Die polnische Datenschutzbehörde (UODO) hat eine Geldbuße von fast 4 Millionen Euro (16,9 Mio. PLN) gegen McDonald’s Polska verhängt. Der Grund: eine Kette von Versäumnissen bei der Sicherung von Mitarbeiterdaten, die zu einem schweren Datenleck führten. Der Fall ist ein Lehrstück darüber, dass die Verantwortung für den Datenschutz nicht einfach an externe Dienstleister ausgelagert werden kann und dass grundlegende DSGVO-Prinzipien wie die Datenminimierung keine Nebensache sind.
Der Fall: Ungesicherte Mitarbeiterdaten in einem öffentlichen Verzeichnis
McDonald’s Polska hatte die Verwaltung der Arbeitspläne seiner Mitarbeiter an einen externen Dienstleister (einen Auftragsverarbeiter) ausgelagert. Durch eine fehlerhafte Serverkonfiguration bei diesem Dienstleister wurde eine Datenbankdatei mit hochsensiblen Mitarbeiterdaten in einem öffentlich zugänglichen Verzeichnis abgelegt.
Die geleakten Daten umfassten nicht nur Namen und Arbeitszeiten, sondern auch hochriskante Informationen wie PESEL-Nummern (polnische nationale Identifikationsnummern) und Passnummern. Ein unbefugter Dritter konnte auf diese Datei zugreifen.
Die Entscheidung der Behörde: Ein „perfekter Sturm“ an DSGVO-Verstößen
Die UODO stellte eine ganze Reihe von schweren Verstößen fest, die sowohl den Verantwortlichen (McDonald’s) als auch den Auftragsverarbeiter betrafen:
- Keine Risikoanalyse und fehlende Sicherheitsüberprüfung: Weder McDonald’s noch der Dienstleister hatten eine angemessene Risikoanalyse für den Prozess durchgeführt. Entscheidend ist: McDonald’s hat den Dienstleister nicht ausreichend überprüft und sich nur auf eine frühere Zusammenarbeit im PR-Bereich verlassen. Die Pflicht zur regelmäßigen Überprüfung und Bewertung der Sicherheitsmaßnahmen wurde von beiden Seiten ignoriert.
- Verletzung der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO): Die Behörde kritisierte scharf, dass zur Identifizierung der Mitarbeiter hochsensible PESEL- und Passnummern verwendet wurden. Diese Daten waren für die Verwaltung von Arbeitsplänen völlig unnötig. Ein einfacher, interner Identifikator (z.B. eine Personalnummer) hätte ausgereicht. Erst nach dem Vorfall stellte McDonald’s das System um – ein klares Eingeständnis des vorherigen Verstoßes.
- Verantwortung kann nicht ausgelagert werden: Die UODO betonte, dass die Auslagerung der Datenverarbeitung an einen Dienstleister den Verantwortlichen nicht von seinen Pflichten entbindet. McDonald’s hätte die Maßnahmen des Dienstleisters aktiv überprüfen und kontrollieren müssen, was nicht geschah. Die Verantwortung für die Datensicherheit bleibt immer beim Auftraggeber.
- Verantwortung auch für Franchise-Nehmer: Ein entscheidender Punkt des Verfahrens war die Klärung, dass McDonald’s Polska auch als Verantwortlicher für die Daten der Mitarbeiter seiner Franchise-Nehmer gilt. Da McDonald’s das Planungs-Tool bereitstellte, die Zwecke und Mittel der Verarbeitung definierte und den Dienstleister auswählte, trägt es die volle Verantwortung für alle Nutzer des Systems.
Was bedeutet das Urteil für Ihr Unternehmen?
- Outsourcing erhöht die Sorgfaltspflicht, es verringert sie nicht: Die Auswahl eines Dienstleisters, der personenbezogene Daten verarbeitet, ist eine kritische Entscheidung. Ein Auftragsverarbeitungsvertrag (AVV) allein reicht nicht. Sie müssen sich aktiv davon überzeugen, dass der Dienstleister die technischen und organisatorischen Maßnahmen (TOMs) auch wirklich umsetzt.
- Überprüfen Sie Ihre Dienstleister – aktiv! Verlassen Sie sich nicht auf Versprechungen. Fordern Sie Nachweise, Zertifizierungen oder führen Sie Audits durch. Die Verantwortung für einen Fehler Ihres Dienstleisters fällt auf Sie zurück.
- Datenminimierung ist ein Gebot, keine Empfehlung: Hinterfragen Sie jeden Datenerhebungsprozess kritisch: Ist dieses Datum wirklich notwendig, um den Zweck zu erreichen? Die Verwendung hochriskanter Daten (wie Sozialversicherungsnummern oder Ausweisnummern) für interne Zwecke ist fast immer ein Verstoß, wenn es datensparsamere Alternativen gibt.
- Franchise-Systeme und Konzerne in der Pflicht: Wenn Sie als Zentrale IT-Systeme für Ihre Partner oder Tochtergesellschaften bereitstellen, sind Sie in der Regel der (Mit-)Verantwortliche für alle darin verarbeiteten Daten und tragen das volle Haftungsrisiko.
FAQ: Dienstleister & DSGVO – Was Sie jetzt wissen müssen
- Wer haftet, wenn mein externer Dienstleister einen Fehler macht?
Primär haften Sie als Verantwortlicher gegenüber den Betroffenen und den Behörden. Sie können zwar versuchen, den Schaden zivilrechtlich von Ihrem Dienstleister zurückzufordern, aber das befreit Sie nicht von Ihrer Verantwortung nach der DSGVO. - Was bedeutet „Überprüfung des Auftragsverarbeiters“ in der Praxis?
Das kann von der Einholung von Selbstauskünften und Zertifikaten (z.B. ISO 27001) bis hin zu Vor-Ort-Audits reichen. Die Tiefe der Prüfung hängt vom Risiko der Datenverarbeitung ab. - Warum war die Verwendung der PESEL-Nummer ein so großes Problem?
Nationale Identifikationsnummern sind hochsensible Daten. Ihr Verlust birgt ein extrem hohes Risiko für Identitätsdiebstahl und Betrug. Ihre Verwendung war für den Zweck (Schichtplanung) absolut nicht erforderlich und damit ein klarer Verstoß gegen die Datenminimierung. - Bin ich als Franchise-Geber für die Mitarbeiterdaten meiner Partner verantwortlich?
Wenn Sie zentrale IT-Systeme (wie Kassen-, Planungs- oder CRM-Systeme) vorgeben und damit die Zwecke und Mittel der Verarbeitung bestimmen, sind Sie sehr wahrscheinlich der Verantwortliche im Sinne der DSGVO.
Fazit: Outsourcing erfordert mehr, nicht weniger, unternehmerische Sorgfalt
Der Fall McDonald’s ist ein Paradebeispiel dafür, wie eine Kette von Versäumnissen – von der fehlenden Risikoanalyse über die Ignoranz gegenüber der Datenminimierung bis hin zur mangelnden Kontrolle des Dienstleisters – zu einem katastrophalen und teuren Ergebnis führen kann. Die Botschaft der polnischen Datenschutzbehörde ist unmissverständlich: Wer Datenverarbeitung auslagert, muss seine Verantwortung als „Herr der Daten“ ernster nehmen als je zuvor. Vertrauen ist gut, aber im Datenschutz ist eine aktive und dokumentierte Kontrolle unerlässlich.
