DSGVO-Bußgelder aus Deutschland und Europa

28.03.2024 // Spanien

Bußgeld in Höhe von 40.000 EUR gegen die IBERIA LÍNEAS AÉREAS DE ESPAÑA, S.A. OPERADORA (Spanien) wegen der Nichtbeantwortung einer Auskunftsanfrage

Die spanische Datenschutzbehörde (AEPD) hat gegen die Fluggesellschaft IBERIA LÍNEAS AÉREAS DE ESPAÑA, S.A. OPERADORA (Spanien) wegen der Nichtbeantwortung einer Auskunftsanfrage ein Bußgeld in Höhe von 40.000 EUR verhängt.

Ausganspunkt des Bußgelds war die Beschwerde einer betroffenen Person. Diese hatte der Airline sensible Dokumente für die Einreise nach Irland zukommen lassen und verlangte anschließend eine Auskunft nach Art. 15 DSGVO. Dieser Anfrage kam das Unternehmen jedoch – auch nach wiederholten Anfragen – nicht nach.

Das ursprüngliche Bußgeld in Höhe von 50.000 EUR wurde aufgrund einer freiwilligen Zahlung um 20% auf 40.000 EUR reduziert.

Fazit der Datenschutzkanzlei

Auch die Nichtbeantwortung einer einzelnen Auskunftsanfrage kann mehrere Zehntausend Euro kosten. Die beste Methode, solche Bußgelder zu vermeiden, ist der Aufbau eines wirksamen Datenschutz-Managements und die Sensibilisierung von Beschäftigten, sodass solche Anfragen schnell erkannt, weitergeleitet und bearbeitet werden können. Anfragen einfach zu ignorieren ist jedoch keine Lösung.

14.03.2024 // Spanien

Bußgeld in Höhe von 10.000 EUR gegen die LinkedIn Ireland Limited (Irland) wegen des Versands werblicher E-Mails trotz Abmeldung durch die betroffene Person

Die spanische Datenschutzbehörde (AEPD) hat gegen die LinkedIn Ireland Limited (Irland) wegen des Versands werblicher E-Mails trotz Abmeldung durch die betroffene Person ein Bußgeld in Höhe von 10.000 EUR verhängt.

Im Februar 2023 reichte eine betroffene Person Beschwerde bei der spanischen Aufsichtsbehörde ein und gab an, dass sie trotz mehrfach beantragter Abmeldung weiterhin werbliche E-Mails von LinkedIn erhält. Ihrer Beschwerde fügte sie Kopien ihrer beiden Abmeldeanträge bei. Trotz Bestätigung der Abmeldung durch LinkedIn erhielt die betroffene Person in mehreren Fällen weiterhin werbliche E-Mails.

Die Behörde führte anschließend eine Prüfung des Sachverhalts durch und kam zum Ergebnis, dass der Versand der werblichen E-Mails rechtswidrig erfolgte.

Fazit der Datenschutzkanzlei

Unternehmen, die einen E-Mail-Newsletter betreiben, sollten sich regelmäßig vergewissern, dass alle Newsletter über einen Abmeldebutton verfügen und dieser auch funktionsfähig ist. Erhalten betroffene Personen trotz Abmeldung weiterhin den Newsletter, liegt nicht nur ein Verstoß gegen datenschutzrechtliche, sondern auch gegen wettbewerbsrechtliche Vorschriften vor. Beides kann mit Geldbußen geahndet werden.

05.03.2024 // Frankreich

Bußgeld in Höhe von 310.000 EUR gegen FORIOU (Frankreich) wegen der Verarbeitung personenbezogener Daten zu Werbezwecken auf Grundlage unwirksamer Einwilligungen

Die französische Datenschutzbehörde (CNIL) hat gegen FORIOU (Frankreich) wegen der Verarbeitung personenbezogener Daten zu Werbezwecken ein Bußgeld in Höhe von 310.000 EUR verhängt.

FORIOU ist ein Dienstleister für Telefonakquise-Kampagnen und erwarb hierfür Leaddaten von Datenbrokern, die diese Daten über Gewinnspiele und Online-Produkttests sammelten. Die Verarbeitung dieser Daten zu Zwecken des Telefonmarketings ist laut Ansicht der CNIL nur auf Grundlage der Einwilligung der betroffenen Person möglich. Die Behörde stellte fest, dass im Rahmen der Gewinnspiele und Produkttests zwar Einwilligungen der Teilnehmer:innen eingeholt wurden, diese aber nicht die Anforderungen an wirksame Einwilligungen erfüllen. So waren die Buttons zur Einwilligungsabgabe deutlich auffälliger und größer gestaltet als die Ablehnungsbuttons, sodass die abgegebenen Einwilligungen nicht freiwillig und in informierter Weise erfolgten. Zudem wurden die betroffenen Personen nicht darüber informiert, dass die Daten an FORIOU weitergegeben werden.

FORIOU berief sich darauf, dass die Datenbroker vertraglich dazu verpflichtet wurden, die gesetzlichen Bestimmungen zum Datenschutz einzuhalten. Nach Ansicht der CNIL hätte FORIOU diese vertragliche Verpflichtung jedoch kontrollieren und dabei prüfen müssen, ob die Einwilligungen rechtmäßig erfolgten.

Fazit der Datenschutzkanzlei

Dieses Bußgeld zeigt, dass Datenempfänger nicht einfach darauf vertrauen sollten, dass die empfangenen Daten rechtmäßig für die beabsichtigten Zwecke erhoben wurden. Selbst vertragliche Regelungen, die die Pflicht zur Sicherstellung der rechtmäßigen Erhebung auf ein anderes Unternehmen abwälzen, schützen nicht vor unrechtmäßigen Datenverarbeitungen und damit einhergehenden Bußgeldern. Vielmehr müssen Datenempfänger regelmäßig überprüfen, ob die erhaltenen Daten rechtmäßig erhoben wurden und ob eine wirksame Rechtsgrundlage für die Datenverarbeitung zu dem eigens verfolgten Zweck vorliegt.

29.02.2024 // Italien

Bußgeld in Höhe von 79.107.101 EUR gegen Enel Energia S.p.A. (Italien) wegen des unzureichenden Schutzes einer Datenbank vor illegalen Telefonmarketing-Aktivitäten

Die italienische Datenschutzbehörde (GPDP) hat gegen die Enel Energia S.p.A. ein Bußgeld in Höhe von 79.107.101 EUR wegen des unzureichenden Schutzes einer Datenbank vor illegalen Telefonmarketing-Aktivitäten verhängt.

Dem Bußgeld gingen Untersuchungen voraus, im Rahmen derer die Datenschutzbehörde gegen ein Unternehmen Sanktionen verhängte, das unter anderem für Enel Energia mit illegal erworbenen Daten unrechtmäßiges Telefonmarketing betrieb.

Im Rahmen einer darauffolgenden Untersuchung bei Enel Energia stellte die Behörde bei dem CRM-System des Energieunternehmens erhebliche Sicherheitsmängel fest. Fehlende bzw. mangelhafte Sicherheitsvorkehrungen ermöglichten es unbefugten Dritten, über Jahre hinweg auf das CRM-System zuzugreifen, im Rahmen von illegalem Telefonmarketing zu missbrauchen und im Namen von Enel Energia Verträge abzuschließen. Die Behörde vermutet, dass im Zeitraum von 2015 bis 2022 auf diese Weise ca. 9.300 Verträge in das CRM-System eingepflegt wurden. Die Aufsichtsbehörde rügte zudem, dass Enel Energia bei Einführung des Systems keine angemessene Risikoanalyse durchführte.

Das Bußgeld entspricht 0,32% des vergangenen Jahresumsatzes des Unternehmens.

Fazit der Datenschutzkanzlei

Dieses Bußgeld verdeutlicht die Relevanz technischer Sicherheitsmaßnahmen bei CRM-Systemen. Gerade Unternehmen mit einer großen Kund:innendatenbank sollten bei Einführung eines CRM-Systemen eingehend prüfen, welchen Gefahren eine solche Datenbank ausgesetzt sein kann und anschließend Sicherheitsmaßnahmen zum Schutz vor illegalen Geschäftsaktivitäten ergreifen.

31.01.2024 // Niederlande

Bußgeld in Höhe von 10.000.000 gegen Uber Technologies Inc. und Uber B.V. (Niederlande) wegen der Verletzung von Informationspflichten und Betroffenenrechten

Die niederländische Datenschutzbehörde (AP) hat gegen zwei Uber-Gesellschaften ein Bußgeld in Höhe von 10.000.000 EUR wegen der Verletzung von Informationspflichten und Betroffenenrechten verhängt.

Dem Bußgeld ging eine Sammelbeschwerde bei der französischen Aufsichtsbehörde durch die Französische Liga für Menschenrechte voraus. Da sich der europäische Hauptsitz von Uber in den Niederlanden befindet, reichte die französische Behörde die Beschwerden an die niederländischen Kolleg:innen weiter.

Im Rahmen einer Untersuchung stellten die Behörden fest, dass Uber ihren Fahrer:innen die Geltendmachung von Betroffenenrechten erschwert. So war etwa das Online-Formular, mit dem Fahrer:innen die Übertragung ihrer Daten nach Art. 20 DSGVO geltend machen können, nur schwer zugänglich und Auskunftsanfragen wurden nach Ansicht der Behörden unverständlich beantwortet. Darüber hinaus bemängelten die Niederländer:innen die Datenschutzerklärung von Uber als unvollständig und intransparent, da Uber ihre Fahrer:innen nicht über die Speicherdauer personenbezogener Daten sowie über Drittlandübermittlungen und entsprechende Transfermechanismen nach den Art. 44 ff. DSGVO informierte.

Fazit der Datenschutzkanzlei

Das Bußgeld gegen Uber zeigt wieder einmal, dass Aufsichtsbehörden insbesondere Verstöße gegen Informationspflichten und Betroffenenrechte rigoros ahnden, auch weil diese oft leicht von außen erkennbar sind. Die Bedeutung der fristgerechten und korrekten Beantwortung von Betroffenenanfragen sowie der vollständigen Erfüllung von Informationspflichten kann daher nicht unterschätzt werden.

23.01.2024 // Frankreich

Bußgeld in Höhe von 32.000.000 EUR gegen AMAZON FRANCE LOGISTIQUE (Frankreich) wegen unverhältnismäßiger Überwachung von Beschäftigten

Die französische Datenschutzbehörde (CNIL) hat gegen das Amazon-Unternehmen AMAZON FRANCE LOGISTIQUE ein Bußgeld in Höhe von 32.000.000 EUR wegen unverhältnismäßiger Beschäftigtenüberwachung verhängt.

Infolge von Medienberichten und mehreren Beschwerden von Beschäftigten führte die Datenschutzbehörde Frankreichs mehrere Kontrollbesuche bei dem Logistikunternehmen durch. Hierbei stellte die Behörde fest, dass alle Beschäftigten in den Lagerhallen mit einem Scanner ausgestattet sind, um bestimmte Arbeitsschritte (z.B. die Einlagerung oder die Entnahme von Artikeln) in Echtzeit zu dokumentieren. Den bloßen Einsatz dieser Scanner beanstandete die Behörde nicht. Stattdessen könnte der Einsatz zur Erreichung unternehmensübergreifender Leistungsziele und zur besseren Arbeitsplanung erforderlich und somit rechtmäßig sein.

Allerdings beanstandete die CNIL, dass über die Scanner zu viele Daten und statistische Indikatoren verarbeitet werden, was schließlich zu einer unverhältnismäßigen Überwachung der Beschäftigten führt. So wurde zum Beispiel die Dauer erfasst, in denen die Scanner inaktiv waren, sodass Beschäftigte jede potenzielle Pause oder Unterbrechung rechtfertigen mussten. Zudem kritisierte die Behörde das System zur Messung der Geschwindigkeit beim Einräumen von Artikeln als unverhältnismäßig. Die Behörde hielt außerdem die Speicherung der über die Scanner erhobenen Daten für eine Dauer von 31 Tagen für unrechtmäßig.

Darüber hinaus sanktionierte die CNIL auch Verstöße gegen die Informationspflichten aus Art. 13 DSGVO, da das Amazon-Unternehmen nicht ausreichend über die Datenverarbeitung bezüglich der Handscanner und der in den Lagerhallen installierten Videoüberwachung informierte.

Fazit der Datenschutzkanzlei

Dass Datenschutzaufsichtsbehörden energisch gegen unverhältnismäßige Beschäftigtenüberwachung vorgehen, hat sich auch schon hierzulande gezeigt. Da Amazon schon häufiger diesbezüglich in der öffentlichen Kritik stand, kommt dieses Bußgeld daher nicht überraschend. Interessant ist jedoch auch, dass die französische Behörde den Einsatz der Scanner und die damit verbundene Messung von Kennzahlen nicht grundsätzlich beanstandet, sondern das Ausmaß der Datenverarbeitung kritisiert.

11.01.2024 // Frankreich

Bußgeld in Höhe von 105.000 EUR gegen NS CARDS FRANCE (Frankreich) wegen diverser Datenschutzverstöße

Die französische Datenschutzbehörde hat gegen den Zahlungsdienstleister NS CARDS FRANCE (Frankreich) ein Bußgeld in Höhe von 105.000 EUR wegen diverser Datenschutzverstöße verhängt.

Im Rahmen einer Überprüfung der Website und einer darauffolgenden Vor-Ort-Überprüfung stellte die Behörde fest, dass das Unternehmen inaktive Benutzer:innenkonten nach zehn Jahren Inaktivität lediglich sperrte, aber keine Löschung der damit verknüpften personenbezogenen Daten vornahm. Zudem bewahrte das Unternehmen mehr als 50.000 Benutzer:innenkonten auf, ohne dass die Benutzer:innen bei Erstellung ihre E-Mail-Adresse bestätigten. Hinzu kam, dass die verlangte Passwortstärke bei der Erstellung von Benutzer:innenkonten nach Ansicht der CNIL nicht den Sicherheitsanforderungen des Art. 32 DSGVO entsprach.

Darüber hinaus stellte die Behörde auch in Bezug auf den Webauftritt des Unternehmens Mängel fest. Zum einen standen die Datenschutzerklärungen der Website und der App trotz einer Ausrichtung auf den französischen Markt nur auf Englisch zur Verfügung und waren zudem inhaltlich unvollständig. Zum anderen wurden auf der Website durch Google Analytics und Google reCAPTCHA Cookies gesetzt, ohne dass die nötige Einwilligung der Website-Besucher:innen eingeholt wurde. Letzteres stellt einen Verstoß gegen das französische Pendant zum deutschen TTDSG dar.

Fazit der Datenschutzkanzlei

Dieses Bußgeld unterstreicht einerseits die Relevanz eines datenschutzkonformen Außenauftritts. Entsprechen Webseiten oder Apps nicht den datenschutzrechtlichen Anforderungen, nehmen Aufsichtsbehörden dies häufig zum Anlass, tiefergehende Überprüfungen durchzuführen. Andererseits hebt das Bußgeld die Wichtigkeit funktionsfähiger Löschprozesse hervor, die eine datenschutzkonforme Löschung gewährleisten.

12.12.2023 // Frankreich

Bußgeld in Höhe von 5.000 EUR gegen die Gemeinde Kourou (Frankreich) wegen eines Verstoßes gegen die Pflicht zur Benennung eines bzw. einer Datenschutzbeauftragten

Die französische Datenschutzbehörde hat gegen die Gemeinde Kourou (Frankreich) ein Bußgeld in Höhe von 5.000 EUR wegen der Nicht-Benennung eines bzw. einer Datenschutzbeauftragten verhängt.

