Rechtmäßigkeit der Überwachung
Der italienische Essenslieferdienst Foodinho, eine Tochtergesellschaft des spanischen Unternehmens GlovoApp23, mit Sitz in Mailand, setzte eine Software zur Vergabe von Aufträgen an die insgesamt 19.000 Lieferfahrer des Unternehmens ein. Dabei fand die Vergabe durch eine automatisierte Entscheidungsfindung statt.
Bei dieser Form der Entscheidung handelt es sich um ein Profiling i.S.d. Art. 22 DSGVO „Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.” Für den Einsatz einer derartigen Software sind eine Vielzahl von Aspekten zu berücksichtigen, um die Nutzung überhaupt rechtskonform gestalten zu können.
Das Unternehmen hatte die Beschäftigten nicht ausreichend über die Funktionsweise des Systems informiert und nicht die Genauigkeit und Korrektheit der Ergebnisse der algorithmischen Systeme, die zur Bewertung der Fahrer eingesetzt werden, gewährleistet. Ebenso wurden keine Verfahren zum Schutz des Rechts auf menschliches Eingreifen, Meinungsäußerung sowie Anfechtung von Entscheidungen, die auf Grundlage der von Foodinho verwendeten Algorithmen getroffen wurden, implementiert. In diesem Zusammenhang wies die Behörde das Unternehmen an, Maßnahmen zu ergreifen, welche den Schutz der Betroffenenrechte beim Einsatz automatisierter Entscheidungen sicherstellen.
Bußgeldbescheid und eine Sammlung an Verstößen
Der Bußgeldbescheid steht mit einer Reihe von Inspektionen zum Umgang mit Arbeitnehmerdaten im Zusammenhang, die von der italienischen Datenschutzbehörde bei einigen der größten, in Italien tätigen Lebensmittellieferanten durchgeführt wurde. Im Vordergrund standen in der Untersuchung, zu dem der vorliegende Bescheid gehört, speziell Fahrer als Betroffene.
Das von der italienischen Behörde verhängte Bußgeld in Höhe von 2.600.000 Euro beruht zwar auf mehreren datenschutzrechtlichen Verstößen, insbesondere habe es aber Mängel bei den Algorithmen gegeben, die für die Verwaltung der Beschäftigten eingesetzt wurden.
Unter anderem seien die Beschäftigten nicht ausreichend über die Funktionsweise des Systems informiert worden. Darüber hinaus gab es kein Verfahren, welches eine Anfechtung der automatisiert getroffenen Entscheidung durch die betroffene Person ermöglicht. Dies wird jedoch von Art. 22 Abs. 3 DSGVO so vorgesehen.
Bei der Festlegung der Bußgeldhöhe wurde erschwerend berücksichtigt, dass eine hohe Zahl an Fahrern vom Vorfall betroffen sind und dass Foodinho im Laufe der Untersuchungen nicht mit der Datenschutzbehörde kooperiert hatte.
Im Folgenden finden Sie die Auflistung der Verstöße:
- Grundsätze für die Verarbeitung personenbezogener Daten
(Art. 5 Abs. 1 lit. a, c und e DSGVO) - Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Art. 13 DSGVO)
- Automatisierte Entscheidungen im Einzelfall, einschließlich Profiling
(Art. 22 Abs. 3 DSGVO) - Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen „Privacy by Design/Default“
(Art. 25 DSGVO) - Verzeichnis von Verarbeitungstätigkeiten
(Art. 30 Abs. 1 lit. a, b, c, f und g DSGVO) - Sicherheit der Verarbeitung (Art. 32 DSGVO)
- Datenschutz-Folgenabschätzung
(Art. 35 DSGVO) - Benennung eines Datenschutzbeauftragten
(Art. 37 Abs. 7 DSGVO)
Neben diesen Verstößen bemängelte die Behörde zudem folgende Punkte:
- Verletzung der Grundsätze der Datenminimierung und Speicherbegrenzung: Die Systeme haben Fahrerdaten verarbeitet, die weitaus umfassender waren als für den Verarbeitungszweck erforderlich. Außerdem sei die Speicherdauer der verschiedenen Datenarten nicht definiert worden.
