Italienische Datenschutzaufsichtsbehörde
Die italienische Datenschutzbehörde GARANTE PER LA PROTEZIONE DIE DATI PERSONALI (GPDP) hat am 10. Juni 2021 gegen den Flughafen Bologna ein Bußgeld in Höhe von 40.000 € verhängt, Az. 9685922. Das betroffene Unternehmen hatte einen Anbieter bzw. Auftragsverarbeiter mit der Bereitstellung eines digitalen Hinweisgebersystems beauftragt. Nutzer konnte darüber – auch anonym – Hinweise über gesetzliche Unregelmäßigkeiten abgeben. Der italienische Rechtsrahmen sieht dazu für den öffentlichen und auch privaten Bereich insbesondere vor, dass Hinweisgeber, die ihre Identität offenlegen, vor Repressalien und diskriminierenden Maßnahmen geschützt werden sollen.
Beauftragung eines digitalen Hinweisgebersystems
Der Anbieter verwendete schon kein sicheres Netzwerkprotokoll (noch nicht einmal das https-Protokoll) für den Datentransfer, obwohl das Hinweisgebersystem über das Internet zugänglich ist. Auch die in der Datenbank gespeicherten Daten wurden nicht verschlüsselt. Des Weiteren wurden über eine Firewall-Konfiguration Protokolldaten über das Navigationsverhalten der Benutzer des Hinweisgebersystems gespeichert. Darüber hinaus hatte das betroffene Unternehmen keine Datenschutz-Folgenabschätzung bei Implementierung des Whistleblower-Systems durchgeführt.
Die italienische Datenschutzbehörde sah in dem Verhalten des betroffenen Unternehmens gleich mehrere Verstöße gegen die Vorgaben der Datenschutz-Grundverordnung („DSGVO“) und verhängte ein Bußgeld von 40.000 €:
Fehlende Verschlüsselung – Verstoß gegen Art. 32 DSGVO
Die italienische Datenschutzbehörde sah einen Verstoß gegen die verpflichtende Implementierung von technischen und organisatorischen Maßnahmen gemäß Art. 32 Abs. 1 lit. a und Art. 5 Abs. 1 lit. f) DSGVO, indem das Unternehmen keine geeigneten Verschlüsselungsmechanismen für den Transport und die Speicherung der Hinweise implementiert hat. Das http-Protokoll (Hypertext Transfer Protocol) kann die Vertraulichkeit sowie Integrität der Daten in den Hinweisen, die zwischen dem Browser des Hinweisgebers und dem Server des Anbieters ausgetauscht werden, nicht gewährleisten. Ferner kann die Authentizität der Webseite des Hinweisgebersystems durch den Hinweisgeber nicht überprüft werden. Es wurde ferner beanstandet, dass die Daten der Hinweise in der Datenbank des Hinweisgebersystems unverschlüsselt gespeichert wurden.
Die italienische Datenschutzbehörde hob dabei insbesondere auch hervor, dass die Art der Daten des Hinweises und der hohen Risiken, die sich aus einem Missbrauch dieser Daten ergeben können, einen hohen Verschlüsselungsmechanismus erforderlich machen.
Das Argument des betroffenen Unternehmens, dass die weitergehenden Datensicherungsmaßnahmen weitere Kosten verursacht hätten, änderte für die Datenschutzbehörde nichts an einem Verstoß. Zudem ist das betroffene Unternehmen auch dann für die Einhaltung solcher Maßnahmen verantwortlich, wenn ein Auftragsverarbeiter handelt.
Unzulässigkeit von Protokollierungen – Verstoß gegen Art. 25 DSGVO
Beachtlich und häufig in der Praxis unberücksichtigt war die Beanstandung der Datenschutzaufsichtsbehörde, dass die Protokollierung von Navigationsvorgängen von Hinweisgebern auf der Webseite des Whistleblowersystems einen Verstoß gegen Art. 5 Abs. 1 lit. f), Art. 25 und Art. 32 DSGVO darstelle.
Durch eine Firewall-Konfiguration wurden Zugriffe von Mitarbeitern auf die Webseite des Hinweisgebersystems mit Arbeitsplätzen oder persönlichen Geräten, die mit dem Unternehmensnetzwerk verbunden waren, in Protokolldateien gespeichert und 90 Tage aufbewahrt. Darunter befanden sich u.a. die IP-Adresse und – wegen einer Verbindung mit dem Active Directory – auch der Benutzername.
Dies stellte einen Verstoß gegen den Grundsatz „Datenschutz durch Technik“ und „Datenschutz durch datenschutzfreundliche Voreinstellungen“ gemäß Art. 25 DSGVO dar. Hinweisgebersysteme sind daher so zu gestalten, dass keine Protokolldateien gespeichert werden. Ansonsten ist die Vertraulichkeit und die Anonymität gefährdet.
Fehlende Datenschutz-Folgenabschätzung
Die italienische Datenschutzaufsichtsbehörde beanstandete zudem, dass das betroffene Unternehmen keine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchgeführt hatte. Dies hätte bei der Implementierung eines Hinweisgebersystems aber erfolgen müssen. Die Hinweise können sensible Daten enthalten. Sie können Informationen über mutmaßliche Gesetzesverstöße beinhalten und massive Folgen für den Beschuldigten und den Hinweisgeber haben. Damit bestehen besondere Risiken für die Rechte und Freiheiten der betroffenen Personen.
Mit unserer Hintbox alle Anforderungen umsetzen
Die Entscheidung der italienischen Datenschutzaufsichtsbehörde zeigt zwei Aspekte: Erstes kann grds. nur durch ein digitales Hinweisgebersystem die Vertraulichkeit und Anonymität gewährleistet werden. Zweitens setzt ein solches Whistleblowersystem die Umsetzung von einigen technischen Maßnahmen voraus. Unsere Hintbox setzte alle Anforderungen des Datenschutzrechts und die Vorgaben der Datenschutzaufsichtsbehörden rechtskonform um.
Ende-zu-Ende-Verschlüsselung und Datenbankverschlüsselung
Sämtliche Hinweise und Kommunikation zwischen dem Hinweisgeber und Compliance-Beauftragten ist Ende-zu-Ende verschlüsselt. Zudem werden die Daten in der Datenbank nochmals verschlüsselt. Die Daten werden in einem ISO-27001 zertifizierten Rechenzentrum in Deutschland gehostet.
Kein Tracking von IP-Adressen oder anderen Gerätedaten
Es werden keine Daten oder Informationen, wie die IP-Adresse oder sonstige Gerätedaten, bei der Nutzung unseres Hinweisgebersystems gespeichert. Nur dadurch kann die Vertraulichkeit und Anonymität sichergestellt werden.
Wir unterstützen Sie bei Ihrer Datenschutz-Folgenabschätzung
Selbstverständlich unterstützten wir Ihr Unternehmen kostenlos bei Ihrer Datenschutz-Folgenabschätzung, sodass Sie alle Vorgaben des Art. 35 DSGVO schnell und korrekt umsetzen können.