Zum Sachverhalt:

Durch einen Nachrichtenbericht erfuhr die norwegische Datenschutzbehörde, dass das Mautunternehmen Daten von Fahrzeugen, die Mautstellen passieren, an einen Datenverarbeiter in China übermittelt. Auf dieser Grundlage leitete die Datenschutzbehörde eine Untersuchung ein, ob das Unternehmen Prozesse und Maßnahmen etabliert hat, die eine ausreichende Daten- und Informationssicherheit der nach China übermittelten Daten gewährleistet.

Das Mautunternehmen selbst ist für die Registrierung von Durchfahrten an Mautstellen zuständig. Eine Registrierung erfolgt dabei in der Regel (insbesondere für einheimische KFZs) mittels integrierten Chips. Kann der Chip bei Durchfahrt nicht registriert werden, wird automatisiert ein Foto vom Kennzeichen des Autos erstellt und soweit möglich durch automatisierte digitale Zeichenerkennung ausgewertet.

In Fällen, in denen die Bildqualität nicht gut genug ist, um automatisiert ausgewertet zu können, wird das Bild in die manuelle Verarbeitung überführt. Zum Zwecke dieser manuellen Bildbearbeitung, z.T. verbunden mit digitaler Aufbereitung, und Auswertung hatte das Mautunternehmen einen externen Dienstleister beauftragt. Zur Auftragsdurchführung setzte der Dienstleister dabei Mitarbeiter mit Sitz in China ein, die mittels Fernzugriffs die Bilddaten auswerteten und bearbeiteten.  

Im Rahmen der Ermittlungen forderte die Aufsichtsbörde daher die Vertragsunterlagen zur Auftragsverarbeitung, sowie Risiko- und Gefährdungsbeurteilung des Auftragsverarbeiters ein. Beides legte das Mautunternehmen nur in undatierter Form vor.

Datenschutzrechtliche Beurteilung:

Aufgrund dieser mangelhaften Dokumentation kam die Aufsichtsbehörde zu dem Schluss, dass das Mautunternehmen schuldhaft nicht nachweisen kann, dass sowohl die vertraglich notwendigen Grundlagen durch einen Vertrag zur Auftragsdatenverarbeitung, als auch Risikobeurteilung des Dienstleisters vor Aufnahme der Tätigkeit des Auftragsverarbeiters vorlagen.  Nach Artikel 28 Abs. 1 DSGVO darf eine Auslagerung einer Datenverarbeitung nur an solche Auftragsverarbeiter erfolgen, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang zur DSGVO und den Schutz der Rechte der betroffenen Person erfolgt.

Dies macht zum einen deutlich, dass die vertragliche Grundlage im Rahmen eines Auftragsverarbeitungsvertrags, nachweislich vor Aufnahme der Tätigkeit des Auftragsverarbeiters dokumentiert und nachweislich fixiert sein muss (vgl. Art. 28 Abs. 3 DSGVO). Zum anderen betont die Aufsichtsbehörde, dass daneben eine positiv ausfallende Risikobewertung des Dienstleisters hätte vorliegen müssen, um die Geeignetheit des Auftragsverarbeiters vorab nachweisen zu können.

Sowohl der Verantwortliche als auch die Auftragsverarbeiter sind verpflichtet, sicherzustellen, dass die Informationen mit angemessener Informationssicherheit behandelt werden, siehe Artikel 32 DSGVO. Eine Abschätzung der mit der Verarbeitung verbundenen Risiken ist besonders wichtig, wenn personenbezogene Daten in Länder außerhalb der EU / des EWR übermittelt werden und die Vorschriften der Art 44. ff DSGVO beachtet werden müssen.

Da diese Risikobewertung nicht vor Tätigkeitsaufnahme nachgewiesen werden konnte, sah die Aufsichtsbehörde hierin zudem einen Verstoß gegen Art. 32 Abs. 2 i.V.m. Art. 5 Abs. 1 lit f, Abs. 2 DSGVO.

Fazit:

Das Bußgeld der norwegischen Datenschutzbehörde zeigt einmal mehr, dass sich die Aufsichtsbehörden der Mitgliedsstaaten der EU mittlerweile gefunden, aufgestellt haben und nun konsequent die Anforderungen des Datenschutzes beaufsichtigen und Verstöße entsprechend sanktionieren.

Insbesondere wird auch an diesem Bußgeld deutlich, dass bei Kontrollen der Aufsichtsbehörden sowohl die rechtskonforme Beauftragung von Auftragsverarbeitern, als auch die Übermittlung von personenbezogenen Daten in – unsichere – Drittsatten, klar in deren Prüffokus liegen. Klar wird zudem, dass eine ordentliche Dokumentation und Etablierung von Prozessen beim Einsatz von externen Dienstleistern essentiell ist, um der datenschutzrechtlichen Rechenschaftspflicht nachkommen zu können. So bietet es sich im Rahmen der Risikoanalyse u.a. an, eine Richtlinie zu Daten- und Informationsklassifizierung zu implementieren, verbunden mit einer Schutzniveaufestlegung für bestimmte Datenkategorien.

Auch wenn sich die Untersuchungen in diesem Fall bereits auf den Zeitraum zwischen September 2017 bis Oktober 2019 beschränkt haben, so wird doch eines einmal mehr deutlich:

Datenübermittlungen in Drittländer sind klarer Prüfungsgegenstand, sodass nunmehr auch die betrieblichen Umsetzungen des Schrems-II-Urteils immer mehr in den Blickwinkel der Aufsichtsbehörden geraten werden.

Interessant ist in diesem Zusammenhang außerdem, dass die norwegische Aufsichtsbehörde im Rahmen des Verschuldens deutlich betont, dass solch fahrlässiges Verhalten der Fachabteilung dem Vorstand im Rahmen seiner Überwachungsfunktion aus dem norwegischen Aktiengesetz zuzurechnen ist. Diese Haftungsreglungen lassen sich grundsätzlich auch auf deutsche Gesellschaften übertragen (vgl. z.B. § 77 AktG. § 35 GmbHG). Dies macht aufgrund der z.T. persönlichen Haftung der Geschäftsführung deutlich, dass der Datenschutz als Compliancefunktion im Rahmen einer Pflichtendelegation (horizontal/vertikal) im Unternehmen nicht nur implementiert, sondern auch nachgehalten werden muss.