DSFA

Das Warten hat ein Ende
Ailance™ DSFA ist da!
Mehr erfahren

Volkswagen wehrt sich erfolgreich gegen hohes DSGVO-Bußgeld und Verwarnungen

Volkswagen konnte den Vorwurf von Verstößen gegen die DSGVO vor Gericht entkräften.
Kategorien:
,

Das DSGVO-Verfahren gegen Volkswagen endet ziemlich kurios. Der Automobilkonzern ist sowohl gegen ein Bußgeld in Höhe von 4,3 Millionen Euro als auch gegen mehrere Verwarnungen des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) vorgegangen. Das Landgericht Hannover hat das Bußgeld wieder einkassiert, da es keinen schweren DSGVO-Verstoß feststellen konnte. Die Staatsanwaltschaft musste die Rechtsbeschwerde gegen das Urteil schließlich wegen einer fehlenden Unterschrift zurücknehmen. Rechtlich interessanter ist hingegen das Urteil des Verwaltungsgerichts Hannover. Das Gericht gab VW in zwei von fünf Fällen Recht.

Aufarbeitung des Dieselskandals mit datenschutzrechtlichen Folgen

Im Zuge der Aufarbeitung des Dieselskandals schloss die Volkswagen AG (VW) in den USA mehrere Vergleiche mit Straf- und Zivilbehörden, um laufende Verfahren zu beenden und weiteren rechtlichen Risiken vorzubeugen. Bestandteil dieser Einigungen war die Einrichtung eines sogenannten Monitorships: Dafür wurde der ehemalige stellvertretende US-Generalstaatsanwalt Larry Thompson als externer Compliance-Monitor eingesetzt. Dieser sollte die bestehenden Compliance- und Kontrollsysteme des Konzerns prüfen, weiterentwickeln und deren Umsetzung überwachen.

Zur Erfüllung dieser Aufgabe erhielt der Monitor umfassenden Zugang zu Dokumenten und Daten von VW, darunter auch zu personenbezogenen Informationen über ehemalige und aktive Beschäftigte. Die Bandbreite reichte dabei von Klarnamen und Personalnummern bis hin zu dienstbezogenen Bewertungen. Dieser Datenzugriff stellte aus Sicht des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) einen gravierenden datenschutzrechtlichen Eingriff dar. Der LfD leitete daraufhin ein aufsichtsbehördliches Verfahren gegen Volkswagen ein und identifizierte fünf konkrete Sachverhalte, die er als Verstöße gegen die DSGVO wertete. Hierfür sprach er Verwarnungen gemäß Art. 58 Abs. 2 lit. b DSGVO gegen VW aus.

Verwarnung 1: Klarnamenliste mit „direct knowledge“ – unzulässig?

VW hatte dem US-Monitor eine Liste mit 22 Klarnamen übermittelt, versehen mit der Überschrift „direct knowledge“. Im Rahmen des Fast-Lane-Prozesses übermittelte VW pseudonymisierte Daten per transportverschlüsselter E-Mail. Der LfD forderte jedoch eine Ende-zu-Ende-Verschlüsselung. Das Gericht wies dies zurück. Die Daten seien nicht besonders schutzbedürftig gewesen und ohne Klarnamen fehle ein konkretes Risiko für eine Re-Identifizierung, zumal der Zuordnungsschlüssel nicht mitübermittelt wurde.

Das Gericht konkretisiert das technische Schutzniveau gemäß Art. 32 DSGVO und unterstreicht die Verhältnismäßigkeit bei pseudonymisierten Daten. Dennoch ist zu berücksichtigen, dass sich der Stand der Technik und damit auch die zumutbaren technischen und organisatorischen Maßnahmen fortlaufend weiterentwickeln. Die Entscheidung darf also nicht verallgemeinert, sondern muss stets im Lichte der konkreten Risikoeinschätzung verstanden werden.

Verwarnung 2: Pseudonymisierte Daten im „Fast Lane Prozess“ – keine Pflicht zur Ende-zu-Ende-Verschlüsselung

Im Rahmen des Fast-Lane-Prozesses übermittelte VW pseudonymisierte Daten per transportverschlüsselter E-Mail. Der LfD forderte jedoch eine Ende-zu-Ende-Verschlüsselung. Das Gericht wies dies zurück. Die Daten seien nicht besonders schutzbedürftig gewesen und ohne Klarnamen fehle ein konkretes Risiko für eine Re-Identifizierung, zumal der Zuordnungsschlüssel nicht mitübermittelt wurde.