Bereits im Juni 2021 wurde die französische Gemeinde mit ca. 25.000 Einwohner:innen von der Behörde auf die Pflicht zur Benennung eines bzw. einer Datenschutzbeauftragten hingewiesen. Da dieser Hinweis zunächst unbeachtet blieb, erließ die Aufsichtsbehörde im April 2022 eine förmliche Aufforderung, dieser Pflicht nachzukommen. Weil die Behörde auch dieser Aufforderung nicht nachkam, verhing die Behörde schließlich ein Bußgeld i.H.v. 5.000 EUR gegen die Gemeinde. Sofern die Gemeinde innerhalb von zwei Monaten weiterhin keine:n Datenschutzbeauftragte:n benennt, wird pro Tag eine weitere Geldstrafe von 150 EUR fällig.

Fazit der Datenschutzkanzlei

Dieses Bußgeld unterstreicht die Wichtigkeit der DSGVO-Pflicht zur Benennung von Datenschutzbeauftragten. Kommen Unternehmen dieser Pflicht nicht nach, droht Ärger mit der Aufsichtsbehörde und im schlimmsten Fall ein Bußgeld. Aufgrund der Meldepflicht von Datenschutzbeauftragten gegenüber der zuständigen Aufsichtsbehörde ist die Umsetzung der Benennungspflicht für die Behörden zudem leicht nachprüfbar. Wenn Sie auf der Suche nach einem externen Datenschutzbeauftragten sind, freuen wir uns auf Ihre Anfrage.

08.11.2023 // Spanien

Bußgeld in Höhe von 70.000 EUR gegen die THE BEE LOGISTICS, S.L. (Spanien) wegen der Zustellung eines Pakets an eine falsche Person

Die spanische Datenschutzbehörde hat gegen das Logistikunternehmen THE BEE LOGISTICS, S.L. (Spanien) ein Bußgeld in Höhe von rund 70.000 EUR wegen der Zustellung eines Pakets an eine falsche Person verhängt.

Im Juni 2022 beschwerte sich bei der spanischen Datenschutzbehörde eine betroffene Person darüber, dass ein für sie bestimmtes Paket einer falschen Person zugestellt wurde. Vor der fehlerhaften Zustellung hatte die Frau den Kurier gebeten, das Paket wegen ihrer Abwesenheit bei einem Nachbarn abzugeben. Als der Kurier das Paket zustellen wollte, kam diesem ein Mann entgegen, der sich als dieser Nachbar ausgab und das Paket entgegennahm. Personenbezogene Daten der Frau wie z.B. der Name, die Adresse und Bankdaten gelangten somit an einen unberechtigten Dritten.

Die Behörde kam zum Ergebnis, dass das verantwortliche Unternehmen keine angemessenen Maßnahmen ergriffen hat, um solche Vorfälle zu vermeiden und stellte einen Verstoß gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 Buchst. f DSGVO sowie gegen die Sicherheit der Verarbeitung nach Art. 32 DSGVO fest.

Fazit der Datenschutzkanzlei

Dieses Bußgeld zeigt, dass auch triviale Dinge wie die Zustellung eines Pakets einen Datenschutzverstoß und ein nicht unempfindliches Bußgeld auslösen können. Kurier- und Zustelldienste sollten daher ihre Beschäftigten regelmäßig und nachweisbar im Datenschutz schulen und Prozesse implementieren, die das Risiko von Fehlzustellungen reduzieren.

07.11.2023 // Schweden

Bußgeld in Höhe von ca. 42.898 EUR gegen die Indecap AB (Schweden) wegen des fehlerhaften Versands eines E-Mail-Anhangs

Die schwedische Datenschutzbehörde hat gegen den Fondsberater Indecap AB (Schweden) ein Bußgeld in Höhe von rund 42.898 EUR wegen des fehlerhaften Versands eines E-Mail-Anhangs verhängt.

Im Jahr 2021 beschwerten sich mehrere Personen bei der schwedischen Aufsichtsbehörde darüber, dass Indecap AB ein Excel-Dokument mit personenbezogenen Daten zahlreicher Personen an andere Kunden versandt hat. Das Dokument enthielt Daten wie Namen, Sozialversicherungsnummern und E-Mail-Adressen von über 52.000 betroffenen Personen und wurde an mehr als 2.800 Kunden verschickt. Eine Meldung an die Aufsichtsbehörde und Benachrichtigungen der betroffenen Personen hatte das Unternehmen vorgenommen.

Im Rahmen einer umfangreichen Untersuchung stellte die Behörde fest, dass das Unternehmen zwar zahlreiche Datensicherheitsmaßnahmen implementiert hatte, die solche Vorfälle verhindern sollten. Nach Ansicht der Behörde waren diese Maßnahmen jedoch angesichts der hohen Sensibilität der Daten und der strengen Sicherheitsanforderungen an Wertpapiergesellschaften nicht ausreichend. Insbesondere hätte die Datei nach Auffassung der Behörde verschlüsselt werden müssen.

Fazit der Datenschutzkanzlei

Bereits der Versand einer einzelnen E-Mail kann einen Datenschutzverstoß darstellen und somit zu einem empfindlichen Bußgeld führen. Gerade Unternehmen, die über sensible Daten vieler Personen verfügen, sollten sich daher intensiv mit Datensicherheitsmaßnahmen im Zusammenhang mit dem E-Mail-Verkehr auseinandersetzen und entsprechende technische sowie organisatorische Maßnahmen implementieren.

19.10.2023 // Frankreich

Bußgeld in Höhe von 60.000 EUR gegen die GROUPE CANAL+ (Frankreich) wegen zahlreicher DSGVO-Verstöße

Die französische Datenschutzbehörde hat gegen das Medienunternehmen GROUPE CANAL+ (Frankreich) ein Bußgeld in Höhe von rund 600.000 EUR wegen zahlreicher Verstöße gegen die DSGVO verhängt.

Die französische Behörde wurde aufgrund mehrerer Beschwerden von betroffenen Personen tätig und führte Untersuchungen bei der GROUPE CANAL+ durch. Die GROUPE CANAL+ hatte insbesondere E-Mail-Werbung versendet, ohne die vorherige Einwilligung der Empfänger:innen nachweisen zu können. Die dazugehörigen Datenschutzinformationen enthielten darüber hinaus keine Aufzählung von Datenempfängern, was nach Ansicht der Behörde allerdings notwendig für die Wirksamkeit der abgegebenen Einwilligung ist.

Darüber hinaus beantwortete die GROUPE CANAL+ Betroffenenanfragen nicht oder nicht fristgemäß, stellte den Betroffenen keine ausreichend transparenten Datenschutzinformationen zur Verfügung, schloss unvollständige AV-Verträge ab und speicherte die Passwörter von Beschäftigten nicht sicher genug. Im Rahmen der Untersuchung stieß die Behörde zudem auf einen für die Behörde unbekannten Datenschutzvorfall, der nach Art. 33 DSGVO hätte gemeldet werden müssen.

Fazit der Datenschutzkanzlei

Das Bußgeld gegen die GROUPE CANAL+ zeigt, dass Beschwerden von betroffenen Personen weiterhin der wichtigste Anknüpfungspunkt für behördliche Untersuchungen und Bußgelder sind. Es ist daher für Unternehmen unverzichtbar, wirksame Prozess für die Beantwortung von Betroffenenanfragen zu implementieren, um Beschwerden bestmöglich vorzubeugen. Des Weiteren ist erkennbar, dass behördliche Untersuchungen oftmals nicht nur einen Verstoß aufdecken, sondern gleich mehrere Probleme zu Tage fördern. Auch hier sind Unternehmen daher gut beraten, den Datenschutz ganzheitlich im Rahmen eines Datenschutz-Management-Systems abzubilden und dieses im Unternehmen wirksam zu implementieren.

19.10.2023 // Schweden

Bußgeld in Höhe von 28.500 EUR gegen die H&M Hennes & Mauritz GBC AB (Schweden) wegen unerwünschter Werbung

Die schwedische Datenschutzbehörde hat gegen das Modeunternehmen H&M Hennes & Mauritz GBC AB (Schweden) ein Bußgeld in Höhe von rund 28.500 EUR verhängt. Grund dafür ist das Versäumnis von H&M, Anfragen von Personen zu bearbeiten, die keine Werbung von dem Unternehmen erhalten wollten.

Die schwedische Behörde führte aufgrund von Beschwerden betroffener Personen Untersuchungen bei H&M durch. Diese haben ergeben, dass H&M Widersprüche dieser Personen gegen den Erhalt von Direktwerbung nicht in angemessener Zeit umgesetzt hat, sodass die Personen trotz des Widerspruchs weiterhin Direktwerbung von H&M erhielten. Darüber hinaus gab es bei H&M keine Prozesse, um betroffenen Personen die Ausübung ihrer Betroffenenrechte ausreichend zu erleichtern.

Die Beschwerden der Personen wurden in verschiedenen EU-Mitgliedsstaaten erhoben und an die für H&M zuständige Aufsichtsbehörde in Schweden weitergeleitet.

Fazit der Datenschutzkanzlei

Das Bußgeld gegen H&M zeigt, dass das europäische Verfahren funktioniert und Beschwerden von betroffenen Personen in verschiedenen EU-Staaten durchaus sinnvoll gebündelt durch eine zuständige Aufsichtsbehörde abgewickelt werden können.

Der Grund für das Bußgeld ist zudem ein Dauerbrenner. Unternehmen sollten wirksamem Prozesse etablieren, die die effiziente und zügige Bearbeitung von Betroffenenanfragen gewährleisten. Ein Widerspruch gegen den Erhalt von E-Mail-Werbung sollte zudem immer direkt in der E-Mail selbst möglich sein, um den Betroffenen die Ausübung ihrer Rechte zu erleichtern.

18.09.2023 // Frankreich

Bußgeld in Höhe von 200.000 EUR gegen die SAF LOGISTICS (Frankreich) wegen der Verarbeitung sensibler Beschäftigtendaten

Die französische Datenschutzbehörde hat gegen das Luftfahrtunternehmen SAF LOGISTICS (Frankreich) wegen der Verarbeitung sensibler Beschäftigtendaten ein Bußgeld in Höhe von 200.000 EUR verhängt.

Im August 2020 gingen bei der französischen Behörde zwei Beschwerden darüber ein, dass das Unternehmen alle Beschäftigten dazu aufgefordert habe, mittels eines Formulars in chinesischer Sprache diverse private Informationen mitzuteilen. Hierzu gehörten unter anderem Informationen über die Zugehörigkeit zu einer politischen Partei oder über die familiäre Situation der Beschäftigten.

Im Rahmen einer darauffolgenden Untersuchung stellt die Behörde fest, dass für die Verarbeitung solcher sensiblen Daten keine wirksame Rechtsgrundlage vorlag. Im Laufe der Untersuchung stellte sich zudem heraus, dass das Unternehmen über Informationen zu Vorstrafen der Beschäftigten verfügte, wofür ebenfalls keine Rechtsgrundlage gegeben war. Darüber hinaus bemängelte die Behörde die Kooperation des Unternehmens. So lag das Unternehmen zunächst eine unvollständige französische Übersetzung des fraglichen Formulars vor und gab an, das Formular nicht mehr zu verwenden, was allerdings nicht der Wahrheit entsprach.

Fazit der Datenschutzkanzlei

Das Bußgeld aufgrund der unrechtmäßigen Verarbeitung sensibler Beschäftigtendaten ist mittlerweile ein unrühmlicher Klassiker. Dass solche Praktiken nicht mit dem Datenschutz vereinbar sind, dürfte jedoch auch den größten datenschutzrechtlichen Laien auffallen. Das Bußgeld macht ebenso deutlich, dass es ratsam ist, kooperativ und transparent gegenüber den Behörden aufzutreten. Gerne beraten wir Sie, wenn Sie es besser machen und solche Bußgelder aktiv verhindern wollen.

15.09.2023 // Irland

Bußgeld in Höhe von 345.000.000 EUR gegen die TikTok Technology Limited (Irland) wegen diverser Verstöße in Bezug auf die Verarbeitung von Kinderdaten

Die irische Datenschutzbehörde hat gegen die TikTok Technology Limited (Irland) wegen diverser Verstöße in Bezug auf die Verarbeitung von Kinderdaten ein Bußgeld in Höhe von 345.000.000 EUR verhängt.

Im Rahmen einer Untersuchung der Verarbeitung von Kinderdaten im Zeitraum vom 31. Juli 2020 bis zum 31. Dezember 2020 stellte die irische Datenschutzbehörde mehrere Datenschutzverstöße bei TikTok fest. Unter anderem waren TikTok-Profile von Kindern standardmäßig so eingestellt, dass Profilinhalte für alle Personen – egal ob mit oder ohne TikTok-Account – sichtbar waren. Nach Ansicht der Behörde verstößt dies gegen den datenschutzrechtlichen Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) sowie die Vorgaben zu Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Art. 25 Abs. 1, 2 DSGVO). Des Weiteren war es möglich, Accounts von Kindern mit Accounts von Erwachsenen zu koppeln, ohne dass ausreichend sichergestellt wurde, dass der Erwachsene (z.B. durch Sorgerecht) hierzu berechtigt ist. Auch dies stellte nach Ansicht der Behörde einen Verstoß gegen Art. 25 Abs. 1 DSGVO sowie den Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchst. f DSGVO) dar.

TikTok informierte darüber hinaus Kinder nicht transparent genug über die stattfindenden Datenverarbeitungen (Art. 12 Abs. 1, Art. 13 Abs. 1 DSGVO) und nutzte sogenannte „dark patterns“, die im Rahmen der Anmeldung dazu führten, dass möglichst viele datenschutzrechtlich sensible Optionen ausgewählt wurden.

Fazit der Datenschutzkanzlei

Dieses Bußgeld aus Irland verdeutlicht, dass gerade aber nicht nur bei der Verarbeitung von Kinderdaten ein besonderes Augenmerk auf eine datenschutzfreundliche Technikgestaltung und datenschutzfreundliche Voreinstellungen zu legen ist. Zudem ist zu beachten, dass Kinder durch besonders einfache und klare Sprache über Datenverarbeitungen zu informieren sind. Die Nichtbeachtung dieser Vorgaben kann mit empfindlichen Bußgeldern geahndet werden.

30.08.2023 // Schweden

Bußgeld in Höhe von 2.945.632 EUR gegen die Tyrg Forsikring A/S (Schweden) wegen der Offenlegung von Kundendaten gegenüber Unbefugten

Die schwedische Datenschutzbehörde (IMY) hat gegen das schwedische Versicherungsunternehmen Tryg Forsikring A/S (Schweden) wegen der unbefugten Offenlegung von Kundendaten ein Bußgeld in Höhe von umgerechnet 2.945.632 EUR verhängt.

Die schwedische Datenschutzbehörde erhielt im Dezember 2020 einen Hinweis über die unbefugte Offenlegung von Kundendaten bei dem schwedischen Unternehmen und leitete daraufhin Untersuchungen ein. Hierbei stellte sich heraus, dass es möglich war, auf einer Website des Unternehmens Dokumente anderer Versicherungsnehmer einzusehen. Die Dokumente enthielten teilweise Gesundheitsdaten oder Finanzinformationen. Der Zugriff auf diese Dokumente war zwischen von Oktober 2018 bis Februar 2021 möglich. Insgesamt waren Daten von ca. 650.000 Kunden betroffen.

