Die italienische Datenschutzaufsichtsbehörde (Garante per la protezione dei dati personali) hat mit Beschluss vom 17.7.2024 einen großen Energieversorger mit einem Bußgeld in Höhe von 5 Millionen Euro belegt. Anlass waren zahlreiche Beschwerden von Betroffenen, die ohne ihre Zustimmung Verträge zur Energieversorgung erhalten hatten. Zudem hatten einige Betroffene vergeblich versucht, ihre Betroffenenrechte geltend zu machen, da der Energieversorger nicht rechtzeitig auf ihre Anfragen reagierte. Die Untersuchung der Behörde deckte Mängel bei der Überwachung und Steuerung der beauftragten Datenverarbeiter auf.
Ungewollte Verträge
Mehrere Betroffene beschwerten sich bei der italienischen Datenschutzbehörde, nachdem sie Dokumente zu Energieverträgen erhalten hatten, die sie nie abgeschlossen hatten. Trotz mehrfacher Versuche, ihre Datenschutzrechte geltend zu machen – etwa das Recht auf Auskunft gemäß Art. 15 DSGVO – erhielten sie keine oder verspätete Antworten vom Unternehmen.
Die Untersuchung ergab, dass der Energiekonzern seine Tür-zu-Tür-Werbung und den Vertragsabschluss an externe Dienstleister ausgelagert hatte. Diese agierten als Auftragsverarbeiter und erhielten unter anderem Ausweisdaten und handschriftliche Unterschriften der Betroffenen, um Verträge abzuschließen. Es stellte sich jedoch heraus, dass einige Mitarbeiter der Dienstleister die Unterschriften der Betroffenen fälschten und auf diese Weise Energieverträge ohne deren Wissen und Zustimmung abschlossen.
Verantwortung des Unternehmens trotz externer Auftragsverarbeiter
Die italienische Behörde stellte klar, dass der Energiekonzern gemäß Art. 5 Abs. 2 DSGVO für die Datenverarbeitungstätigkeiten seiner Auftragsverarbeiter im Rahmen seiner Rechenschaftspflicht haftet. Auch wenn das Unternehmen die Verarbeitung nicht selbst durchgeführt hatte, blieb es dennoch verantwortlich für die Verstöße. Die Missachtung der DSGVO durch einen Auftragsverarbeiter entbindet den Verantwortlichen nicht von seinen Pflichten.
Anknüpfungspunkt dafür ist Art. 28 Abs. 1 DSGVO. Danach dürfen datenschutzrechtlich Verantwortliche nur dieser nur mit solchen Auftragsverarbeitern kooperieren, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die jeweilige Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Obwohl der Energiekonzern Kontrollmaßnahmen, wie etwa Telefonanrufe („Check Calls“) und das Versenden von Willkommensbriefen, eingerichtet hatte, um die Korrektheit der Verträge sicherzustellen, waren die Anforderungen aus Art. 28 Abs. 1 DSGVO nach Ansicht der italienischen Behörde nicht erfüllt, da die eingerichteten Mechanismen nicht dazu führten, dass betrügerische Verträge gestoppt wurden, was im Ergebnis zu einer Vielzahl unrechtmäßiger Energieabrechnungen für Betroffene führte.
Der Energiekonzern hatte insbesondere versäumt, regelmäßige Audits durchzuführen und sicherzustellen, dass die Dienstleister im Einklang mit der DSGVO arbeiteten. Dadurch konnten Mitarbeiter der Auftragsverarbeiter fortgesetzt in erheblichem Maße gegen datenschutzrechtliche Grundsätze verstoßen.
Verzögerte Antworten auf Auskunftsanfragen
Darüber hinaus rügte die Behörde das sanktionierte Unternehmen, weil es die Anfragen von Betroffenen zur Ausübung ihrer Rechte nach Art. 15 in Verbindung mit Art. 12 Abs. 3 DSGVO verspätet beantwortet hatte.
Fazit: Fortlaufende Verantwortung für die Auswahl und Überwachung von Auftragsverarbeitern
Bemerkenswert an der Entscheidung ist, dass der in den vergangenen Jahren zunehmend ins Blickfeld gerückte Art. 28 Abs. 1 DSGVO weiter an Bedeutung gewinnt. Die Praxis der deutschen Aufsichtsbehörden hat die Auswahlverantwortung des datenschutzrechtlich verantwortlichen Akteurs vor allem seit der Tätigkeit der Arbeitsgruppe „Microsoft-Onlinedienste“ und des entsprechenden Abschlussberichtes aus dem Jahr 2022 im Blick.
Die italienische Behörde unterstreicht nunmehr neben der initialen Auswahlverantwortung des Verantwortlichen gemäß Art. 28 Abs. 1 DSGVO auch dessen dauerhafte Überwachungsobliegenheit hinsichtlich der Einhaltung der DSGVO durch den Auftragsverarbeiter. Der Verantwortliche muss während der gesamten Zusammenarbeit mit einem Auftragsverarbeiter dafür sorgen, dass dieser die DSGVO-Vorgaben einhält. Regelmäßige Überprüfungen sind somit zwingend erforderlich, um Datenschutzverletzungen vorzubeugen.
Der Beschluss der Behörde nimmt überraschend nicht Art. 28 Abs. 10 DSGVO in den Blick, wonach ein Auftragsverarbeiter, der unter Verstoß gegen die DSGVO die Zwecke und Mittel der Verarbeitung bestimmt, in Bezug auf diese Verarbeitung als Verantwortlicher anzusehen ist. Entsprechende Ausführungen wären hinsichtlich des Zusammenspiels von Verantwortlichem und Auftragsverarbeiter aufschlussreich gewesen und könnten in einem gerichtlichen Verfahren zum Thema werden, welches der sanktionierte Energieversorger anstrengen dürfte.
Im Ergebnis ist und war Art. 28 Abs. 1 DSGVO so zu verstehen, dass eine Zusammenarbeit mit Auftragsverarbeitern ab dem Zeitpunkt nicht mehr gestattet ist, ab dem entsprechende Garantien nicht mehr gewährleistet sind – was sich auch aus dem allgemeinen Accountability-Grundsatz in Artt. 5 Abs. 2, 24 DSGVO ergibt. Insofern ist eine vernünftig gehandhabte Ausübung von Überprüfungen durch den Verantwortlichen und auch nach Erteilung eines Auftrags eine entsprechende Begleitung der Auftragsverarbeitung angezeigt. Bei Fragen zur Umsetzung der DSGVO oder zur Auswahl und Überwachung von Auftragsverarbeitern unterstützen wir Sie gerne.