Das Gericht konkretisiert das technische Schutzniveau gemäß Art. 32 DSGVO und unterstreicht die Verhältnismäßigkeit bei pseudonymisierten Daten. Dennoch ist zu berücksichtigen, dass sich der Stand der Technik und damit auch die zumutbaren technischen und organisatorischen Maßnahmen fortlaufend weiterentwickeln. Die Entscheidung darf also nicht verallgemeinert, sondern muss stets im Lichte der konkreten Risikoeinschätzung verstanden werden.

Verwarnung 3: Verletzung der Informationspflicht bei Datenübermittlung an den Monitor

Anders sah es das Gericht bei der Verwarnung wegen unzureichender Information der Beschäftigten. VW hatte im Rahmen des Monitorships personenbezogene Daten von Beschäftigten übermittelt, darunter auch pseudonymisierte Informationen. Das Gericht stellte klar, dass auch diese Daten gemäß Art. 4 Nr. 1 DSGVO als personenbezogene Daten gelten, da der Monitor mit vertretbarem Aufwand in der Lage gewesen wäre, den Zuordnungsschlüssel zur Identifizierung der Betroffenen anzufordern. Entgegen der Auffassung von VW lag somit keine Anonymisierung vor.

Zudem stellte das Gericht fest, dass die Weitergabe der Daten durch Volkswagen an den US-Monitor eine Zweckänderung im Sinne von Art. 6 Abs. 4 DSGVO darstellte. Die ursprüngliche Datenerhebung hatte Beschäftigungszwecken gedient, die Übermittlung im Rahmen des Monitorships diente jedoch nicht dem unmittelbaren Zweck der Durchführung des Arbeitsverhältnisses. Auch konnte VW nicht darlegen, dass die Weiterverarbeitung im berechtigten Interesse des Arbeitgebers ohne gleichzeitige Verletzung der Betroffenenrechte standhielt.

Schließlich kritisierte das Gericht die Art und Weise der Information der betroffenen Personen. Zwar hatte VW Hinweise über das Monitorship im Intranet veröffentlicht, es fehlte jedoch an einer konkreten, gezielten und individuellen Information der betroffenen Mitarbeiterinnen und Mitarbeiter. Das Gericht bewertete das bloße Einstellen von pauschalen Informationen ohne aktive Kommunikation als unzureichend im Sinne der Transparenzpflichten nach Art. 13 und 14 DSGVO.

Bewertung: Die Entscheidung betont die strengen Anforderungen an die Transparenzpflichten gemäß Art. 13 DSGVO. Bei Übermittlungen an Dritte, wie den US-Monitor, kann auch Art. 14 DSGVO einschlägig sein, insbesondere wenn die Informationen nicht direkt von den Betroffenen erhoben wurden. Deutlich wird auch die restriktive Auslegung des Zweckbindungsprinzips nach Art. 5 Abs. 1 lit. b DSGVO. Aus Sicht der Aufsichtsbehörde ist zudem zu würdigen, dass eine kumulative Re-Identifizierbarkeit durch die Kombination mehrerer pseudonymisierter Datensätze ein nicht zu unterschätzendes Risiko darstellt.

Verwarnung 4: Fehlende Information bei EPA-Auditierung

Die vierte Verwarnung betraf die Datenverarbeitung im Rahmen einer zusätzlichen Auditierung, die auf Grundlage einer Verwaltungsvereinbarung zwischen VW und der US-Umweltbehörde EPA durchgeführt wurde. Ziel dieser Maßnahme war es, den Zugang zu öffentlichen Aufträgen in den USA langfristig abzusichern. Hierzu wurde ein Auditor eingesetzt, der das interne Compliance-Management-System weiterentwickeln und dessen Einhaltung überprüfen sollte.

Der LfD beanstandete jedoch, dass VW erneut personenbezogene Daten teils pseudonymisiert, teils mit Klarnamen versehen an diesen Auditor übermittelte, ohne die betroffenen Mitarbeiter ausreichend über Art, Umfang und Zweck der Datenverarbeitung zu informieren. Auch in diesem Fall stützte sich die Aufsichtsbehörde auf den Standpunkt, dass die Pseudonymisierung nicht zur Entpersonalisierung führt, wenn ein Dritter mit vertretbarem Aufwand die Zuordnung der Daten zu realen Personen erreichen kann. Das Gericht folgte dieser Argumentation und bewertete die Information durch VW ebenfalls als unzureichend. Allgemeine Hinweise oder eine verzögerte Information genügen den Anforderungen aus Art. 13 und 14 DSGVO nach Ansicht des Gerichts nicht.