Die Behörde stellte fest, dass das Unternehmen keine technischen und organisatorischen Maßnahmen ergriffen hatte, die dem Risiko dieser Daten angemessen sind. Dies stellt einen Verstoß gegen Art. 32 DSGVO dar.

Fazit der Datenschutzkanzlei

Personenbezogene Daten sind durch technische und organisatorische Maßnahmen vor der Offenlegung gegenüber Unbefugten zu schützen. Die Maßnahmen müssen dabei an der Kritikalität der Daten ausgerichtet werden. Gerade bei sensiblen Daten wie Gesundheitsdaten wiegt eine so zahlreiche Offenlegung daher besonders schwer und kann mit einem Millionenbußgeld geahndet werden.

04.08.2023 // Deutschland

Bußgeld in Höhe von 215.000 EUR gegen ein Berliner Unternehmen u.a. wegen der unrechtmäßigen Verarbeitung von personenbezogenen Daten über Beschäftigte in der Probezeit

Die Berliner Datenschutzbehörde hat gegen ein Berliner Unternehmen unter anderem wegen der unrechtmäßigen Verarbeitung von personenbezogenen Beschäftigtendaten während der Probezeit ein Bußgeld in Höhe von insgesamt 215.000 EUR verhängt. In der Pressemitteilung der Behörde wurde das Unternehmen namentlich nicht genannt. Die Bußgeldadressatin, die Humboldt Forum Service GmbH, hat sich jedoch selbst mittels einer Pressemitteilung an die Öffentlichkeit gewandt.

Die Berliner Behörde erfuhr durch Medienberichte und persönliche Beschwerden von der Datenverarbeitung und führte daraufhin Prüfungen durch. Das Unternehmen führte eine Liste zur Bewertung von Beschäftigten in der Probezeit, in der sich z.B. auch Informationen über die Teilnahme an einer Psychotherapie oder das Interesse an einer Betriebsratsgründung befanden. Auf Grundlage dieser Informationen wurden einige Beschäftigte als „kritisch“ oder „sehr kritisch“ bewertet.

Das Bußgeld der Behörde setzt sich aus den folgenden Datenschutzverstößen zusammen: Die unrechtmäßige Datenverarbeitung, die fehlende Beteiligung der Datenschutzbeauftragten, die verspätete Meldung einer Datenpanne sowie die fehlende Dokumentation der Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten.

Fazit der Datenschutzkanzlei

Der Fall zeigt, dass auch im Beschäftigtenkontext Rücksicht auf die datenschutzrechtlichen Vorgaben genommen werden muss. Ist eine Beschwerde erst einmal bei der Datenschutzbehörde anhängig, bleibt es zudem meistens nicht bei einem einzelnen Verstoß. Es gilt wie immer: DSGVO-Compliance sollte nicht nur nach Außen signalisiert, sondern auch im Inneren eines Unternehmens gelebt werden.

03.08.2023 // Spanien

Bußgeld in Höhe von 56.000 EUR gegen die VODAFONE ESPAÑA, S.A.U. (Spanien) wegen der unrechtmäßigen Verarbeitung personenbezogener Daten

Die spanische Datenschutzbehörde (AEPD) hat gegen die VODAFONE ESPAÑA, S.A.U. wegen der unrechtmäßigen Verarbeitung von personenbezogenen Daten ein Bußgeld in Höhe von insgesamt 56.000 EUR verhängt.

Am 08.05.2022 reichte eine Kundin des Unternehmens eine Beschwerde bei der spanischen Behörde ein, da das Unternehmen ohne ihre Zustimmung Anrufe und SMS von ihrer Telefonnummer an eine unbekannte Nummer umgeleitet hatte. In Folge dieser Weiterleitung kam es zu einem Bankbetrug. Während der Untersuchung stellte sich heraus, dass das Unternehmen die Identität der Person, die die Umleitung beauftragt hatte, nicht ausreichend überprüft hatte.

Die Vorgehensweise von Vodafone wurde von der Behörde als Verstoß gegen Art. 6 Abs. 1 DSGVO bewertet, der die Rechtmäßigkeit der Verarbeitung personenbezogener Daten regelt. Da das Unternehmen den Verstoß eingestanden hat, wurde das ursprüngliche Bußgeld von 70.000 EUR um 20% reduziert.

Fazit der Datenschutzkanzlei

Dieses Bußgeld aus Spanien verdeutlicht die Relevanz interner Unternehmensprozesse, die gewährleisten, dass personenbezogene Daten nur bei Vorliegen einer Rechtsgrundlage verarbeitet werden. Hierzu gehört auch, dass die Identität einer Person, die eine Datenverarbeitung initiiert, ausreichend überprüft wird.

03.07.2023 // Schweden

Bußgeld in Höhe von 1.016.475 EUR gegen die Tele2 Sverige AB (Schweden) wegen eines unrechtmäßigen Drittlandtransfers

Die schwedische Datenschutzbehörde (IMY) hat gegen das Telekommunikationsunternehmen Tele2 Sverige AB aufgrund eines unrechtmäßigen Drittlandtransfers ein Bußgeld in Höhe von 1.016.475 EUR verhängt.

Im Jahr 2020 legte die Nichtregierungsorganisation NOYB bei der schwedischen Behörde eine Beschwerde gegen das Telekommunikationsunternehmen ein, das auf seiner Website das Analyse-Tool Google Analytics eingebunden hatte. Auf Grundlage dieser Beschwerde leitete die Aufsichtsbehörde eine Untersuchung ein, die sich auf eine Version von Google Analytics vom 14. August 2020 bezog.

Zu diesem Zeitpunkt wurde Google Analytics auf dem europäischen Markt von der Google LLC mit Sitz in den USA zur Verfügung gestellt. Der daraus resultierende Drittlandtransfer in die USA erfolgte auf Grundlage von Standardvertragsklauseln. Tele2 Sverige unterließ es jedoch, zusätzliche Garantien zur Gewährleistung eines angemessenen Schutzniveaus mit Google LLC zu vereinbaren, sodass der Drittlandtransfer nach Ansicht der schwedischen Behörde als unrechtmäßig anzusehen war.

Fazit der Datenschutzkanzlei

Bei aktuellen Versionen von Google Analytics fungiert die Google Ireland Limited mit Sitz in der EU als Vertragspartner europäischer Kunden. Europäische Nutzer von Google Analytics agieren daher nicht mehr als Datenexporteure. Die Entscheidung der Behörde lässt sich daher keineswegs auf jegliche Nutzung von Google Analytics übertragen. Gerne beraten wir Sie hinsichtlich der rechtskonformen Nutzung von Google Analytics.

22.06.2023 // Frankreich

Bußgeld in Höhe von 40 Millionen Euro gegen die Criteo S.A. (Frankreich) wegen mehrerer Datenschutzverstöße

Die französische Datenschutzbehörde (CNIL) hat gegen das Werbeunternehmen Criteo S.A. aufgrund von Verstößen gegen mehrere datenschutzrechtlichen Vorschriften ein Bußgeld in Höhe von 40.000.000 EUR verhängt.

Criteo ist gemeinsam mit seinen Kunden für das Tracking von Nutzer:innen auf Online-Plattformen zuständig. Für den Einsatz der Criteo-Cookies ist eine Einwilligung notwendig. Die Aufsichtsbehörde Frankreichs bemängelte nun, dass Criteo seine Kunden nicht dazu verpflichtet hat, diese Einwilligungen einzuholen. Zudem habe Criteo das Vorliegen von Einwilligungen nicht ausreichend kontrolliert.

Darüber hinaus stellte die Behörde weitere Datenschutzverstöße fest: Das Vertragswerk zwischen Criteo und seinen Kunden genügte  den Anforderungen eines Vertrags zur gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO nicht, Criteos Datenschutzerklärung war unvollständig und Criteo kam Betroffenenanfragen nur unzureichend nach.

Criteo zeigte bereits Besserungswillen und hat einige von der Behörde kritisierte Punkte angepasst.

Fazit der Datenschutzkanzlei

Datenschutzverstöße können insbesondere für Unternehmen, die über umfangreiche Datensätze verfügen, empfindliche Bußgelder nach sich ziehen. Das Bußgeld stellt jedoch das Geschäftsmodell von Criteo nicht grundsätzlich in Abrede. Eine Zusammenarbeit mit Criteo ist aus unserer Sicht daher weiterhin im Rahmen des Möglichen. Bei Fragen stehen wir Ihnen gerne beratend zur Seite.

13.06.2023 // Schweden

Bußgeld in Höhe von 4.992.083 EUR gegen Spotify AB (Schweden) wegen der unzulänglichen Beantwortung von Auskunftsanfragen

Die schwedische Datenschutzbehörde (IMY) hat gegen Spotify AB ein Bußgeld in Höhe von 4.992.038 EUR verhängt. Grund hierfür war die mangelhafte Beantwortung von Auskunftsanfragen.

Infolge mehrerer Beschwerden von betroffenen Personen leitete die schwedische Behörde im Jahr 2019 Untersuchungen bei Spotify ein. Hierbei stellte die Behörde mehrere Mängel bei der Beantwortung von Auskunftsanfragen fest. Insbesondere wurde bemängelt, dass Spotify betroffene Personen nicht ausreichend darüber informierte, wie und zu welchen Zwecken personenbezogene Daten verarbeitet werden. Zudem wurden betroffene Personen nicht über geeignete Garantien für Übermittlungen in Drittländer informiert und schwer verständliche Informationen wurden nur auf Englisch beschrieben.

Weil Spotify mit mehreren Niederlassungen in der EU und Kunden in ganz Europa grenzüberschreitend tätig ist, arbeitete die schwedische Behörde während des Bußgeldverfahrens mit allen anderen europäischen Aufsichtsbehörden zusammen.

Fazit der Datenschutzkanzlei

Bei der Beantwortung von Betroffenenanfragen ist stets darauf zu achten, dass die betroffene Person in die Lage versetzt wird, die Hintergründe und die Rechtmäßigkeit einer Datenverarbeitung nachvollziehen zu können. Kommen Unternehmen dem nicht nach, drohen empfindliche Bußgelder.

09.06.2023 // Italien

Bußgeld in Höhe von 7.631.175 EUR gegen Tim S.p.A. (Italien) aufgrund zahlreicher und wiederkehrender Datenschutzverstöße

Die italienische Datenschutzbehörde (GDPD) hat gegen das Telekommunikationsunternehmen Tim S.p.A ein Bußgeld in Höhe von 7.631.175 EUR verhängt. Grund hierfür waren unerlaubte Werbeanrufe, fehlende oder verspätete Reaktionen auf Betroffenenanfragen sowie die Anfertigung einer öffentlich zugänglichen Liste mit Telefonnummern ohne die Einwilligungen der betroffenen Personen.

Das Unternehmen war der Behörde bereits wegen vergangener Datenschutzverstöße bekannt. Trotz bereits ausgesprochener Bußgelder gingen bei der italienischen Behörde weiterhin zahlreiche Beschwerden über das Unternehmen ein. Untersuchungen ergaben, dass in vielen Fällen keine wirksamen Einwilligungen in Werbemaßnahmen vorlagen oder die Betroffenen auf öffentlich einsehbaren Opt-Out-Listen standen.

Um unrechtmäßige Werbeanrufe zukünftig zu verhindern, sprach die Behörde nicht nur ein Bußgeld aus, sondern wies das Unternehmen auch dazu an, sein Call-Center stärker zu kontrollieren.

Fazit der Datenschutzkanzlei

Dieses Urteil hebt hervor, dass besonders im Werbekontext Prozesse zur Gewährleistung der Rechtmäßigkeit von Datenverarbeitungen zu implementieren sind. Anderenfalls fallen Beschwerden bei Aufsichtsbehörden auf fruchtbaren Boden und können – gerade für Wiederholungstäter – empfindliche Bußgelder nach sich ziehen.

31.05.2023 // Deutschland

Bußgeld in Höhe von 300.000 EUR gegen eine Berliner Bank (Deutschland) aufgrund mangelnder Transparenz über eine automatisierte Entscheidungsfindung

Die Berliner Datenschutzbehörde (BlnBDI) hat gegen eine Berliner Bank ein Bußgeld in Höhe von 300.000 EUR verhängt. Laut dem Nachrichtenportal Heise Online handelt es sich hierbei um die Deutsche Kreditbank AG (DKB), eine Tochter der Bayerischen Landesbank.

Anlass für das Bußgeld war die Beschwerde eines Kunden bei der Berliner Datenschutzbehörde. Dieser hatte bei der Bank einen digitalen Antrag für eine Kreditkarte gestellt. Hierbei fragte die Bank zunächst unterschiedliche Daten wie das Einkommen, Beruf und Personalien ab. Anhand dieser Informationen und zusätzlicher Daten aus externen Quellen lehnte ein Algorithmus der Bank den Antrag ohne besondere Begründung ab, obwohl der Kunde über einen guten Schufa-Score und ein geregeltes Einkommen verfügte. In seiner Verwunderung über die Ablehnung verlangte der Kunde daraufhin Auskunft nach Art. 15 DSGVO. Die Bank verweigerte jedoch eine Aussage über die Gründe für die Ablehnung des Antrags im Einzelfall und machte stattdessen lediglich allgemeine Angaben zur automatisierten Entscheidungsfindung. Dem Kunden war es somit nicht möglich, die Hintergründe der Ablehnung nachzuvollziehen.

Die Berliner sahen hierin einen Verstoß gegen die Art. 22 Abs. 3, Art. 5 Abs. 1 Buchst. a und Art. 15 Abs. 1 Buchst. h DSGVO. Bei der Bußgeldbemessung berücksichtige die Behörde nach eigenen Angaben das kooperative Verhalten und den Besserungswillen der Bank.

Fazit der Datenschutzkanzlei

Auch wenn es das Medienecho auf dieses Bußgeld teilweise vermuten lässt, verbietet das Datenschutzrecht automatisierte Entscheidungsfindungen nicht per se. Insbesondere im Zusammenhang mit Vertragsschlüssen sind automatisierte Entscheidungsfindungen grundsätzlich zulässig. Allerdings haben Unternehmen in solchen Fällen erhöhte Transparenzanforderungen gegenüber den betroffenen Personen zu erfüllen und müssen diese in die Lage versetzen, die automatisierte Entscheidung nachzuvollziehen. Das Bußgeld zeigt daher wieder einmal, dass der Datenschutz nicht immer nur Verhinderer ist, aber von Anfang mitgedacht werden muss.

22.05.2023 // Irland

Bußgeld in Höhe von 1,2 Milliarden EUR gegen die Meta Platforms Ireland Limited (Irland) wegen unzulässiger Drittlandübermittlungen in die USA

Die irische Datenschutzbehörde hat gegen die Meta Platforms Ireland Limited (Irland) ein Bußgeld in Höhe von 1,2 Milliarden EUR wegen unzulässiger Drittlandübermittlungen in die USA verhängt. Das Bußgeld stellt bis dato das höchste je verhängte DSGVO-Bußgeld dar.

Im Nachgang zum Schrems II-Urteil, in dem der letzte Angemessenheitsbeschluss für die USA für ungültig erklärt wurde, leitete die irische Datenschutzbehörde Untersuchungen bei Meta Ireland ein. Hierbei stellte die Behörde fest, dass die von Meta durchgeführten Übermittlungen personenbezogener Daten in die USA nicht im Einklang mit der DSGVO stehen. Zwar hat Meta Ireland den US-Datentransfer auf das aktuelle Set der Standardvertragsklauseln gestützt und ergriff darüber hinaus zusätzliche Maßnahmen zum Schutz der Daten. Nach Ansicht der irischen Behörde reichten diese Maßnahmen allerdings nicht aus.