- Es sind keine technischen und organisatorischen Maßnahmen implementiert worden, um ein angemessenes Schutzniveau für die Betroffenen herzustellen.
- Es wurde kein Verzeichnis von Verarbeitungstätigkeiten geführt und der Datenschutzbehörde sind keine Kontaktdaten des Datenschutzbeauftragten mitgeteilt worden.
Fehlen einer Datenschutz-Folgenabschätzung
Das Unternehmen ignorierte hier vollständig die Gefahr, die das Profiling i.S.d. Art. 22 DSGVO beinhaltet. Diese hätte mit einer Datenschutz-Folgenabschätzung deutlich minimiert werden können und müssen.
Im Hinblick auf die Erforderlichkeit einer Datenschutz-Folgenabschätzung verweist die Behörde hier darauf, dass eine Menge an Daten unterschiedlichster Art in Bezug auf eine Anzahl von Personen und über eine digitale Plattform verarbeitet worden sei. Diese Verarbeitung sei ausschließlich mittels Algorithmen erfolgt, um Angebot und Nachfrage aufeinander abzustimmen. Bei einem derartigen Verarbeitungsvorgang handele es sich um eine Verarbeitung, die innovativ sei, womit eine Datenschutz-Folgenabschätzung zwingend erforderlich gewesen wäre.
Die Arbeitsverteilung basiert zum einen auf einer digitalen Plattform, deren Betrieb auf komplexen Algorithmen beruht, zum anderen auf der Erstellung von Profilen, die durch die Erhebung vielfältiger Daten stattfinde. Diese könne für die betroffenen Beschäftigten sogar zu einem Ausschluss von Arbeitsmöglichkeiten führen, soweit der Algorithmus den Fahrern aufgrund der Datenanalyse keine Fahrten mehr zuweist. Gegen GlovoApp23 wird von der spanischen Datenschutzbehörde ein gesondertes Verfahren durchgeführt.
Relevanz des Datenschutz
In diesem Beispiel wird deutlich, wie wichtig der Datenschutz ist, weil mit seiner Hilfe vor Datenmissbrauch geschützt werden soll. Ein derartiger Schutz wird vor allem im Zusammenhang mit der Digitalisierung immer wichtiger.
Datenschutz bezeichnet allgemein den „Schutz von personenbezogenen Daten“. Er soll somit die Rechte eines Individuums in Bezug auf seine Daten schützen.
Bedeutung des Datenschutzbeauftragten
In diesem Beitrag wird auf die signifikante Bedeutung des Datenschutzbeauftragten hingewiesen, der im Betrieb zur Vorbeugung von Verstößen und für datenschutzkonformes Arbeiten zuständig ist.
Der Datenschutzbeauftragte ist Ansprechpartner sowohl für den Arbeitgeber als auch für die Arbeitnehmer oder den Betriebsrat. Auch Externe, wie Kunden, Vertragspartner oder Lieferanten, können sich an den Datenschutzbeauftragten wenden.
Ebenso kann der Datenschutzbeauftragte bei der Schulung der Mitarbeiter eingebunden werden. So können die Mitarbeiter mit den datenschutzrechtlichen Anforderungen ihrer täglichen Arbeit vertraut gemacht werden.
Der Datenschutzbeauftragte arbeitet zugleich mit der Aufsichtsbehörde zusammen, er ist Anlaufstelle im Zusammenhang mit allen datenschutzrechtlichen Fragestellungen.
Fazit
Bei einer konkreten Überwachung Ihres Unternehmens informieren Sie Ihren Datenschutzbeauftragten, um den DSGVO-konformen Aufbau zu gewährleisten, Ihre Mitarbeiter zu schützen und um ein unnötiges Bußgeld zu vermeiden.