Spanien: Bußgeld in Höhe von 2 Mio. EUR gegen Amazon Road Transport Spain
Am 11. Februar 2022 wurde durch die spanische Datenschutzbehörde ein Bußgeld in Höhe von 2 Mio. EUR gegen das spanische Transportunternehmen Amazon Road Transport Spain S.L. verhängt. Der Grund dafür war ein Datenschutzverstoß wegen der unrechtmäßigen Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen im Sinne des Art. 10 der europäischen Datenschutz-Grundverordnung (DSGVO) und dem damit einhergehenden Drittland-Transfer der Daten in die USA auf Grundlage des durch den Europäischen Gerichtshof (EuGH) im Jahr 2020 gekippten Privacy Shields.
Das Unternehmen forderte von Bewerbern einen Nachweis über das Vorliegen von Vorstrafen in deren Lebensläufen. Dabei wurde fälschlicherweise verkannt, dass personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten unter Art. 10 DSGVO fallen und eine Verarbeitung derartiger Daten in der Regel nur unter behördlicher Aufsicht vorgenommen werden darf, oder bei der Vorlage von geeigneten Garantien für die Rechte und Freiheiten der betroffenen Personen zulässig ist, wenn dies nach dem Unionsrecht bzw. dem Recht der Mitgliedstaaten erfolgt. Zudem verlangte das Unternehmen eine Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO dafür, dass die personenbezogenen Daten in Länder außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraumes an verbundene Unternehmen (Holdinggesellschaften und Tochterunternehmen von Amazon) übermittelt werden dürfen. Diese Übermittlung der Bewerberdaten in die USA an ein durch Amazon zur Überprüfung der Nachweise beauftragtes Unternehmen (Accurate Background Inc.), wurde auf der Grundlage des ungültigen Privacy-Shields vorgenommen. Die bußgeldbegründende Beschwerde stammte von der spanischen Gewerkschaft Unión General de Trabajadores.
Aus diesem Grund sollten personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten nur im Einklang mit Art. 10 DSGVO verarbeitet werden und auch nur nach vorheriger detaillierter datenschutzrechtlicher Bewertung oder Absprache mit einer datenschutzrechtkundigen Person. Auch sollten Unternehmen darauf achten, dass eine Übermittlung von personenbezogenen Daten in die USA auf der Grundlage des Privacy Shields bereits seit dem 16. Juli 2020 nicht mehr zulässig ist. Deshalb sollten entsprechende Anpassungen in Ihrer datenschutzrechtlichen Dokumentation bzw. Datenschutzerklärung vorgenommen und eine zulässige Alternative für eine Übermittlung in die USA verwendet werden.
Vor Kurzem erging hierzu auch ein Urteil in Deutschland durch das Oberlandesgericht Dresden im Zusammenhang mit der Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten, wobei der Geschäftsführer einer GmbH persönlich und die Gesellschaft selbst als Gesamtschuldner für den Verstoß die Haftung trugen. Falls Sie Interesse an weiteren Themen oder aktuellen News aus dem Datenschutz besitzen, können Sie hier interessante Beiträge finden! Gerne unterstützen unsere zertifizierten Branchenexperten Sie auch bei der datenschutzrechtlichen Optimierung Ihres Unternehmens und begleiten Sie bei den einzelnen Prozessen und der Umsetzung, um etwaige Verstöße zu vermeiden. Hierzu können Sie ganz einfach einen kostenfreien Beratungstermin buchen.
Herr Dennis Dase hat sein Studium des Wirtschaftsrechts an der Hochschule Osnabrück abgeschlossen und ist seitdem als Consultant für das Rechtsgebiet Datenschutz tätig. Zusätzlich besitzt Herr Dase eine Zertifizierung als Datenschutzbeauftragter und Datenschutzauditor (TÜV) und zeichnet sich durch seine hohe IT-Affinität und juristische Expertise im Datenschutzrecht aus. Herr Dase unterstützt als externer Datenschutzbeauftragter und Datenschutzauditor internationale Konzerne, kleine und mittlere Unternehmen (KMU) und Start-ups bei der praxisnahen Umsetzung datenschutzrechtlicher Anforderungen unter Berücksichtigung der wirtschaftlichen Interessen der Unternehmen.