Ursprünglich beabsichtigte die irische Aufsichtsbehörde jedoch nicht, Meta aufgrund dieses Verstoßes mit einem Bußgeld zu belegen. Allerdings waren sie nach Art. 63 Abs. 3 DSGVO dazu verpflichtet, ihren Beschlussentwurf an andere europäische Aufsichtsbehörden zur Stellungnahme zu übermitteln. Ein paar dieser Behörden waren mit dem Vorgehen der irischen Behörde nicht einverstanden, woraufhin der Europäische Datenschutzausschuss in einem Streitbeilegungsverfahren nach Art. 65 DSGVO die Iren anwies, Meta mit einem Bußgeld zu belegen. Meta kündigte bereits an, gegen das Bußgeld vorgehen zu wollen.

Fazit der Datenschutzkanzlei

Das neue Rekordbußgeld reiht sich eine Reihe zahlreicher horrender Bußgelder gegen den Meta-Konzern ein und betrifft diesmal die grundlegende Frage des Datentransfers in die USA. Unternehmen, die Drittlandübermittlungen auf Standardvertragsklauseln stützen, sollten das Bußgeld einmal mehr als Anlass nehmen, die Rechtmäßigkeit dieser Übermittlungen zu überprüfen. Insbesondere sollten Transfer Impact Assessments (TIA) durchgeführt werden, um das Risiko für die Daten im Drittland zu bewerten. Daneben erhöht das Bußgeld den Druck auf die Politik auf beiden Seiten des Atlantiks, den angekündigten Angemessenheitsbeschluss für die USA in die Tat umzusetzen. Es bleibt abzuwarten, mit welchem Ergebnis sich Meta gegen dieses Bußgeld wehren wird.

17.05.2023 // Frankreich

Bußgeld in Höhe von 380.000 EUR gegen DOCTISSIMO (Frankreich) wegen verschiedener DSGVO- und Cookie-Verstöße

Die französische Datenschutzbehörde (CNIL) hat gegen DOCTISSIMO, den Betreiber einer Gesundheits-Website, ein Bußgeld in Höhe von insgesamt 380.000 EUR verhängt. Die CNIL wurde auf Beschwerde des Verbands „Privacy International“ hin tätig und stellte im Rahmen von Prüfungen mehrere Verstöße gegen die DSGVO und die nationalen Cookie-Regelungen fest.

DOCTISSIMO bewahrte Ergebnisse von Online-Tests, die die Nutzer:innen auf der Website durchführen konnten, sowie inaktive Nutzer:innen-Accounts für einen nach Ansicht der Behörde zu langen Zeitraum auf. Darüber hinaus verarbeitete DOCTISSIMO bei diesen Online-Tests auch Gesundheitsdaten der Nutzer:innen. Eine notwendige Einwilligung für die Verarbeitung dieser Daten wurde nicht eingeholt. Die CNIL stellte weiterhin fest, dass notwendige Vereinbarungen zur gemeinsamen Verantwortlichkeit gem. Art. 26 DSGVO nicht vorlagen und DOCTISSIMO unzureichende technische und organisatorische Maßnahmen implementiert hatte. Bis Oktober 2019 war die Website beispielsweise nur über eine unverschlüsselte http-Verbindung abrufbar. Auch die Passwörter für die Accounts der Nutzer:innen wurden nicht ausreichend gesichert.

Neben diesen zahlreichen DSGVO-Verstößen bemängelte die CNIL zudem den Einsatz von Cookies auf der Website von DOCTISSIMO. Auch hier fehlte die notwendige Einwilligung der Website-Besucher:innen.

Fazit der Datenschutzkanzlei

Der Fall aus Frankreich zeigt einmal mehr, dass Beschwerden von Datenschutzverbänden und Betroffenen von Aufsichtsbehörden ernst genommen werden. Nicht selten führen solche Beschwerden am Ende zu umfangreichen Bußgeldern. Im Rahmen der Datenschutz-Compliance sollte daher verstärkt auch auf den sorgsamen Umgang mit externen Hinweisen, Anfragen und Beschwerden geachtet werden, sodass Beschwerden bei der Aufsichtsbehörde gar nicht erst nötig werden.

10.05.2023 // Spanien

Bußgeld in Höhe von 75.000 EUR gegen die MARKETING ACCOMODATION SOLUTIONS FZ, L.L.C., (Spanien) wegen der Verletzung des Grundsatzes der Datenminimierung und von Informationspflichten

Die spanische Datenschutzbehörde hat gegen die MARKETING ACCOMMODATION SOLUTIONS FZ, L.L.C., ein Bußgeld in Höhe von 75.000 EUR wegen der Verletzung des Grundsatzes der Datenminimierung und von Informationspflichten verhängt. 

Aufmerksam wurde die Behörde aufgrund der Beschwerde einer betroffenen Person, die bei dem Unternehmen ein Airbnb-Appartement buchte. Die Behörde stellte in ihren Ermittlungen fest, dass das Unternehmen im Rahmen des Online-Check-Ins diverse Daten abfragte, die für den Check-In nicht erforderlich waren. Gäste mussten unter anderem eine Kopie ihres Ausweises und ein Selfie einreichen. Zudem stellte sich heraus, dass die Datenschutzinformationen für Gäste nach Art. 13 DSGVO nicht vollständig waren, da unter anderem notwendige Angaben zum Verantwortlichen fehlten.

Fazit der Datenschutzkanzlei

Dieses Bußgeld aus Spanien rückt den zentralen datenschutzrechtlichen Grundsatz der Datenminimierung (Art. 5 Abs. 1 Buchst. c DSGVO) in den Vordergrund. Demnach müssen personenbezogene Daten für den Zweck, zu dem sie erhoben wurden, angemessen und erheblich sowie auf das notwendige Maß beschränkt sein. Insbesondere bei der Gestaltung von Formularen ist diesem Grundsatz Rechnung zu tragen.

04.05.2023 // Kroatien

Bußgeld in Höhe von 2.265.000 EUR gegen die B2 Kapital d.o.o. (Kroatien) aufgrund diverser Datenschutzverstöße

Die kroatische Datenschutzbehörde (AZOP) hat gegen das Inkassounternehmen B2 Kapital d.o.o. ein Bußgeld in Höhe von 2.265.000 EUR wegen diverser Datenschutzverstöße verhängt.

Anstoß für das Bußgeld war eine anonyme Beschwerde bei der kroatischen Behörde. Dem oder der anonymen Hinweisgeber:in war es Ende letzten Jahres gelungen, unbefugt auf Daten von mehreren zehntausend Personen zuzugreifen. Die Behörde leitete daraufhin Ermittlungen beim Inkassounternehmen ein. Bei diesen traten zahlreiche Datenschutzverstöße zu Tage.

Die Behörde stellte zunächst fest, dass das Unternehmen keine angemessenen technischen und organisatorischen Maßnahmen implementiert hatte, die einen Schutz vor unbefugten Datenzugriffen durch Dritte gewährleisten.  Zudem wurden betroffene Personen in zahlreichen Fällen nicht korrekt über die Datenverarbeitungen informiert. Auch nach Kenntnis von diesem Verstoß änderte das Unternehmen seine mangelhafte Datenschutzerklärung nicht, was für die Datenschutzbehörde als erschwerender Grund für die Höhe des Bußgeldes hinzutrat. Das Unternehmen schloss darüber hinaus keinen notwendigen Auftragsverarbeitungsvertrag mit einem Dienstleister.

Fazit der Datenschutzkanzlei

Dieses Bußgeld aus Kroatien zeigt einerseits, wie wichtig es ist, personenbezogene Daten angemessen zu schützen. Andererseits wird deutlich, dass Hinweise bei der Behörde und anschließende Ermittlungen oft der Anstoßpunkt für die Aufdeckung weiterer Datenschutzverstöße in unterschiedlichen Bereichen sind. Es ist also wichtig, nicht nur die außenwirksamen Datenschutz-Themen zu adressieren, sondern auch intern für eine gewisse Grund-Compliance zu sorgen.

14.04.2023 // Niederlande

Bußgeld in Höhe von 150.000 EUR gegen die Sociale Verzekeringsbank SVB (Niederlande) aufgrund unzureichender Identitätsprüfungen

Die niederländische Datenschutzbehörde (AP) hat gegen die Sociale Verzekeringsbank SVB ein Bußgeld in Höhe von 150.000 EUR wegen unzureichender Identitätsprüfungen bei der telefonischen Erteilung von Auskünften verhängt.

Anlass für das Bußgeld war die Beschwerde eines Kunden. Dieser hatte entdeckt, dass es einer anderen Person gelungen war, über den telefonischen Helpdesk die Daten anderer Kund:innen anzufordern. Im Rahmen der Untersuchung stellte die Behörde fest, dass die Identitätsprüfungen der Bank unzureichend waren, da lediglich einfach herauszufindende Informationen (z.B. Name und Adresse) von den Anrufer:innen abgefragt wurden. Zudem stellte sich heraus, dass die Beschäftigten nicht ausreichend im Datenschutz sensibilisiert wurden. Eine ausreichende Kontrolle der Einhaltung der Vorgaben für die Identitätsüberprüfungen fand ebenfalls nicht statt.

Die Datenschutzbehörde der Niederlande stellte einen Verstoß gegen Art. 32 DSGVO fest und betonte, dass angemessene Datensicherheitsmaßnahmen gerade bei einem Unternehmen wie der SVB, das Sozialversicherungsleistungen an ca. 5 Mio. Menschen auszahlt, besonders wichtig sind.

Fazit der Datenschutzkanzlei

Das Bußgeld aus den Niederlanden macht deutlich, dass Unternehmen angemessene Maßnahmen implementieren müssen, die sicherstellen, dass personenbezogene Daten im Rahmen der telefonischen Beauskunftung nicht an unbefugte Personen herausgegeben werden. Die Einhaltung dieser Maßnahmen ist zudem regelmäßig zu kontrollieren. Die Beschäftigten sind entsprechend zu schulen und zu sensibilisieren.

12.04.2023 // Italien

Bußgeld in Höhe von 120.000 EUR gegen die Eurosanità S.P.A. (Italien) aufgrund fehlender technischer und organisatorischer Maßnahmen

Die italienische Datenschutzbehörde (GDPD) hat gegen die Eurosanità S.P.A. ein Bußgeld in Höhe von 120.000 EUR wegen fehlender technischer und organisatorischer Maßnahmen zum Schutz besonderer Kategorien personenbezogener Daten nach Art. 9 DSGVO verhängt.

Anstoß für das Bußgeld war die Beschwerde einer Person, deren Krankenakte an einen falschen Empfänger übermittelt wurde. Der Empfänger der Gesundheitsdaten trug zwar denselben Vor- und Nachnamen wie die betroffene Person, Wohnort und Geburtsdatum der Personen waren jedoch unterschiedlich. Auf Nachforschung stellte sich heraus, dass die Gesundheits- und Behandlungsinformationen beider Personen tatsächlich innerhalb einer Krankenakte dokumentiert wurden.

Die italienische Datenschutzbehörde stellte daher einen Verstoß gegen die Grundsätze der Richtigkeit sowie Integrität und Vertraulichkeit (Art. 5 Abs. 1 Buchst. d) und f) DSGVO) fest. Daneben lag ein Verstoß gegen die Pflichten aus Art. 32 DSGVO vor. Das Unternehmen hatte keine ausreichenden technischen und organisatorischen Maßnahmen getroffen, um solche Vorfälle zu vermeiden.

Fazit der Datenschutzkanzlei

Technische und organisatorische Maßnahmen sind je nach Risiko der verarbeiteten personenbezogenen Daten sorgsam auszuwählen und zu implementieren. Bei der Verarbeitung von Gesundheitsdaten müssen auch selten vorkommende Fälle, wie die Übereinstimmung von Namen, bei der Auswahl der Maßnahmen berücksichtigt werden.

08.03.2023 // Norwegen

Bußgeld in Höhe von ca. 218.365 EUR gegen die Argon Medical Devices, Inc. (USA) aufgrund der verspäteten Meldung einer Datenschutzverletzung

Die norwegische Datenschutzbehörde (Datatilsynet) hat gegen die Argon Medical Devices, Inc. ein Bußgeld in Höhe von ca. 218.365 EUR wegen der verspäteten Meldung einer Datenschutzverletzung verhängt.

Das amerikanische Gesundheitsunternehmen hatte der norwegischen Behörde am 24.09.2021 gemeldet, dass der E-Mail-Account des Senior Vice Presidents of Human Resources gehackt wurde, wodurch der unbefugte Zugang zu Personaldaten möglich war. Unter diesen Personaldaten waren Gehaltsdaten von allen europäischen Beschäftigten inkl. eines norwegischen Beschäftigten. Im Rahmen der Meldung stellte sich heraus, dass das Unternehmen bereits am 16.07.2021 Kenntnis davon erlangte, dass Personen im EWR von dem Hackerangriff betroffen sind. Die Meldepflicht des Art. 33 DSGVO, wonach risikobehaftete Datenschutzverletzungen innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden sind, war dem Unternehmen allerdings zunächst nicht bekannt.

Da das Unternehmen aus den USA über eine Hauptniederlassung im EWR im Sinne des Art. 4 Nr. 16 DSGVO verfügt, war es der norwegischen Behörde nach Art. 55 Abs. 1 DSGVO möglich, aufgrund der verzögerten Meldung der Datenschutzverletzung ein Bußgeld zu verhängen.

Fazit der Datenschutzkanzlei

Verletzungen von Meldepflichten bei Datenschutzverletzungen können für Unternehmen teuer werden. Dabei lassen sich diese Bußgelder durch die Schaffung von internen Prozessen wirksam verhindern. Was bei Datenpannen zu beachten ist und wie sich derartige Bußgelder verhindern lassen, lesen Sie in unserem Blogbeitrag Notfallplan bei Datenschutzpannen.

 03.03.2023 // Italien

Bußgeld in Höhe von 30.000 Euro gegen die Verizon Connect Italy S.p.A (Italien) wegen der mangelnden Ausgestaltung einer Auftragsverarbeitung

Die italienische Aufsichtsbehörde (GDPD) hat ein Bußgeld i.H.v. 30.000 Euro gegen die Verizon Connect Italy S.p.A (Italien) verhängt.

Anlass für das Bußgeld gegen den italienischen Ableger des TK-Giganten aus den USA war die unzureichende vertragliche Ausgestaltung einer Auftragsverarbeitung. Verizon wurde von einem Kunden mit dem Einbau und Betrieb von GPS-Systemen in Fahrzeugen beauftragt und verarbeitete in diesem Zusammenhang personenbezogene Daten der Beschäftigten dieses Kunden.

Nach Ansicht der Aufsichtsbehörde in Italien agierte Verizon bei dieser Datenverarbeitung als Auftragsverarbeiter. Verizon unterließ es jedoch, diese Auftragsverarbeitung nach den Vorgaben der DSGVO angemessen vertraglich zu regeln.

Infolgedessen lag für die Datenverarbeitung keine wirksame Rechtsgrundlage vor. Verizon verstieß somit mehr als vier Jahre gegen Art. 5 Abs. 1 Buchst. a, Art. 6 und Art. 28 Abs. 3 DSGVO.

