese Information als unzureichend. Insbesondere bemängelte er, dass Betroffene nicht erkennen können, ob sie von der Datenweitergabe überhaupt betroffen sind, um sodann gegebenenfalls ihr Handeln danach ausrichten zu können.
Des Weiteren kritisierte der LfD, dass das Unternehmen in einigen Fällen für die Weitergabe personenbezogener Daten an die Auditoren keine überwiegenden berechtigten Interessen als Rechtsgrundlage nachweisen konnte. Die Behörde bemängelte, dass in der nach Art. 6 Abs. 1 lit. f) DSGVO erforderlichen Interessenabwägung wesentliche Gesichtspunkte nicht berücksichtigt oder nicht nachvollziehbar gewichtet wurden.
Technische Sicherheitsmaßnahmen und Dokumentation der Datenpreisgabe
Ein weiterer Aspekt betrifft die Sicherheit der übermittelten Daten. Der LfD sprach eine Verwarnung aus, weil personenbezogene Daten mit einem hohen Schutzbedarf an Auditoren außerhalb des Europäischen Wirtschaftsraums per E-Mail ohne eine ausreichende Ende-zu-Ende-Verschlüsselung übermittelt wurden. Die vom Unternehmen eingesetzten Maßnahmen, wie Pseudonymisierung und Transportverschlüsselung, wurden von der Aufsichtsbehörde als unzureichend bewertet.
Zudem stellte der LfD fest, dass das Unternehmen für eines der durchgeführten Audits kein gesondertes Verarbeitungsverzeichnis nach Art. 30 DSGVO eingerichtet hatte, was ebenfalls eine Verletzung der DSGVO darstelle und entsprechend sanktioniert wurde.
Drohende Bußgelder
Der LfD Niedersachsen betrachtete die oben dargestellten Verstöße als erheblich, weshalb er eine Geldbuße in Höhe von 4,3 Millionen Euro gegen das Unternehmen verhängte. Das Unternehmen erhob gegen den Entscheidung Klage, über welche noch entschieden werden muss. Es bleibt also abzuwarten ob das – überraschend hohe – Bußgeld Bestand haben wird.
Schon jetzt wird jedoch klar, dass Aufsichtsbehörden durchaus geneigt sind, unrechtmäßige und fehlerhafte Datenweitergaben an Externe wie etwa Auditoren mit schmerzhaften Bußgeldern zu belegen.
Fazit und Handlungsempfehlungen
Der Fall zeigt exemplarisch, dass Unternehmen bei der Weitergabe personenbezogener Daten an externe Auditoren besondere Sorgfalt walten lassen müssen. Besonders wichtig ist die vollständige und präzise Information der betroffenen Personen, wenn deren Daten von einer Zweckänderung betroffen sind.
Nicht zuletzt ist sicherzustellen, dass technische und organisatorische Maßnahmen zum Schutz der Daten ausreichen, insbesondere wenn Daten an Dritte außerhalb der EU bzw. des EWR übermittelt werden.
Der Fall verdeutlich ebenso die Wichtigkeit einer ausführlichen Interessenabwägung, sollte sich der Verantwortliche auf berechtigte Interessen stützen wollen. In der Praxis zeigt sich, dass diese Anforderung oft auf die leichte Schulter genommen wird, was dazu führen kann, dass für die Verarbeitung keine Rechtsgrundlage besteht.
Der vom LfD diskutierte Fall zeigt zudem, dass die datenschutzrechtlichen Anforderungen an Unternehmen im Rahmen von Audits hoch sind und dass bei etwaigen Verstößen erhebliche Sanktionen drohen. Unternehmen sollten daher sowohl rechtliche als auch technische Expertise einholen, um den Anforderungen gerecht zu werden und mögliche Sanktionen zu vermeiden.