Die spanische Datenschutzaufsicht Agencia Española de Protección de Datos (AEPD) hat ein Bußgeld gegen ein Unternehmen verhängt, weil Beschäftigte verpflichtet wurden, ihr privates Smartphone für die Zwei-Faktor-Authentifizierung (2FA) bei dienstlichen Systemen zu nutzen. Für den Zugriff auf eine Plattform eines Auftraggebers mussten Mitarbeiter einen Authentifizierungscode per SMS auf ihrem privaten Mobiltelefon empfangen. In diesem Zusammenhang wurden personenbezogene Daten der Beschäftigten, insbesondere ihre Telefonnummern, an einen externen Dienstleister übermittelt. Nach Auffassung der Aufsichtsbehörde fehlte hierfür eine ausreichende Rechtsgrundlage nach Art. 6 DSGVO.
Der Fall
Ausgangspunkt des Verfahrens war eine Beschwerde von Arbeitnehmervertretern. Das Unternehmen hatte im Rahmen eines Kundenprojekts Zugang zu einer externen Plattform eingerichtet, für deren Nutzung eine Zwei-Faktor-Authentifizierung erforderlich war. Da nicht alle Beschäftigten über dienstliche Mobiltelefone verfügten, mussten sie ihre privaten Telefonnummern hinterlegen, um die SMS-Codes für die Anmeldung zu erhalten. Dabei wurden mehrere personenbezogene Daten der Beschäftigten an den Auftraggeber übermittelt, darunter Name, Ausweisnummer, Geschlecht, Telefonnummer, Nationalität sowie weitere Identifikations- und Beschäftigungsdaten. Insgesamt waren 203 Beschäftigte betroffen. Da der Zugriff auf die Plattform ohne diese Registrierung nicht möglich war, stellte die Nutzung der privaten Telefonnummer faktisch eine Voraussetzung für die berufliche Tätigkeit dar.
Keine ausreichende Rechtsgrundlage nach Art. 6 DSGVO
Das Unternehmen argumentierte, die Datenübermittlung sei zur Erfüllung des Arbeitsverhältnisses beziehungsweise der Dienstleistung erforderlich gewesen und könne daher auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden. Die AEPD folgte dieser Argumentation jedoch nicht. Nach Auffassung der Behörde war die Nutzung privater Telefonnummern nicht objektiv notwendig, um die arbeitsvertraglichen Pflichten zu erfüllen. Vielmehr sei es grundsätzlich Aufgabe des Arbeitgebers, die für die Arbeitsleistung erforderlichen Mittel bereitzustellen. Die Verpflichtung, private Geräte oder private Kontaktdaten für dienstliche Zwecke zu verwenden, könne daher nicht ohne Weiteres als verhältnismäßige Maßnahme angesehen werden.
Auch eine mögliche Einwilligung der Beschäftigten wurde nicht als tragfähige Rechtsgrundlage angesehen. Aufgrund des strukturellen Abhängigkeitsverhältnisses im Arbeitsverhältnis kann eine Einwilligung häufig nicht als freiwillig gelten.
Bußgeld
Die Aufsichtsbehörde bewertete den Vorgang als unzulässige Verarbeitung personenbezogener Daten nach Art. 6 DSGVO. Zunächst wurde ein Bußgeld von 80.000 Euro festgesetzt. Da das Unternehmen die Verantwortung anerkannte und die Strafe freiwillig beglich, reduzierte sich der Betrag um 40 %. Die endgültige Sanktion betrug 48.000 Euro.
Darüber hinaus wurde das Unternehmen verpflichtet, organisatorische Maßnahmen umzusetzen und künftig sicherzustellen, dass Beschäftigte nicht mehr ihre privaten Telefonnummern für Authentifizierungsprozesse verwenden müssen.
Fazit
Die Entscheidung verdeutlicht, dass die Nutzung privater Geräte oder Kontaktdaten von Beschäftigten für betriebliche IT-Prozesse datenschutzrechtlich sorgfältig geprüft werden muss. Unternehmen können sich nicht allein darauf berufen, dass solche Maßnahmen technisch praktikabel sind. Entscheidend ist vielmehr, ob eine geeignete Rechtsgrundlage nach der DSGVO vorliegt und ob die Maßnahme tatsächlich erforderlich und verhältnismäßig ist.
Gerade bei Sicherheitsmaßnahmen wie der Zwei-Faktor-Authentifizierung sollten Unternehmen frühzeitig prüfen, ob datenschutzkonforme Alternativen bestehen, etwa durch die Bereitstellung von Dienstgeräten oder andere Authentifizierungsverfahren. Zudem zeigt der Fall, dass Maßnahmen im Beschäftigungskontext häufig nicht ohne Weiteres auf Art. 6 Abs. 1 lit. b DSGVO gestützt werden können und eine Einwilligung von Beschäftigten wegen des bestehenden Abhängigkeitsverhältnisses regelmäßig keine belastbare Rechtsgrundlage darstellt. Unternehmen sollten daher bereits bei der Einführung technischer Sicherheitslösungen prüfen, ob die Verarbeitung von Beschäftigtendaten den Grundsätzen der Erforderlichkeit, Datenminimierung und Zweckbindung nach Art. 5 DSGVO entspricht.
Bereit, die Verantwortung an einen externen Datenschutzbeauftragten zu übergeben?
Kontaktieren Sie uns noch heute, um zu erfahren, wie wir Ihr Unternehmen in Fragen des Datenschutzes und der Datenschutz-Compliance unterstützen können.