Fazit der Datenschutzkanzlei

Dieses Bußgeld der sehr aktiven Datenschutzbehörde in Italien verdeutlicht, dass bei Auslagerungen von Datenverarbeitungen eingehend geprüft werden muss, ob eine Auftragsverarbeitung vorliegt. Bei einem positiven Ergebnis ist die Datenverarbeitung nach den Vorgaben des Art. 28 Abs. 3 DSGVO eindeutig zu regeln. Darüber hinaus zeigt das Bußgeld, dass es nicht nur die Pflicht des Verantwortlichen ist, die Auftragsverarbeitung vertraglich abzusichern. Auch der Auftragsverarbeiter ist seinerseits verpflichtet, die gesetzlichen Anforderungen an eine Auftragsverarbeitung zu erfüllen.

08.02.2023 // Norwegen

Bußgeld in Höhe von ca. 900.000 Euro gegen die SATS ASA (Norwegen)

Die Datenschutzbehörde Norwegens (Datatilsynet) hat am 08.02.2023 die Verhängung eines Bußgelds i.H.v. umgerechnet ca. 900.000 Euro gegen den Betreiber der skandinavischen Fitnessstudiokette SATS öffentlich gemacht.

Der Pressemitteilung zufolge kam das Fitnessunternehmen im Zeitraum von 2018 bis 2021 mehreren Betroffenenanfragen zum Recht auf Auskunft oder Löschung nicht nach. Zudem verarbeitete das Unternehmen Daten über die Trainingshistorie von Kund:innen, wofür nach Ansicht der norwegischen Behörde keine Rechtsgrundlage vorlag.

SATS betreibt Fitnessstudios in allen Ländern Skandinaviens und ist nach Angabe norwegischen Datenschutzbehörde Marktführer in dieser Region.

Fazit der Datenschutzkanzlei

Das Bußgeld gegen die skandinavische Fitnessstudiokette zeigt, dass Betroffenenanfragen keinesfalls auf die leichte Schulter genommen werden sollten. Um zu gewährleisten, dass Betroffenenanfragen vollständig und fristgerecht nachgekommen wird, sind die Beschäftigten für Betroffenenanfragen zu sensibilisieren, sowie interne Meldewege und Prozesse zu schaffen.

Das Bußgeld hebt zudem hervor, dass vor Beginn einer Datenverarbeitung geprüft werden muss, ob diese im Einklang mit datenschutzrechtlichen Vorgaben erfolgt. Auch hierfür sind interne Prozesse zu definieren und zu implementieren.

03.02.2023 // Italien

Bußgeld in Höhe von 100.000 Euro gegen die Altroconsumo Edizioni Srl (Italien) aufgrund von Werbeanrufen ohne wirksame Einwilligung

Die italienische Datenschutzbehörde (GDPD) hat gegen die Altroconsumo Edizioni Srl ein Bußgeld in Höhe von 100.000 Euro verhängt. Der Grund war eine Beschwerde einer betroffenen Person, die einen unerwünschten Werbeanruf erhielt.

Im Rahmen der Untersuchungen stellte die Behörde fest, dass das werbende Unternehmen keine wirksame Einwilligung der betroffenen Person vorweisen konnte. Zwar wurde im Rahmen eines Gewinnspiels seitens eines Dienstleisters eine Einwilligung der betroffenen Person eingeholt. Aus dieser Einwilligungserklärung ging jedoch nicht hervor, dass die hierfür erhobenen Daten auch für Werbemaßnahmen anderer Unternehmen genutzt werden können. Es fehlte daher an der für eine wirksame Einwilligung notwendigen Transparenz.

Darüber hinaus stellte die Behörde im Verlauf der Untersuchungen fest, dass die bei den Telefonanrufen übermittelten Informationen gem. Art. 13, 14 DSGVO unzureichend waren.

Fazit der Datenschutzkanzlei

Bußgelder aufgrund von unrechtmäßigen Werbeaktionen sind und bleiben ein Dauerbrenner. Dieser Fall zeigt einmal mehr, dass bereits eine einzelne Beschwerde einer Person zu Untersuchungen der Behörde führen können. Im Zuge der behördlichen Untersuchungen kommen dann nicht selten weitere Verstöße zum Vorschein.

12.01.2023 // Frankreich

Bußgeld in Höhe von 5 Mio. Euro gegen TikTok

Die französische Aufsichtsbehörde (CNIL) hat am 29.12.2022 ein Bußgeld gegen die Betreiber der Social Media-Plattform „TikTok“ verhängt. Konkrete Bußgeldadressaten waren die britische TikTok Information Technologies UK Limited sowie die irische TikTok Technology Limited.

Grund für das Bußgeld war ein nach Ansicht der CNIL fehlerhaftes Cookie-Consent-Banner. In diesem konnten Plattform-Nutzer:innen die Cookie-Einwilligung zwar mit einem Klick bestätigen, allerdings nur mit mehreren zusätzlichen Klicks ablehnen. Es fehle nach Ansicht der CNIL in diesem Fall an der Freiwilligkeit der Einwilligung, da viele Nutzer:innen statt der aufwändigen Ablehnung die schnelle Zustimmung wählen würden, ohne tatsächlich in das Setzen von Cookies einwilligen zu wollen.

Darüber hinaus fehlte es bei Tiktok an einer ausreichend präzisen Information über die Zwecke der eingesetzten Cookies.

Die Entscheidung der CNIL erging nicht auf Grundlage der DSGVO, sondern auf Basis des Art. 82 des „Loi informatique et Libertés“, in welchem unter anderem die europäische ePrivacy-Richtlinie umgesetzt wurde. Art. 82 des französischen Gesetzes hat einen ähnlichen Regelungscharakter wie der deutsche § 25 TTDSG.

Fazit der Datenschutzkanzlei

Die Entscheidung der französischen Behörde schärft die Regelungen im Hinblick auf die Gestaltung eines Cookie-Consent-Banners einmal mehr. Ähnlich wie die französische Aufsichtsbehörde fordern auch die deutschen Behörden immer konkreter, dass die Ablehnung einer Einwilligung stets so einfach sein muss, wie die Zustimmung. Ist also auf der ersten Ebene des Cookie-Consent-Banners eine direkte Zustimmungsmöglichkeit vorhanden, so muss auf derselben Ebene auch eine direkte Ablehnen-Möglichkeit implementiert sein. Ist dies nicht entsprechend umgesetzt, entstehen Risiken.

10.01.2023 // Irland

Bußgeld in Höhe von 390 Mio. Euro gegen die Meta Platforms Ireland Ltd. (Irland) wegen der unrechtmäßigen Nutzung von Nuter:innendaten

Die irische Aufsichtsbehörde hat am 04.01.2023 ein Bußgeld gegen die Meta Platforms Ireland Ltd. verhängt. Grund dafür war die unrechtmäßige Verarbeitung von Nutzer:innendaten auf den Plattformen Facebook und Instagram. Das Bußgeld geht zurück auf zwei Beschwerden, die am ersten Tag der Geltung der DSGVO am 25.05.2018 bei der irischen Datenschutzbehörde eingingen, und teilt sich auf die beiden Plattformen Facebook (210 Mio. Euro) und Instagram (180 Mio. Euro) auf. Neben dem Bußgeld wurde Meta zudem angewiesen, die beanstandeten Verarbeitungstätigkeiten innerhalb von drei Monaten in Ordnung zu bringen.

Meta hatte kurz vor dem 25.05.2018 die für Facebook und Instagram geltenden Nutzungsbedingungen dahingehend geändert, dass anstelle einer Einwilligung der Nutzer:innen zukünftig ein zwischen Meta und den Plattform-Nutzer:innen entstehender Vertrag als Rechtsgrundlage für die stattfindenden Datenverarbeitung herangezogen werde. Auch die personalisierte, verhaltensbezogene Werbung wurde so nach Ansicht von Meta durch den Nutzungsvertrag legitimiert.

Die irische Aufsichtsbehörde sah diese Legitimation von Meta grundsätzlich als rechtmäßig an und wollte daher ursprünglich ein deutlich geringeres Bußgeld, lediglich aufgrund von Transparenzverstößen, verhängen. Im Rahmen des aufsichtsbehördlichen Konsultationsverfahrens wurde dieser Beschluss allerdings zurückgenommen und die irische Behörde verpflichtet, auch die Legitimation der werblichen Datenverarbeitung auf Grundlage des Vertrages als unrechtmäßig zu bewerten. In der Folge musste auch das Bußgeld erhöht werden.

Im Rahmen des Konsultationsverfahrens hat der Europäische Datenschutzausschuss die irische Behörde zudem angewiesen, die Datenverarbeitungsprozesse bei Meta grundlegend zu prüfen, insbesondere auch im Hinblick auf die Verarbeitung von besonderen Kategorien personenbezogener Daten. Die irische Behörde weigert sich, eine solche Prüfung durchzuführen und kündigt in der Pressemitteilung an, rechtliche Schritte gegen die Weisung einzuleiten.

Fazit der Datenschutzkanzlei

Bußgelder gegen Meta bleiben ein Dauerbrenner. In diesem Fall zeigt sich allerdings wieder einmal, dass das in der DSGVO festgelegte Konsultationsverfahren, insbesondere im Hinblick auf die Durchsetzung der DSGVO in Irland, eine wichtige Funktion innehat. Ohne die entsprechende Konsultation und die letztliche Entscheidung des Europäischen Datenschutzausschusses wäre der vorliegende Fall grundlegend anders entschieden und sanktioniert worden. Die Entscheidung unterstreicht zudem erneut, dass für das Ausspielen personalisierter Werbung in aller Regel eine Einwilligung der betroffenen Personen erforderlich ist.

22.12.2022 // Frankreich

Bußgeld in Höhe von 60 Mio. € gegen die Microsoft Ireland Operations Limited wegen der rechtswidrigen Setzung von Cookies auf bing.com

Die französische Datenschutzbehörde hat am 22.12.2022 ein Bußgeld in Höhe 60 Mio. € gegen Microsoft Ireland Operations Limited Ltd. verhängt. Grund für das horrende Bußgeld ist die rechtswidrige Setzung von Cookies in der Suchmaschine bing.com. Nach einer Beschwerde im Jahr 2020 führte die französische Behörde in den Jahren 2020 und 2021 mehrere Überprüfungen der Website durch. Hierbei stellte sich raus, dass einwilligungsbedürftige Cookies ohne die Einwilligung der Besucher:innen gesetzt werden. Die Website verfügte zudem über kein Consent Management Tool, mit dem die Besucher:innen das Setzen von Cookies ebenso einfach ablehnen wie bestätigen konnten.

Die französische Aufsichtsbehörde CNIL verhängte daraufhin ein Bußgeld gegen Microsoft und begründete die Höhe mit dem Umfang der Datenverarbeitung, der Anzahl an betroffenen Personen und der hohen Gewinne Microsofts aus den mit der Setzung der Cookies verbundenen Werbeeinnahmen.

Fazit der Datenschutzkanzlei

Die Rechtslage ist eindeutig: Technisch nicht erforderliche Cookies dürfen nicht ohne die Einwilligung von Website-Besucher:innen gesetzt werden. Das Bußgeld gegen Microsoft verdeutlicht, dass ein Verstoß gegen diese Rechtslage mit empfindlichen Bußgeldern einhergehen kann. Zudem hebt das Bußgeld hervor, dass die Ablehnung von Cookies genauso einfach sein muss, wie die Erteilung der Zustimmung.

30.11.2022 // Irland

Bußgeld in Höhe von 265 Mio. Euro gegen die Meta Platforms Ireland Ltd. (Irland) wegen der Veröffentlichung von Nutzer:innendaten 

Die irische Datenschutzbehörde hat am 28.11.2022 ein Bußgeld in Höhe 265 Mio. € gegen Meta Platforms Ireland Ltd. verhängt. Ausgangspunkt für die Verhängung war die Veröffentlichung von personenbezogenen Daten, wie z.B. Namen, Telefonnummern und E-Mail-Adressen, von bis zu 533 Mio. Nutzer:innen aus über 100 Ländern in einem Hacker-Forum im vergangenen Jahr. Die Hacker machten sich dabei die Funktionen Facebook Search, Facebook Messenger Contact Importer und Instagram Contact Importer zunutze.

Die irische Behörde leitete daraufhin ein Verfahren ein, in dem sie mit den Aufsichtsbehörden der anderen europäischen Staaten zusammenarbeitete. Sie kamen nun zum Ergebnis, dass Facebook in Bezug auf die oben genannten Funktionen gegen Art. 25 Abs. 1 und Abs. 2 DSGVO verstoßen habe. Gemäß diesen datenschutzrechtlichen Vorgaben sind Unternehmen dazu verpflichtet, sowohl bereits bei der Gestaltung als auch bei der Konfiguration von Technik, technische und organisatorische Maßnahmen zu implementieren, welche die Einhaltung datenschutzrechtlicher Grundsätze gewährleisten (=data protection by design and by default).

Das jüngste Bußgeld der Iren reiht sich in eine Reihe horrender Bußgelder gegen den US-Konzern ein. Innerhalb der letzten 14 Monate wurde die irische Meta-Gesellschaft mit Bußgeldern in Höhe von insgesamt 910 Mio. € belegt. Meta kündigte bereits an, die Entscheidung prüfen zu wollen und wies darauf hin, dass die erfolgte Datenabschöpfung gegen die Regeln des Konzerns verstößt.

Fazit der Datenschutzkanzlei

Das erneute Bußgeld gegen den Tech-Giganten Meta rückt eine selten beachtete, aber sehr zentrale Vorschrift der DSGVO in den Vordergrund. Nach Art. 25 DSGVO ist bereits bei der Konzeption datenverarbeitender Systeme und Prozesse den datenschutzrechtlichen Grundsätzen Rechnung zu tragen. Gerade technologie- und innovationsgetriebene Unternehmen sollten deshalb den Datenschutz nicht nur als Beiwerk, sondern als zentralen Bestandteil der unternehmerischen Prozesse begreifen.

20.09.2022 // Deutschland

525.000 Euro Bußgeld aufgrund von Interessenkonflikten des betrieblichen Datenschutzbeauftragten 

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) hat gegen die Tochtergesellschaft eines Berliner Handelskonzerns ein Bußgeld in Höhe von 525.000 Euro wegen eines Interessenkonflikts des betrieblichen Datenschutzbeauftragten verhängt. Der intern benannte Datenschutzbeauftragte war mit der unabhängigen Kontrolle von Entscheidungen betraut, die er in anderer Funktion selbst getroffen hatte.

Im vorliegenden Fall war die Person Geschäftsführer von zwei Dienstleistungsgesellschaften, die im Auftrag genau jenes Unternehmens personenbezogene Daten verarbeiteten, für das sie als Datenschutzbeauftragter tätig war. Diese Dienstleistungsgesellschaften sind ebenfalls Teil des Konzerns. Der Datenschutzbeauftragte musste somit die Einhaltung des Datenschutzrechts durch die im Rahmen der Auftragsverarbeitung tätigen Dienstleistungsgesellschaften überwachen, die von ihm selbst als Geschäftsführer geleitet wurden. Die BlnBDI sah in diesem Fall einen Interessenkonflikt und damit einen Verstoß gegen die DSGVO.

Die Aufgabe des Datenschutzbeauftragten bestehe darin, Unternehmen hinsichtlich der datenschutzrechtlichen Pflichten zu beraten und deren Einhaltung zu kontrollieren. Nach Art. 38 Abs. 6 Satz 2 DSGVO kann diese Aufgabe nur von Personen ausgeübt werden, die keinem Interessenkonflikt unterliegen.

