Verurteilung nach Datenschutzverletzung wegen Datenweitergabe
Bei Verletzung des Datenschutzrechts drohen mitunter nicht unerhebliche Strafen. Auf diesen Tatbestand wird von Seiten der Datenschützer immer wieder und wieder hingewiesen. Oft genug fühlt man sich dann nicht ernst genommen. Kein Unternehmen das davon betroffen ist sucht die Öffentlichkeit, die Behörden dürfen oder wollen entsprechende Meldungen oftmals nicht veröffentlichen und die meisten bekannt gewordenen Androhungen, Unterlassungsklagen oder Strafen sind für „Normalbürger“ so abgehoben das Sie nicht nachvollzogen werden können. Beispiele sind unter anderem die Datenschutzklagen gegen Facebook, Google und Amazon.
Ein besonderes Augenmerk sollte mann dabei auch auf die Verflechtung von Unternehmen richten. Gerade auch im Mittelstand ist es üblich das Tochterunternehmen gegründet werden um Unternehmens- und Geschäftsbereiche vom Mutterbetrieb zu trennen. Aus welchen Gründen ist Datenschutzrechtlich nicht relevant und unterliegt grundsätzlich der Verantwortung der Geschäftsleitung.
Was dabei meist Übersehen wird, die Personenbezogenen Daten dürfen grundsätzlich nicht an die gesetzlich eigenständige Tochterunternehmung weitergegeben werden. Die Ausnahmen hierzu werden im Datenschutzgesetz und in der EU-DSGVO explizit geregelt.
Kaum ein Unternehmer macht sich dazu Gedanken. Andere Dinge sind vordergründig wichtiger. Die Thematik Datenschutz verliert sich dann oftmals aus den Augen und auch im Nachhinein findet sich kaum mehr ein Gedanke an die Datenschutzkonformität des Vorgangs.
Weitergabe personenbezogener Daten ohne rechtliche Grundlage
So werden dann Personenbezogene Daten zwischen geschäftlichen Partnerunternehmen getauscht ohne die rechtlichen Grundlagen zu prüfen, geschweige denn diese Schriftlich zu fixieren oder gemäß der EU-DSGVO eine Gefährdungsanalyse zu erstellen. Der Datenschutzbeauftragte wird weder dazu Gehört, noch in das Verfahren einbezogen, wenn im Unternehmen überhaupt einer Existiert. Und hinzu kommt das eigenständige Unternehmen dann auch jeweils einen eigenständigen Datenschutzbeauftragten (dieser kann grundlegend auch die gleiche Person sein) benennen müssen, insoweit Sie dazu Verpflichtet sind.
Doch zurück zum Thema. Im vorliegenden Fall haben zwei juristische Personen Gesundheitsdaten, also Daten die einem besonderem Schutzniveau unterliegen, einer Person getauscht. Eine sogenannte konzernrechtliche Bindung ist hier nicht von Bedeutung. Die Weitergabe hätte also einer Rechtsgrundlage bedurft, die jedoch nicht vorgelegen hat.
Betroffene Person erhält Schmerzensgeld
Nach einer Kündigung der Betroffenen Person aufgrund dieser Daten ist der Betroffene vor Gericht gegangen und hat in zweiter Instanz vor dem OLG Köln gewonnen. Der mögliche Schadenersatz und die Schmerzensgeldansprüche dürften jetzt im hohen fünfstelligen, wenn nicht sogar im sechsstelligen Bereich liegen.
Welches Fazit ziehen wir dazu? Prüfen Sie die Beziehungen zu den angeschlossenen Unternehmen und Tochtergesellschaften. Überdenken Sie welche und wie viele Daten ausgetauscht werden. Prüfen Sie die Verträge zur Auftragsdatenverarbeitung (ADV) und vor allem, sprechen Sie mit dem Datenschutzbeauftragten Ihres Vertrauens.
Benötigen Sie Unterstützung?
Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach.
Wir helfen Ihnen gern!