Fran­zö­si­sche Daten­schutz­auf­sicht ver­hängt Buß­geld in Höhe von 400.000 Euro

Die fran­zö­si­sche Daten­schutz­auf­sichts­be­hör­de, die Com­mis­si­on Natio­na­le de l’Informatique et des Liber­tés (CNIL), hat ein Buß­geld in Höhe von 400.000 Euro gegen den staat­li­chen Betrei­ber des öffent­li­chen Per­so­nen­nah­ver­kehrs in Paris, die Régie auto­no­me des trans­ports Pari­si­ens (RATP,) ver­hängt.

Grund dafür war unter ande­rem die an drei Stand­or­ten der RATP fest­ge­stell­te Pra­xis, bei Mit­ar­bei­tern, die vor einer mög­li­chen Beför­de­rung stan­den, in den jewei­li­gen Unter­la­gen neben der Anzahl der Abwe­sen­heits­ta­ge auch die Anzahl der Streik­ta­ge geson­dert auf­zu­füh­ren. Nach Ansicht der CNIL war die Anga­be der Anzahl der Streik­ta­ge nicht erfor­der­lich, um über die Beför­de­rung zu ent­schei­den, da hier­für die Anga­be der Gesamt­zahl der Abwe­sen­heits­ta­ge aus­reich­te. Die sepa­ra­te Auf­lis­tung der Streik­ta­ge stellt daher nach Ansicht der CNIL einen Ver­stoß gegen den Grund­satz der Daten­mi­ni­mie­rung (Art. 5 Abs. 1 lit. c DSGVO) dar.

Bei ihren Kon­trol­len stell­te die CNIL auch Unzu­läng­lich­kei­ten bei der Daten­spei­che­rung und Män­gel bei der Sicher­heit der Ver­ar­bei­tung fest. In Bezug auf die Spei­che­rung von Per­so­nal­da­ten stell­te die CNIL fest, dass die Daten mit­un­ter län­ger gespei­chert wur­den, als für die Errei­chung des beab­sich­tig­ten Zwecks erfor­der­lich war: So bewahr­te die RATP die Unter­la­gen zur Per­so­nal­be­ur­tei­lung im Rah­men des Beför­de­rungs­ver­fah­rens mehr als drei Jah­re auf, obwohl die­se nur 18 Mona­te auf­be­wahrt wer­den muss­ten. Nach Ansicht der CNIL stellt dies einen Ver­stoß gegen den Grund­satz der Spei­cher­be­gren­zung (Art. 5 Abs. 1 lit. e DSGVO) dar.

In Bezug auf die Sicher­heit der Ver­ar­bei­tung (Art. 32 DSGVO) stell­te die CNIL fest, dass die RATP bei der Daten­ver­ar­bei­tung nicht aus­rei­chend zwi­schen den Funk­tio­nen der Mit­ar­bei­ter unter­schei­de, und bemän­gel­te, dass die jeweils zustän­di­gen Mitarbeiter

  • unab­hän­gig von ihrer jewei­li­gen Funk­ti­on Zugang zu allen Daten­ka­te­go­rien hat­ten (ins­be­son­de­re Daten der Personalabteilung);
  • nicht nur Zugriff auf die Daten ihres Stand­orts hat­ten, son­dern auch auf die Daten aller ande­ren Stand­or­te der RATP;
  • die Daten der gesam­ten Daten­bank expor­tie­ren konnten.

Die Ent­schei­dung der CNIL unter­streicht ein­mal mehr die beson­de­re Bedeu­tung des Daten­schut­zes im Arbeits­ver­hält­nis und zeigt, dass die euro­päi­schen Daten­schutz­auf­sichts­be­hör­den gera­de im Hin­blick auf die Grund­sät­ze der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten mitt­ler­wei­le stren­ge Maß­stä­be anlegen.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.