Fazit der Datenschutzkanzlei

Augen auf bei der Auswahl und Benennung des Datenschutzbeauftragten. Die Aufgabe darf nicht von Personen wahrgenommen werden, die sich dadurch selbst überwachen würden. Personen mit leitenden Funktionen, die selbst maßgebliche Entscheidungen über die Verarbeitung von personenbezogenen Daten im Unternehmen treffen, sind somit ungeeignet. Um dieser Problematik und letztlich einem Bußgeld zu entkommen, empfehlen wir Ihnen einen externen Datenschutzbeauftragten zu benennen, der seinen Aufgaben ohne Interessenkonflikt nachgehen kann.

22.08.2022 // Frankreich

Bußgeld in Höhe von 600.000 € gegen den französischen Hotelkonzern Accor wegen Verletzung von Informationspflichten und Vernachlässigung von Betroffenenrechten

Die französische Datenschutzbehörde CNIL verhängte ein Bußgeld in Höhe von 600.000€ gegen den französischen Hotelkonzern Accor auf Grund mehrerer Verstöße gegen die DSGVO.

Das international tätige französische Unternehmen meldete Kunden ohne ausreichende Einwilligung zu einem Marketing-Newsletter an, indem die Box für den Erhalt der Mitteilungen bereits standardmäßig mit einem Haken versehen war. Die Behörde begründet darin einen Verstoß gegen die Informationspflicht aus Art. 12 und 13 DSGVO, indem der Konzern nicht die Einwilligung als Rechtsgrundlage für die Verarbeitung – in ausreichend zugänglicher Form – erkennen ließ.

Darüber hinaus war es vielen Empfängern, auf Grund technischer Schwierigkeiten seitens des Konzerns nicht möglich, sich von Werbemitteilungen wieder abzumelden. Hierin sieht die französische Datenschutzbehörde das Widerspruchsrecht der Betroffenen aus Art. 12 und 21 DSGVO verletzt.

Datenschutzbeschwerden von Betroffenen bearbeitete der Konzern außerdem nicht fristgerecht, worin die CNIL einen Verstoß gegen das Auskunftsrecht aus Art. 15 DSGVO sieht.

Fazit der Datenschutzkanzlei

„Der Schutz Ihrer personenbezogenen Daten ist uns wichtig…“. So oder so ähnlich, lauten die wohlklingenden Slogans vieler Unternehmen, wenn es um das Thema Datenschutz geht. Dieses Bußgeld zeigt, dass auf Worte auch Taten folgen müssen und bei allen Prozessen, insbesondere im Marketing der Datenschutz mitbedacht werden muss. Darüber hinaus bedarf es funktionierender Prozesse zur Beantwortung von Betroffenenrechte.

02.08.2022 // Italien

Bußgeld in Höhe von 70.000 EUR gegen die Unicredit S.p.A. wegen der Erschwerung des Rechts auf Auskunft

Die italienische Datenschutzbehörde hat am 16.06.2022 ein Bußgeld in Höhe 70.000 EUR gegen die Unicredit S.p.A. aufgrund der Erschwerung des Rechts auf Auskunft verhängt. Beschäftigte der Unicredit S.p.A., die einen Antrag auf Auskunft nach Art. 15 DSGVO stellten, wurden vom Unternehmen aufgefordert, diesen Antrag über ein vorgefertigtes Formular zu stellen. Nachdem ein Beschäftigter sein Recht auf Auskunft geltend machte, forderte das Kreditinstitut ihn auf, das entsprechende Formular auszufüllen. Als der Beschäftigte dieser Aufforderung nicht nachkam, ging man bei der Bank davon aus, dass dieser an der Ausübung seines Rechts nicht mehr interessiert sei und beantwortete das Auskunftsersuchen zunächst nicht und versäumte somit die gesetzliche Frist von 30 Tagen. Hierin sah die italienische Behörde einen Verstoß gegen Art. 12 Abs. 2 S. 1 DSGVO, wonach der Verantwortliche der betroffenen Person die Ausübung ihrer Rechte zu erleichtern hat.

Bei der verspäteten Beantwortung des Auskunftsersuchens übermittelte die Bank dann zahlreiche Papierdokumente und verwies für die nach Art. 15 Abs. 1 und Abs. 2 DSGVO erforderlichen Informationen auf die Datenschutzhinweise, die den Beschäftigten zu Beginn ihres Beschäftigungsverhältnisses ausgehändigt wurden. Dies genügte nach Auffassung der Behörde nicht, um den Anforderungen des Rechts auf Auskunft nach Art. 15 DSGVO zu entsprechen, da in den Datenschutzhinweisen keine auf den einzelnen Betroffenen zugeschnittenen Informationen enthalten waren. Dies stellt nach Ansicht der Behörde einen Verstoß gegen den Grundsatz aus Treu und Glauben nach Art. 5 Abs. 1 DSGVO und gegen Art. 15 DSGVO dar.

Fazit der Datenschutzkanzlei

Das Bußgeld der Datenschutzaufsicht Italiens stellt klar, dass betroffene Personen über die Form der Ausübung ihrer Rechte nach der DSGVO selbst bestimmen können. Zudem wird deutlich, dass das Recht auf Auskunft individuelle Informationen verlangt und nicht mit generellen Informationen oder mit Verweis auf Datenschutzhinweise beantwortet werden kann.

28.07.2022 // Deutschland

Bußgeld in Höhe von 900.000 EUR gegen ein Kreditinstitut wegen Profilbildung zu Werbezwecken 

Die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) hat am 28.07.2022 ein Bußgeld in Höhe 900.000 EUR gegen ein Kreditinstitut aufgrund von Datenschutzverstößen im Rahmen von Werbemaßnahmen verhängt. Das mit dem Bußgeld belegte Kreditinstitut analysierte das Verhalten von App-Nutzer:innen, die Nutzung von Kontoauszugsdruckern sowie das Volumen von im Online-Banking getätigten Überweisungen und verglich diese Daten mit Nutzungsdaten des Angebots in Filialen. Im Zuge dessen arbeitete das Kreditinstitut mit einem Dienstleister und einer Wirtschaftsauskunftei zusammen. Das Kreditinstitut beabsichtigte mit dieser Auswertung, digital affine Kund:innen zu identifizieren und gezielt anzusprechen.

Das Kreditinstitut argumentierte, dass die Datenverarbeitung zur Verfolgung eines berechtigten Interesses nach Art. 6 Abs. 1 Buchst. f DSGVO erforderlich und somit rechtmäßig sei. Im Rahmen der Anwendung dieses Erlaubnistatbestandes sind die Interessen des Verantwortlichen und der betroffenen Personen gegeneinander abzuwägen. Hierbei spielt es eine gewichtige Rolle, ob die betroffenen Personen die geplante Verarbeitung ihrer personenbezogenen Daten vernünftigerweise erwarten können. Da die beschriebene Datenverarbeitung von den Betroffenen vernünftigerweise nicht erwartet werde, könne sich das Kreditinstitut nicht auf Art. 6 Abs. 1 Buchst. f DSGVO berufen, so die zuständige Aufsichtsbehörde. Daher bedarf die Datenverarbeitung stattdessen der Einwilligung der Betroffenen. Eine wirksame Einwilligung wurde nicht eingeholt, weswegen im Ergebnis keine Rechtsgrundlage vorlag.

Die Behörde betonte, dass bei der Bemessung des Bußgeldes die Kooperationsbereitschaft des Kreditinstituts berücksichtigt wurde, und machte auf eine Häufung vergleichbarer Fälle aufmerksam.

Fazit der Datenschutzkanzlei

Das Bußgeld der obersten Datenschützerin Niedersachsens zeigt, dass vor Beginn einer Datenverarbeitung eingehend geprüft werden sollte, auf welche Rechtsgrundlage die geplante Datenverarbeitung gestützt werden kann. Bei Anwendung des Art. 6 Abs. 1 Buchst. f DSGVO ist zudem im Rahmen einer Interessenabwägung zu berücksichtigen, ob die Betroffenen die Datenverarbeitung vernünftigerweise erwarten können.

26.07.2022 // Deutschland

Bußgeld in Höhe von 1.1 Mio. EUR gegen die Volkswagen AG für verschiedene Datenschutzverstöße im Rahmen von Forschungsfahrten für Fahrassistenzsysteme

Die Landesbeauftragte für den Datenschutz Niedersachsen (Lfd Niedersachsen) verhängte am 26.07.2022 ein Bußgeld in Höhe von 1,1 Millionen Euro gegen die Volkswagen AG aufgrund von Datenschutzverstößen im Rahmen von Forschungsfahrten für Fahrassistenzsysteme. Die Fahrassistenzsysteme werden entwickelt, um Unfällen und Gefahren im Straßenverkehr vorzubeugen. Zu diesem Zwecke wurde der Verkehr um das Forschungsfahrzeug herum aufgezeichnet. Die niedersächsische Behörde stellte hierbei diverse datenschutzrechtliche Versäumnisse des Automobilherstellers fest.

• Aufgrund eines internen Fehlers waren am Fahrzeug keinerlei Hinweisschilder angebracht. Die betroffenen Verkehrsteilnehmer:innen im Umkreis des Fahrzeuges wurden somit nicht über die Verarbeitung ihrer Daten gemäß Art. 13 DSGVO informiert.

• Der Automobilhersteller hatte es zudem versäumt, für diese Verarbeitung einen Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO mit dem Dienstleister zu schließen, der die Forschungsfahrten im Auftrag des Konzerns durchführte.

• Nach Ansicht der Behörde hätte Volkswagen vor der Durchführung der Forschungsfahrten eine Datenschutz-Folgeabschätzung gemäß Art. 35 DSGVO für die Verarbeitung durchführen und die entsprechenden technischen und organisatorischen Maßnahmen im Verzeichnis der Verarbeitungstätigkeiten gemäß Art. 30 DSGVO dokumentieren müssen.

Die im Rahmen der Prüfung festgestellten Versäumnisse wurden durch Volkswagen unverzüglich beseitigt. Die Landesdatenschutzbeauftragte von Niedersachsen, Barbara Thiel, stellte klar, dass die Forschungsfahrten selbst aus datenschutzrechtlicher Sicht nicht zu beanstanden waren. Es bestünden bezüglich der Erhebung und der Weiterverarbeitung personenbezogener Daten im Rahmen der Forschungsfahrten seitens der Behörde keine Bedenken.

Fazit der Datenschutzkanzlei

Das Bußgeld der niedersächsischen Datenschutzbehörde zeigt, dass die DSGVO dem technischen Fortschritt – entgegen diverser Vorurteile – grundsätzlich nicht entgegensteht, solange und soweit die formellen Grundanforderungen des Datenschutzes eingehalten werden.

30.06.2022 // Frankreich

Bußgeld in Höhe von 1.000.000 Euro gegen TOTALENERGIES ÉLECTRICITÉ ET GAZ FRANCE wegen mehrfacher Verstöße gegen Betroffenenrechte

Die französische Datenschutzbehörde CNIL verhängte ein Bußgeld in Höhe von 1.000.000 Euro gegen TOTALENERGIES ÉLECTRICITÉ ET GAZ FRANCE. Das Unternehmen beantwortete Auskunftsanfragen der Betroffenen nicht, führte trotz Widerspruch weiterhin Werbeanrufe durch und kam der Informationspflicht aus Art. 14 DSGVO bei ihren Anrufen nicht nach.

Bereits das Anmeldeformular, über welches Energieverträge mit dem Unternehmen geschlossen wurden, entsprach nicht den Anforderungen der DSGVO. Das Unternehmen verlangte dort von den Nutzer:innen die Zustimmung zur Verwendung ihrer personenbezogenen Daten zum späteren Erhalt kommerzieller Angebote, ohne dass diese die Möglichkeit erhielten, dieser Verwendung zu widersprechen.

Betroffene, die telefonisch von TOTALENERGIES kontaktiert wurden, wurde nicht mitgeteilt, zu welchen Zwecken ihre personenbezogenen Daten verarbeitet werden und sie erhielten auch keine anderweitige Möglichkeit diese Informationen zu erlangen. Hierin sah die CNIL eine klare Verletzung von Art. 14 DSGVO.

Auch auf Betroffenenanfragen reagierte das Unternehmen nicht innerhalb der von Art. 12 DSGVO vorgesehenen Monatsfrist.

Fazit der Datenschutzkanzlei

Die Einhaltung der Informationspflichten und die fristgerechte Beantwortung von Betroffenenanfragen sollte jedes Unternehmen unbedingt im Auge behalten. Die Gefahr, dass sich Betroffene an die Aufsichtsbehörden wenden, ist groß und hohe Bußgelder bei mehrmaligen Verstößen keine Ausnahme. Auch der Werbewiderspruch sollte ernst genommen und dringend dokumentiert werden.

18.05.2022 // Spanien

Bußgeld in Höhe von 10 Millionen Euro gegen GOOGLE LLC wegen der unzulässigen Übermittlung personenbezogener Daten

Die spanische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 10 Millionen Euro gegen GOOGLE LLC wegen der unzulässigen Übermittlung personenbezogener Daten an Dritte in einem Drittland und der fehlenden Möglichkeit Betroffener das Recht auf Löschung aus Art. 17 DSGVO ordnungsgemäß auszuüben.

Der Technologiekonzern übermittelte Kopien der Löschanfragen ihrer Nutzer an das Lumen-Project der Harvard University, welches Anträge auf Entfernung von Inhalten aus Webseiten innerhalb und außerhalb der USA sammelt und auf ihrer Website zugänglich macht. Die Betroffenen wurden zwar im Rahmen des Beschwerdeformulars von Google über die Weitergabe an Lumen informiert, sie hatten aber nicht die Möglichkeit dieser zu widersprechen. Die Datenschutzbehörde sah hierin eine unrechtmäßige Übermittlung der personenbezogenen Daten und einen Verstoß gegen Art. 17 DSGVO. Insbesondere die Tatsache, dass die teils sensiblen Daten in ein Drittland übermittelt wurden, trug zur Höhe des Bußgeldes bei. Zudem mangelte es dem Unternehmen an geeigneten Maßnahmen zur Verarbeitung der personenbezogenen Daten aus den Anträgen auf Löschung.  Die Bußgeldhöhe setzt sich anteilig zusammen aus 5.000.000 EUR aufgrund eines Verstoßes gegen Art. 6 DSGVO und 5.000.000 EUR aufgrund eines Verstoßes gegen Art. 17 DSGVO.

Fazit der Datenschutzkanzlei

Auch wenn es sich hierbei um einen speziellen Fall handelt, macht dieser deutlich, in welchem Umfang Bußgelder verhängt werden können. Achten Sie darauf, dass sämtliche Übermittlungen an Dritte datenschutzrechtlich geprüft werden.

05.04.2022 // Dänemark

Bußgeld in Höhe von ca. 1.344.357 Euro (10.000.000 DKK) gegen die Danske Bank A/S wegen des mangelhaften Nachweises eines Löschkonzeptes

Die dänische Datenschutzbehörde (Datatilsynet) verhängte am 05.04.2022 ein Bußgeld in Höhe von ca. 1.344.357 Euro gegen die Danske Bank A/S aufgrund des mangelhaften Nachweises eines Löschkonzeptes. Die dänische Bank unterließ es, Regeln für die Speicherung und Löschung von personenbezogenen Daten in mehr als 400 Systemen aufzustellen und zu dokumentieren. In diesen Systemen verarbeitet das Kreditinstitut die Daten von mehreren Millionen Personen. Darüber hinaus war die Bank nicht in der Lage, die manuelle Löschung personenbezogener Daten nachzuweisen.

