Die griechische Aufsichtsbehörde hat am 26.7.2019 (Entscheidung 26/2019) Price Waterhouse Coopers Business Solutions S.A. mit einer empfindlichen Geldstrafe wegen der Verletzung der DSGVO bei der Verarbeitung von Personaldaten belegt.

 

 

 

Beschwerde als Anlass

 

Die griechische Datenschutzbehörde hat als Reaktion auf eine Beschwerde von Amts wegen die Rechtmäßigkeit der Verarbeitung personenbezogener Daten der Mitarbeiter*Innen von "PRICEWATERHOUSECOOPERS BUSINESS SOLUTIONS SA" (PWC BS) untersucht.

 

 

 

Einwilligung als Grundlage für die Verarbeitung?

 

PWC verlangte von den Mitarbeiter*Innen eine Einwilligung in die Verarbeitung der personenbezogenen Daten.

 

 

 

 

 

Was gilt, wenn die Einwilligung nicht gilt?

 

Die Aufsichtsbehörde war der Ansicht, dass PWC BS als Verantwortlicher für die Verarbeitung der Daten der Mitarbeiter*Innen:

 

·     die personenbezogenen Daten seiner Mitarbeiter widerrechtlich entgegen den Bestimmungen von Artikel 5 Absatz 1 lit a DSGVO verarbeitet hat, da sie eine unangemessene Rechtsgrundlage verwendet hat. Die mangelnde Rechtsgrundlage bewirkt, dass die Verarbeitung der Daten nicht rechtmäßig erfolgt, wie dies von Art 5 Abs 1 lit a DSGVO gefordert wird

 

 

 

·     die personenbezogenen Daten seiner Mitarbeiter wider Treu und Glauben und intransparent (Verstoß gegen Art 5 Abs 1 lit b DSGVO) verarbeitet hat. Der Verantwortliche hat den Eindruck erweckt, dass er die personenbezogenen Daten auf der Grundlage der Rechtsgrundlage der Einwilligung (Artikel 6 Absatz 1 lit a DSGVO) verarbeitet werden, während er in Wirklichkeit die personenbezogenen Daten auf einer anderen Rechtsgrundlage verarbeitet, und die Mitarbeiter*Innen nicht über diese Rechtsgrundlage informiert wurden

 

 

 

·     er als Verantwortlicher, nicht in der Lage war, die Einhaltung von Artikel 5 Absatz 1 DSGVO nachzuweisen, und dass er gegen den in Artikel 5 Absatz 2 DSGVO genannten Grundsatz der Rechenschaftspflicht verstoßen hat, indem er die Beweislast für die Einhaltung auf die betroffenen Personen übertragen hat.

 

 

 

Die Folgen für den Verantwortlichen – eine Anordnung

 

Die griechische Aufsichtsbehörde hat nach Feststellung der Verstöße gegen die DSGVO beschlossen, dass es in diesem Fall die ihm nach Artikel 58 Absatz 2 DSGVO übertragenen Abhilfebefugnisse ausüben sollte und hat dem Unternehmen in seiner Eigenschaft als Verantwortlichen aufgetragen innerhalb von drei (3) Monaten:

 

·     die Verarbeitung der personenbezogenen Daten ihrer Mitarbeiter*Innen in Übereinstimmung mit den Bestimmungen der DSGVO zu bringen;

 

·     die ordnungsgemäße Anwendung der Bestimmungen von Artikel 5 Absatz 1 lit a und b DSGVO iVm mit Artikel 6 Absatz 1 DSGVO – nach den Grundsätzen der Entscheidung – herzustellen;

 

·     anschließend die ordnungsgemäße Anwendung der übrigen Bestimmungen von Artikel 5 Absatz 1 Buchstaben b) bis f) DSGVO herzustellen, und der Behörde nachzuweisen.

 

 

 

Die Aufsichtsbehörde war überdies der Ansicht, dass die Anordnung der Herstellung des rechtskonformen Zustandes nicht ausreicht.

 

 

 

zusätzlich: eine Geldbuße

 

Die Aufsichtsbehörde hat daher zusätzlich wirksame, verhältnismäßige und abschreckende Verwaltungsstrafe gemäß Artikel 83 DSGVO verhängt, die sich auf einhundertfünfzigtausend Euro (150.000,00 EUR) beläuft.

 

 

 

Die Bemessung der Geldstrafe

 

Aus dem Jahresabschluss des Verantwortlichen des Jahres 2017/2019 (1.7.2017 bis 30.6.2018) ging ein Umsatz von EUR 41.936.426,00 hervor. Diesen Umsatz nahm die Behörde zum Anlass eine Geldstrafe von EUR 150.000,--, dh 0,36% des Umsatzes (bei einem Strafrahmen von 4 % des Umsatzes bzw. EUR 20.000.000,--) zu verhängen.

 

 

02.08.2019, Autor:

Michael Schweiger, zert DSBA