Mit 4,5 Millionen Euro hat die kroatische Aufsichtsbehörde (AZOP) ein kroatisches Telekommunikationsanbieter gleich wegen mehrerer Verstöße gegen die DSGVO sanktioniert.
Der konkrete Fall
Der Telekommunikationsanbieter hatte Teile seiner Datenverarbeitung an einen IT-Dienstleister in Serbien vergeben. Im Zuge von Wartungs- und Supportarbeiten erhielt dieser Zugriff auf das gesamte CRM-System und damit insgesamt ca. 850.000 personenbezogene Datensätze, darunter Namen, Anschriften, Telefonnummern, E-Mail-Adressen, IBANs sowie Vertragsinformationen. Zwar lagen zwischen den beteiligten Unternehmen Standardvertragsklauseln vor, jedoch wurde es versäumt, diese nach dem 27.12.2022 zu aktualisieren. Zudem informierte das Telekommunikationsunternehmen die betroffenen Personen nicht über den damit verbundenen Datentransfer in ein Drittland. Hinzu kam noch die Verarbeitung von Ausweiskopien sowie polizeilicher Führungszeugnisse seiner Mitarbeitenden ohne Rechtsgrundlage und der Einsatz eines Auftragsverarbeiters für den telefonischen Vertrieb ohne vorherige Prüfung der vom Dienstleister getroffenen Schutzmaßnahmen.
Bewertung der kroatischen Aufsichtsbehörde
Die AZOP beurteilte dieses Vorgehen als Verstöße gegen die DSGVO.
Verstoß gegen Art. 26 Abs. 2 lit. c DSGVO
Für Serbien existiert aktuell kein Angemessenheitsbeschluss der EU-Kommission und auch keine anderen geeigneten Garantien, so dass der Abschluss von Standardvertragsklauseln nicht entbehrlich und auch die Durchführung eines Transfer Impact Assessments erforderlich war. Nach Dezember 2022 hätte somit eine Aktualisierung der Standardvertragsklauseln stattfinden müssen.
Verstoß gegen Art. 13 DSGVO
Nach Artikel 13 DSGVO müssen betroffene Personen bereits zum Zeitpunkt der Datenerhebung darüber aufgeklärt werden, wie ihre personenbezogenen Daten verarbeitet werden. Wird eine Übermittlung in ein Land außerhalb der EU durchgeführt, umfasst diese Informationspflicht auch den Hinweis auf den Drittstaatentransfer sowie die dafür vorgesehenen Schutzmechanismen, die den sicheren Umgang mit den Daten gewährleisten sollen.
Verstoß gegen Art. 5 Art. 1 lit. c DSGVO
Gemäß dem in Art. 5 Abs. 1 lit. c DSGVO festgelegten Prinzip der Datenminimierung dürfen nur solche personenbezogenen Daten verarbeitet werden, die für den jeweiligen Zweck wirklich erforderlich sind. Das Anfertigen von Ausweiskopien und polizeilicher Führungszeugnisse ist nur in Ausnahmefällen zulässig und an strenge Voraussetzungen geknüpft. Diese Bedingungen lagen im vorliegenden Fall jedoch nicht vor. Das Unternehmen war durch den eigenen Datenschutzbeauftragten auf das Fehlverhalten hingewiesen worden, ignorierte dies jedoch konsequent.
Verstoß gegen die Prüfung von Auftragsverarbeitern
Der Telekommunikationsanbieter beauftragte einen Auftragsverarbeiter für Telemarketing-Dienstleistungen, ohne Vorabprüfung und Sicherstellung der Implementierung ausreichender technischer und organisatorischer Maßnahmen (TOM). Als Verantwortlicher im Sinne der DSGVO hatte er aber nach Art. 28 Abs. 1 DSGVO die Pflicht für einen angemessenen Schutz der personenbezogenen Daten zu sorgen und eine sorgfältige Prüfung des Auftragsverarbeiters vornehmen.
Fazit
Der Fall aus Kroatien macht deutlich, dass Verantwortliche sich darüber bewusst sein sollten, dass im Rahmen behördlicher Prüfungen häufig zusätzliche Datenschutzverstöße entdeckt werden, selbst wenn diese nicht in direktem Zusammenhang mit dem eigentlichen Anlass stehen.
Umso wichtiger ist es für Unternehmen, die Hinweise ihres Datenschutzbeauftragten ernst zu nehmen, selbst wenn deren Umsetzung mit erheblichem Aufwand verbunden sein kann. Als externer Datenschutzbeauftragter unterstützen wir dabei, bestehende Prozesse zu überprüfen, Schwachstellen frühzeitig zu identifizieren und geeignete Maßnahmen zu entwickeln, um solche Risiken zu vermeiden und die Datenschutz-Compliance nachhaltig zu stärken.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