Im Vorfeld des Bußgelds hatte die Danske Bank A/S selbst über Probleme bei der Löschung von personenbezogenen Daten berichtet. In Bezug auf die Höhe des Bußgeldes verwies die Aufsichtsbehörde auf die Schwere des Verstoßes und die Abschreckungsfunktion des Bußgeldes, machte jedoch darauf aufmerksam, dass sich die Kooperationsbereitschaft sowie Schadensbegrenzungsmaßnahmen der Bank mildernd auswirkten.

Fazit der Datenschutzkanzlei

Sobald der Zweck, zu dem personenbezogene Daten erhoben wurden, erreicht ist, und keine weitere Rechtsgrundlage für die weitere Speicherung vorliegt, sind personenbezogene Daten zu löschen. Nach Art. 5 Abs. 2 DSGVO ist die Einhaltung dieses wesentlichen Grundsatzes des Datenschutzes von dem Verantwortlichen nachzuweisen. Dies gelingt nur durch die Ausarbeitung und die Umsetzung eines umfassenden Löschkonzeptes.

29.03.2022 // Schweden

Bußgeld in Höhe von ca. 725.551 Euro (7.500.000 SEK) gegen die Klarna Bank AB wegen mangelhafter Umsetzung von datenschutzrechtlichen Informationspflichten auf der Unternehmenswebseite

Die schwedische Datenschutzbehörde (Integritetsskyddsmyndigheten) verhängte am 28.03.2022 ein Bußgeld in Höhe von ca. 725.551 Euro gegen die Klarna Bank AB wegen der mangelhaften Umsetzung von datenschutzrechtlichen Informationspflichten auf der Webseite des Unternehmens. Die Aufsichtsbehörde verhängte das Bußgeld, da Informationen bezüglich der Rechtsgrundlage und des Zwecks der Verarbeitung der personenbezogenen Daten nicht bereitgestellt wurden. Diese Informationen fehlten bezüglich eines durch die Klarna Bank AB bereitgestellten Dienstes zum Zeitpunkt der Prüfung durch die Behörde. Darüber hinaus machte die Bank laut der schwedischen Behörde irreführende und unvollständige Angaben bei schwedischen und ausländischen Auskunfteien über die Empfänger der unterschiedlichen Kategorien von personenbezogenen Daten. Des Weiteren fehlten Informationen bezüglich der Datenübermittlung in Drittländer und es wurden seitens der Bank keinerlei Angaben dazu gemacht, wie die betroffenen Personen Informationen, über die für die Drittlandsübermittlung erforderlichen datenschutzrechtlichen Garantien erhalten können.

Die Aufsichtsbehörde stellte zudem fest, dass seitens der Bank unzureichend über die Rechte der Betroffenen (Recht auf Löschung, Recht auf Datenübertragbarkeit, Recht auf Widerspruch) informiert wurde.

Fazit der Datenschutzkanzlei

Zur Erfüllung der Informationspflichten nach Art. 13 DSGVO sollten Datenschutzinformationen für Webseitenbesucher:innen stets aktuell und vollständig auf der Unternehmensseite zu finden sein. Nur so kann der Grundsatz der Transparenz nach Art. 5 Abs. 1 Buchst. a DSGVO erfüllt werden. Letztlich geht es darum, die betroffenen Personen durch umfassende Informationen die Möglichkeit zu bieten, selbst über die Verarbeitung ihrer Daten zu bestimmen. Die Informationspflichten gelten im Übrigen nicht nur gegenüber Webseitenbesucher:innen sondern gegenüber allen Betroffenengruppen.

15.03.2022 // Irland 

Bußgeld in Höhe von 17 Mio Euro gegen die Meta Platforms Ireland Limited (ehemals Facebook Ireland Limited) wegen fehlender geeigneter technischer und organisatorischer Maßnahmen

Die irische Datenschutzbehörde (Data Protection Commission) verhängte am 15.03.2022 ein Bußgeld in Höhe von 17.000.000 Euro gegen die Meta Platform Ireland Limited wegen fehlender technischer und organisatorischer Maßnahmen. Das Unternehmen meldete innerhalb eines halben Jahres zwölf Datenschutzpannen, weshalb die irische Datenschutzbehörde eine Untersuchung einleitete und im Zuge dessen einen Verstoß gegen Art. 5 Abs. 2 sowie Art. 24 Abs. 1 DSGVO feststellte. Meta versäumte es geeignete technische und organisatorische Maßnahmen zu ergreifen, um nachweisen zu können, welche Schutzmaßnahmen im Rahmen der Datenschutzpannen durch das Unternehmen ergriffen wurden. Aufsichtsbehörden aus anderen europäischen Ländern waren im Rahmen des Art. 60 DSGVO mit an dem Beschluss der irischen Aufsichtsbehörde beteiligt, da es sich hierbei um eine „grenzüberschreitende“ Verarbeitung handelte.

Fazit der Datenschutzkanzlei

Alle an der Verarbeitung von personenbezogenen Daten Beteiligten müssen Maßnahmen und Sicherheitsvorkehrungen, welche sie zur Einhaltung der DSGVO treffen, grundsätzlich nachweisen können. Es sind somit im Rahmen dieser datenschutzrechtlichen Rechenschaftspflicht alle Maßnahmen zu dokumentieren, um diese ggf. den Aufsichtsbehörden vorlegen zu können. Zu diesem Zwecke empfehlen wir die Implementierung eines Datenschutz-Management-Systems, in welchem alle durch das Unternehmen ergriffenen Maßnahmen dokumentiert und regelmäßig geprüft werden.

03.03.2022 // Deutschland

Bußgeld in Höhe von 1.900.000 Euro gegen die BREBAU GmbH wegen der Verarbeitung von Mietinteressent:innendaten ohne Rechtsgrundlage

Die Datenschutzbehörde der Freien Hansestadt Bremen verhängte am 03.03.2022 ein Bußgeld in Höhe von 1.900.000 Euro gegen die BREBAU GmbH wegen der Verarbeitung von Mietinteressent:innendaten ohne datenschutzrechtliche Rechtsgrundlage. Mehr als 9.500 Daten von Mietinteressent:innen wurden unrechtmäßig verarbeitet. Die Verarbeitung umfasste unter anderem besondere Kategorien von personenbezogenen Daten, die im Rahmen der DSGVO besonders geschützt sind. Im vorliegenden Fall wurden bspw. Angaben über die ethnische Herkunft, die Hautfarbe, die Religionszugehörigkeit, Daten über den gesundheitlichen Zustand, die sexuelle Orientierung, Frisuren, Körpergeruch und das Auftreten der Person gespeichert. Zudem seien die Anträge von betroffenen Personen bezüglich einer transparenten Verarbeitung bewusst durch das Unternehmen erschwert worden. Die BREBAU GmbH arbeitete im Laufe des Verfahrens umfassend mit der Bremer Behörde zusammen, was zu einer Reduzierung des ursprünglich noch höher geplanten Bußgeldes führte.

Fazit der Datenschutzkanzlei

„Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten sind für den Abschluss von Mietverhältnissen nicht erforderlich.“ – So lautete die Aussage der Landesbeauftragte für Datenschutz und Informationsfreiheit in Bremen. Dem ist wohl nicht mehr viel hinzuzufügen…

Um solche DSGVO-Bußgelder zu vermeiden, bedenken Sie bitte stets den Grundsatz der Datenminimierung!

22.02.2022 // Polen

Bußgeld in Höhe von 120.000 Euro gegen die Santander Bank Polska S.A. wegen fehlender Benachrichtigung der betroffenen Personen über eine Verletzung des Schutzes personenbezogener Daten

Die polnische Datenschutzbehörde verhängte am 19.01.2022 ein Bußgeld in Höhe von 120.000 Euro gegen die Santander Bank Polska S.A., da die betroffenen Personen über eine Verletzung ihrer personenbezogenen Daten nicht durch die Bank informiert wurden. Die Bank hatte den Vorfall nach Kenntniserlangung bereits der Aufsichtsbehörde gemeldet, eine Benachrichtigung an die Betroffenen (Beschäftigten der Bank) blieb jedoch aus. Ein ehemaliger Beschäftigter der Santander Bank Polska S.A. hatte auch nach Beendigung des Beschäftigungsverhältnisses weiterhin Zugriff auf eine Plattform und nutzte diesen Zugang, auch nachdem er das Finanzinstitut verlassen hatte. Die polnische Aufsichtsbehörde sah in diesem Fall die Notwendigkeit einer Information an die Beschäftigten (Betroffenen), unter anderem aufgrund der Tatsache, dass der ehemalige Beschäftigte auch Zugang zu Daten hatte mit deren Hilfe dieser sich Zugang zu Gesundheitsdaten der Beschäftigten der Bank hätte verschaffen können. Eine tatsächliche Kenntnis sei nach Ansicht der Behörde nicht erforderlich. Es läge in diesem Fall ein hohes Risiko für die Rechte und Freiheiten der Beschäftigten der Bank vor. Diese hätten durch die fehlende Information seitens der Bank keine Maßnahmen zum Schutz ihrer personenbezogenen Daten ergreifen können. Die nachträgliche Information der Beschäftigten wurde durch die polnische Behörde angeordnet.

Fazit der Datenschutzkanzlei

Unternehmen sollten darauf achten, eine Verletzung des Schutzes personenbezogener Daten unverzüglich der zuständigen Aufsichtsbehörde zu melden, spätestens jedoch binnen 72 Stunden. Eine Benachrichtigung der Betroffenen ist vorzunehmen, sofern die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der betroffenen Personen zur Folge hat. In diesem Fall ist eine detaillierte Bewertung vorzunehmen, ob ein solches Risiko besteht.

11.02.2022 // Spanien

Bußgeld in Höhe von 2.000.000 Euro gegen Amazon Road Transport Spain, S.L. wegen einer unrechtmäßigen Verarbeitung und Drittlandtransfers auf Basis des nicht mehr gültigen Privacy Shields

Die spanische Datenschutzbehörde verhängte am 11.02.2022 ein Bußgeld in Höhe von 2.000.000 Euro gegen das Transportunternehmen Amazon Road Transport Spain, S.L. aufgrund der unrechtmäßigen Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen sowie einer damit einhergehenden Datenübermittlung in die USA auf Basis des nicht mehr gültigen Privacy Shields. Amazon Road Transport Spain, S.L. verlangte von den Bewerbern einen Nachweis darüber, dass bei diesen keine Vorstrafen vorliegen. Amazon verkannte, dass personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten unter Art. 10 DSGVO fallen, der die Verarbeitung solcher Daten nur unter behördlicher Aufsicht oder wenn sie nach dem Unionsrecht bzw. dem Recht der Mitgliedsstaaten erfolgt, erlaubt. Darüber hinaus verlangte Amazon die Einwilligung, dass diese personenbezogenen Daten in Länder außerhalb des EWR und an verbundene Unternehmen (Holdinggesellschaften und Tochterunternehmen von Amazon) übermittelt werden dürfen. Die Übermittlung der personenbezogenen Daten der Bewerber in die USA an ein durch Amazon zur Überprüfung der Nachweise beauftragtes Unternehmen (Accurate Background Inc.), wurde auf der Grundlage des durch den Europäischen Gerichtshof bereits im Jahr 2020 gekippten Privacy-Shields durchgeführt. Das Bußgeld resultiert aus der Beschwerde einer spanischen Gewerkschaft (Unión General de Trabajadores).

Fazit der Datenschutzkanzlei

Personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten dürfen nur unter behördlicher Aufsicht verarbeitet werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten, das geeignete Garantien für die Rechte und Freiheiten der betroffenen Personen vorsieht, zulässig ist. Wir empfehlen grundsätzlich diese Daten nicht, bzw. erst nach vorheriger detaillierter datenschutzrechtlicher Bewertung zu verarbeiten.

Zudem sollten Unternehmen darauf achten, dass die Übermittlung von personenbezogenen Daten in die USA auf der Grundlage des Privacy Shields bereits seit dem 16.07.2020 nicht mehr zulässig ist. Sollte das Wort Privacy Shield in Ihrer datenschutzrechtlichen Dokumentation/Information auftauchen, sollten Sie tätig werden und feststellen, auf welcher datenschutzrechtlichen Grundlage eine Übermittlung in die USA in Ihrem Fall zulässig ist.

27.01.2022 // Griechenland

Bußgeld in Höhe von 5.850.000 Euro gegen COSMOTE wegen der Verletzung des Schutzes personenbezogener Daten, unrechtmäßiger Datenverarbeitung sowie diverser anderer Verstöße gegen die DSGVO

Die griechische Datenschutzbehörde verhängte am 27.01.2022 ein Bußgeld in Höhe von 5.850.000 Euro gegen das Telekommunikationsunternehmen COSMOTE aufgrund der Verletzung des Schutzes personenbezogener Daten, der unrechtmäßigen Verarbeitung von personenbezogenen Daten sowie diverser anderer Verstöße gegen die DSGVO. Auslöser der Untersuchung durch die griechische Behörde war eine Mitteilung über einen Verlust von Teilnehmeranrufdaten aufgrund eines Hackerangriffs. Bei den verlorenen Daten handelte es sich um Verkehrsdaten der Nutzer des Telekommunikationsunternehmens. Gespeichert wurden diese Daten zum Zwecke der Störungsbehebung. Nach einer Pseudonymisierung wurden die Daten weiterhin für statistische Zwecke gespeichert und zur Optimierung des Mobilfunknetzes genutzt. Die griechische Behörde verhängte das Bußgeld gegen das Telekommunikationsunternehmen aufgrund einer unzureichenden Anonymisierung der Daten, der unzureichenden Bereitstellungen von Informationen an die Betroffenen, sowie einer mangelhaften Datenschutz-Folgenabschätzung. Des Weiteren sei durch COSMOTE und die Hellenic Telecommunications Organization S.A. die datenschutzrechtliche Verantwortlichkeiten gemäß Art. 26 und 28 DSGVO nicht ausreichend geklärt worden. Auch gegen das bei der Verarbeitung beteiligte Unternehmen Hellenic Telecommunications Organization S.A. verhängte die griechische Behörde ein Bußgeld in Höhe von 3.250.000 Euro aufgrund unzulänglicher technischer und organisatorischer Maßnahmen. Die Behörde verlangte zudem die Einstellung der Datenverarbeitung, sowie die Vernichtung der Daten.

Fazit der Datenschutzkanzlei

Immer wieder verhängen Datenschutzbehörden Bußgelder aufgrund unzulänglicher technischer und organisatorischer Maßnahmen. Unternehmen sollten darauf achten, dass diese umfassend und dem Risiko entsprechend umgesetzt und berücksichtigt werden. Des Weiteren müssen bei der Zusammenarbeit mit anderen Unternehmen die datenschutzrechtlichen Verantwortlichkeiten geklärt und ggf. die dafür notwendige Verträge nach Art. 26 und Art. 28 DSGVO geschlossen werden.  