Verwarnung 5: Fehlendes Verarbeitungsverzeichnis zu Beginn der Auditierung

Die fünfte Verwarnung betraf das Versäumnis von VW, zu Beginn der EPA-Auditierung ein eigenständiges Verarbeitungsverzeichnis gemäß Art. 30 DSGVO zu erstellen. VW argumentierte, das bereits existierende Verzeichnis aus dem Monitorship sei ausreichend. Das Gericht wies diese Argumentation jedoch zurück: Zwar gab es thematische Überschneidungen, doch handelte es sich um zwei formal eigenständige Datenverarbeitungsvorgänge mit unterschiedlichen Zwecken und Adressaten.

Das spätere Nachholen des Verzeichnisses wurde im Urteil zwar strafmildernd berücksichtigt, gleichwohl bewertete das Gericht die Verwarnung als rechtmäßig. Die Aufsichtsbehörde war demnach berechtigt, durch eine Verwarnung auf die Pflicht zur Dokumentation und deren Bedeutung für die Überprüfbarkeit datenschutzrechtlicher Vorgänge hinzuweisen.

Fazit: Das Gericht macht deutlich, dass ein separates Verzeichnis nach Art. 30 DSGVO auch bei formaler Nähe zu anderen Datenverarbeitungsvorgängen erforderlich ist, sofern sich Zweck oder Struktur der Verarbeitung unterscheiden. Aus Sicht der Aufsichtsbehörden stellt das Fehlen eines solchen Verzeichnisses zudem ein Indiz für strukturelle Defizite im Datenschutzmanagement dar.

Lese-Tipp: BfDI verhängt gegen Vodafone Bußgelder in Höhe von 45 Millionen Euro

Differenzierte Maßstäbe für internationale Compliance-Prozesse

Das Urteil veranschaulicht die schwierige Abwägung zwischen datenschutzrechtlichen Anforderungen und internationalen Compliance-Verpflichtungen. Einerseits gibt das Gericht der Behörde in Bezug auf Transparenz- und Dokumentationspflichten Recht, andererseits zeigt es die Grenzen der Eingriffsbefugnis bei technisch und juristisch vertretbaren Maßnahmen auf Seiten der Unternehmen auf.

Für Unternehmen bedeutet das Urteil:

  • Stärkung bei Interessenabwägungen und technischen Schutzmaßnahmen, sofern diese gut dokumentiert und verhältnismäßig sind.
  • Klarstellung der Informationspflichten auch bei pseudonymisierten Daten, insbesondere bei Weiterverarbeitung zu neuen Zwecken.
  • Verpflichtung zur eigenständigen Dokumentation bei abgrenzbaren Verarbeitungskontexten.


VW kann die Zulassung der Berufung beim Niedersächsischen Oberverwaltungsgericht beantragen.

Landgericht kassiert hohes DSGVO-Bußgeld gegen Volkswagen ein

In einem parallel geführten Verfahren vor dem Landgericht Hannover ging VW gegen ein Bußgeld des LfD in Höhe von 4,3 Millionen Euro vor. Das Bußgeld wurde insbesondere erhoben, weil Volkswagen seine Transparenzpflichten gegenüber den Beschäftigten verletzt haben soll.

„Das Landgericht Hannover stellte klar, dass die Offenlegung von Informationen im Rahmen des Monitorships entgegen der Argumentation des LfD keine erheblichen Risiken für die betroffenen Beschäftigten darstellte“, berichtet VWs Prozessvertreter Tim Wybitul in einem Blog-Eintrag auf LinkedIn.

Kurios: Zwar legte die Staatsanwaltschaft gegen das Urteil des Landgerichts Rechtsbeschwerde beim OLG Celle ein. Allerdings fehlte bei der Begründung die eigenhändige Unterschrift des zuständigen Staatsanwalts, sodass die Beschwerde wieder zurückgezogen werden musste. Das Urteil des Landgerichts Hannover ist somit rechtkräftig, VW muss kein Bußgeld zahlen.

Quelle: VW hat Datenschutz bei Aufarbeitung des Dieselskandals teilweise nicht beachtet – Pressemitteilung des Verwaltungsgerichts Niedersachsen

Kontakt aufnehmen
Tags:
Share this post :

Beliebte Kategorien

Newsletter

Abonnieren Sie unseren Datenschutz-Newsletter, um die neuesten Updates, Tipps und Erkenntnisse direkt in Ihren Posteingang zu erhalten.
Subscribe

Letzte Beiträge

de_DEGerman
en_USEnglish it_ITItalian fr_FRFrench de_DEGerman