19.01.2022 // Italien

Bußgeld in Höhe von 26.500.000 Euro gegen den Energiekonzern Enel Energia S.p.A. wegen aggressiven Telefonmarketings und zahlreicher Verstöße gegen die DSGVO

Die italienische Datenschutzbehörde (GPDP) verhängte am 19.01.2022 ein Bußgeld in Höhe von 26.500.000 Euro gegen Enel Energia S.p.A. wegen aggressiven Telefonmarketings und zahlreicher Verstöße gegen die Datenschutzgrundverordnung. Hunderte Betroffene hatten sich bei der italienischen Behörde über datenschutzwidrige Vorgehensweisen des Energiekonzerns beschwert, woraufhin die Behörde eine umfangreiche Untersuchung einleitete. Hierbei ging es in den meisten Fällen, um Werbeanrufe an VerbraucherInnen ohne zulässige Einwilligung. Betroffene beschwerten sich zudem darüber, dass es ihnen erschwert werden würde, ihre Rechte gegenüber dem Unternehmen geltend zu machen. Die Antworten auf die Geltendmachung ihrer Rechte erhielten die Betroffenen zudem zu spät. Die Werbeanrufe erfolgten teilweise weiterhin, obwohl die Kunden bereits die Löschung ihrer Daten verlangt hatten und Widerspruch gegen die Verarbeitung ihrer personenbezogenen Daten zu Werbezwecken eingelegt hatten. Neben der Zahlung des Bußgeldes muss Enel Energia S.p.A. nun technische und organisatorische Maßnahmen ergreifen, damit die VerbraucherInnen innerhalb von 30 Tagen eine Antwort auf die Geltendmachung ihrer Rechte erhalten. Die beachtliche Höhe des Bußgeldes begründet die Behörde mit der Schwere der Verstöße, der Dauer und Wiederholungen dieser sowie die große Anzahl an Betroffenen. Enel Energia zeigte sich außerdem wenig kooperativ in der Zusammenarbeit mit der Datenschutzbehörde und versäumte auf verschiedene Anfragen zu antworten.

Fazit der Datenschutzkanzlei

Die Anzahl der Verstöße und der Umgang mit den Aufsichtsbehörden machen deutlich, dass es in diesem Unternehmen an grundlegenden Datenschutzstrukturen fehlte. Gepaart mit unzulässigen Marketingmaßnahmen wurde dieses Versäumnis mit einem hohen Bußgeld quittiert.

Schaffen Sie deshalb tragfähige und nachweisbare Prozesse zur Einhaltung der DSGVO und pflegen Sie diese in einem Datenschutz-Management-System. Bei Telefonmarketing ist außerdem größte Vorsicht geboten – zulässig ist dies nur nach bei Vorliegen einer wirksamen Einwilligung.

31.12.2021 // Frankreich

Bußgeld in Höhe von 150.000.000 Euro gegen Google, sowie ein Bußgeld gegen Facebook Ireland Limited in Höhe von 60.000.000 Euro wegen der Erschwerung für Nutzer, den Einsatz von Cookies auf den Webseiten abzulehnen

Die französische Datenschutzbehörde (CNIL) verhängte am 31.12.2021 ein Bußgeld in Höhe von 150.000.000 Euro gegen Google (90.000.000 Euro gegen die Google LLC und 60.000.000 Euro gegen die Google Ireland Limited), sowie ein Bußgeld in Höhe von 60.000.000 Euro gegen Facebook wegen der Erschwerung für Nutzende, den Einsatz von Cookies auf den Webseiten abzulehnen. Viele Nutzende hatten sich über dieses Vorgehen bei der französischen Behörde beschwert.

Google und Facebook ermöglichen es den Nutzenden den Einsatz von Cookies sofort und unkompliziert zu akzeptieren. Eine Möglichkeit den Einsatz von Cookies auf ähnlich einfache Weise abzulehnen, bestehe jedoch nicht. Stattdessen müssten hierfür mehrere Klicks vorgenommen werden. Dieses Vorgehen verstoße nach Ansicht der Behörde gegen die Freiwilligkeit und stelle somit einen Verstoß gegen Artikel 82 des französischen Datenschutzgesetzes dar.

Im Falle von Facebook wurde zudem seitens der Behörde kritisiert, dass in einem zweiten Fenster auf „Cookies akzeptieren“ zu klicken sei, um den Einsatz von Cookies abzulehnen. Dies sorge zusätzlich für Verwirrung und erwecke den Eindruck, man könne den Einsatz von Cookies nicht ablehnen.

Begründet wird die Höhe des Bußgeldes damit, dass Google und Facebook mit den Daten, die durch den Einsatz der Cookies gesammelt werden, hohe Werbeerlöse erzielen. Des Weiteren sei Google durch die Behörde bereits im Februar 2021 auf diese Verstöße hingewiesen worden. Google und Facebook müssen ihre Consent-Banner nun innerhalb der nächsten drei Monate für die französischen Nutzenden umgestalten. Sollten Google und Facebook diese Verfügung nicht umsetzen, droht ein Zwangsgeld von 100.000 Euro pro Tag, an dem die Vorgaben nicht umgesetzt werden.

Zum rechtlichen Hintergrund: Sachverhalte, welche mit dem Einsatz von Cookies in Zusammenhang stehen, fallen unter die sogenannte e-Privacy-Richtlinie. Diese wird durch nationale Gesetze, wie in diesem Fall durch den Art. 82 des französischen Datenschutzgesetzes ins nationale Recht umgesetzt.

Fazit der Datenschutzkanzlei

Auch die deutschen Aufsichtsbehörden äußerten sich vor kurzem zur Gestaltung des „Cookies ablehnen“-Buttons im Zuge der Orientierungshilfe der Aufsichtsbehörden für Anbieter:innen von Telemedien ab dem 1. Dezember 2021 und ist sich mit der französischen Behörde einig. Die Ablehnung muss auf gleich einfachem Wege möglich sein, wie die Zustimmung. Derzeit wird heiß diskutiert, ob sich eine solche Vorgabe tatsächlich aus den gesetzlichen Regelungen ableiten lässt. Wer eine Auseinandersetzung mit den Aufsichtsbehörden vermeiden möchte, sollte also auch in Deutschland dringend einen prüfenden Blick auf die Gestaltung seines Consent-Banners werfen.

16.12.2021 // Finnland

Bußgeld in Höhe von 608.000 Euro gegen ein finnisches Psychotherapiezentrum wegen unzureichender grundlegender Sicherheitsmaßnahmen und mangelhafter Dokumentation

Die finnische Datenschutzbehörde verhängte am 16.12.2021 ein Bußgeld in Höhe von 608.000 Euro gegen Psykoterapiakeskus Vastaamo, ein finnisches Psychotherapiezentrum, da es einem unbefugten Dritten gelang sich Zugang zu der Patientendatenbank von Vastaamo zu verschaffen und diese möglicherweise herunterzuladen. Ursache für den unberechtigten Zugang war vermutlich ein ungeschützter MySQL-Port der Datenbank ohne Passwortschutz. Der unbefugte Dritte hinterließ eine Lösegeldforderung auf dem Server. Vom 26. November 2017 bis zum 13. März 2019 war die Datenbank zudem nicht durch eine Firewall geschützt.

Die achtlose Behandlung der Sicherheit bewertete die Behörde als grob fahrlässig. Der Zugriff durch den unbefugten Dritten fand vermutlich bereits im Dezember 2018 bzw. im März 2019 statt. Die Zeitpunkte, zu denen sich der unbefugte Dritte Zugang zu der Datenbank verschaffte, konnten durch eine nachträgliche Untersuchung nicht mit voller Sicherheit festgestellt werden, da durch Vastaamo keinerlei Protokolle geführt wurden. Die Meldung durch Vastaamo erfolgte erst im September 2020. Sowohl der Umstand der langen Dauer für den die Sicherheitslücke als auch die fehlende Dokumentation durch Vastaamo, bewertet die Behörde als erschwerenden Umstand.

Vastaamo wäre laut der Behörde dazu verpflichtet gewesen diese Sicherheitsverletzung sowohl der Behörde als auch den Betroffenen sofort zu melden, da ein hohes Risiko für die Betroffenen bestand. In diesem Fall bewertete die Behörde das Ausbleiben der Meldung zudem als vorsätzlich. Des Weiteren unterstrich die finnische Behörde, dass es nicht ausschlaggebend sei, welche Stellung die Beschäftigten im Unternehmen haben, welche Kenntnis von der Sicherheitsverletzung erlangt haben.

Die Entscheidung der finnischen Behörde ist noch nicht endgültig.

Fazit der Datenschutzkanzlei

Unternehmen sollten darauf achten, dass personenbezogene Daten, gerade sensible Gesundheits- und Patientendaten, durch technische und organisatorische Maßnahmen umfangreich geschützt werden. Diese Maßnahmen müssen nicht nur detailliert definiert, sondern auch umgesetzt und dokumentiert werden. Dieser Dreiklang sollte beachtet und implementiert werden, sowohl um Datenpannen als auch DSGVO-Bußgelder bestmöglich zu verhindern.

Des Weiteren sollte unbedingt beachtet werden, dass Datenpannen binnen 72 Stunden der zuständigen Aufsichtsbehörde durch den Verantwortlichen gemeldet werden müssen.

13.12.2021 // Norwegen

Bußgeld in Höhe von knapp 6,4 Millionen Euro gegen Grindr wegen mangelhafter Erfüllung der Informationspflichten und Übermittlung von Daten an Dritte ohne wirksame Einwilligung 

Die norwegische Aufsichtsbehörde verhängte ihr bisher höchstes Bußgeld gegen die Dating-Plattform Grindr wegen mangelhafter Erfüllung der Informationspflichten und Übermittlung von Daten an Dritte ohne wirksame Einwilligung.

Grindr ist eine standortbasierte Dating-App mit Zielgruppe in der LGBTQ-Community. Bereits im Jahr 2020 reichte die norwegische Verbraucherzentrale Beschwerde bei der norwegischen Datenschutzbehörde ein. Die Verbraucherzentrale mahnte an, dass Grindr personenbezogene Daten (GPS-Standort, Profilinformationen, der Umstand, dass die betroffene Person die App benutzt) unrechtmäßig zu Werbezwecken an verschiedene dritte Parteien übermittelt hatte. Mit der sexuellen Orientierung der Nutzer war auch eine besondere Kategorie personenbezogener Daten von diesem Vorgehen betroffen.

Die norwegische Aufsichtsbehörde kam zu dem Entschluss, dass für die Weitergabe dieser personenbezogenen Daten keine wirksame Einwilligung und somit keine Rechtsgrundlage vorliege. Das bloße Akzeptieren der Datenschutzerklärung, welches Grindr bei Nutzung der App einfordert, reiche nicht aus und erfülle nicht die Anforderungen an eine wirksame Einwilligung. Darüber hinaus biete auch die Datenschutzerklärung keine ausreichenden Informationen zu der Weitergabe der Daten zu Marketingzwecken.

Grindr hat ihr Vorgehen bereits im April dieses Jahrs an die rechtlichen Anforderungen angepasst. Das Bußgeld bezieht sich somit auf den Verstoß, der sich seit Inkrafttreten der DSGVO bis April 2020 ereignete. Es handelt sich um das bisher höchste Bußgeld in Norwegen, was die Behörde mit der besonderen Schwere des Verstoßes begründet.

Fazit der Datenschutzkanzlei

Jede Datenverarbeitung muss von einer Rechtsgrundlage gedeckt sein – dies gilt auch für die Nutzung oder Weitergabe von personenbezogenen Daten zu Marketingzwecken. Bedenken Sie dabei, dass auch personenbeziehbare Daten in den Anwendungsbereich der DSGVO fallen und daher berücksichtigt werden müssen. Als Neujahrsvorsatz empfehlen wir daher Allen, sich mit den Rechtsgrundlagen Ihrer Datenverarbeitungen auseinanderzusetzen.

12.11.2021 // Niederlande

Bußgeld in Höhe von 400.000 Euro gegen Transavia Airlines wegen mangelhafter Sicherheit der Systeme vor Hackerangriffen

Die niederländische Datenschutzbehörde verhängte am 12.11.2021 ein Bußgeld in Höhe von 400.000 Euro gegen Transavia Airlines, da es im Jahre 2019 einem Hacker aufgrund von mangelhafter Sicherheit der Systeme von Transavia gelungen war, von 83.000 Personen Daten aus den Systemen herunterzuladen. Diese personenbezogenen Daten können unter anderem für Identitätsdiebstahl missbraucht werden. In 367 Fällen waren auch medizinische Daten darunter, z.B. die Information, dass die Passagiere blind oder taub waren.

Dem Hacker gelang der Zugang zu mehreren Systemen von Transavia über zwei Zugangskonten der IT-Abteilung unter anderem aufgrund von leicht zu erratenden Passwörtern. Eines der Passwörter war auf der Liste der meistgenutzten Passwörter. Mithilfe dieser Zugangskonten hatte der Hacker die Möglichkeit gleich auf mehrere Systeme von Transavia zuzugreifen, da die Konten der IT-Abteilung weitreichenden Zugang zu den Systemen hatten.

Insgesamt hatte der Hacker Zugriff auf die Datensätze von 25 Millionen Passagieren. Die Datenpanne wurde rechtzeitig durch Transavia Airlines sowohl an die niederländische Behörde als auch an die Betroffenen gemeldet und die Airline ergriff sofort diverse Maßnahmen, um die personenbezogenen Daten künftig besser zu schützen.

Die Entscheidung der niederländischen Datenschutzbehörde ist endgültig. Transavia legte kein Einspruch gegen diese Entscheidung ein.

Fazit der Datenschutzkanzlei

Unternehmen sollten darauf achten, dass personenbezogene Daten durch technische und organisatorische Maßnahmen umfassend geschützt werden. Besonders das Dauerthemen Einsatzes von sicheren Passwörtern, Einrichtung einer Zwei-Faktor-Authentifizierung sowie die Einschränkung von Zugriffsrechten von Konten der Beschäftigten sollte beachtet und sorgfältig implementiert werden, um Datenpannen und Bußgelder zu verhindern.

21.10.2021 // Spanien

Bußgeld in Höhe von 3 Millionen Euro CAIXABANK Payments & Consumer EFC, EP, S.A.U. wegen Profilerstellung von Nicht-Kunden ohne zulässige Einwilligung 

Die spanische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 3 Millionen Euro gegen die CAIXABANK Payments & Consumer EFC, EP, S.A.U. aufgrund der Erstellung von Profilen und der Bewertung der Kreditwürdigkeit von Personen, welche keine Kunden sind, ohne deren wirksame und informierte Einwilligung.

Anlass für das Bußgeld war, dass die Caxiabank Daten über einen ehemaligen Kunden bei anderen Unternehmen abgefragt hatte und mit diesen gewonnenen Daten begann ein Profil dieses ehemaligen Kunden zu erstellen. Die Einwilligung des Betroffenen lag nicht vor. Dieses Verfahren wurde auch bei anderen Personen durchgeführt, welche keine Kunden der Bank waren. Diese Profile wurden daraufhin dafür genutzt, die Betroffenen mit gezielten und angepassten Angeboten zu bewerben. Die Anzahl der Betroffenen ist bisher nicht öffentlich bekannt.

Die Betroffenen hatten zwar insofern eine Einwilligung abgegeben, dass die Unternehmensgruppe die Daten zu diesem Zweck verarbeiten darf, jedoch wurden die Betroffenen nach Ansicht der spanischen Datenschutzbehörde nicht ausreichend umfangreich über die Datenverarbeitung informiert.

Die für die Einwilligungen durch die Caixabank zur Verfügung gestellten Informationen an die Betroffenen waren somit nicht ausreichend spezifiziert und die Datenverarbeitung durch die Caixabank somit nicht rechtmäßig, da es an einer informierten Einwilligung fehlte.

Die Caixabank verstieß somit im vorliegenden Fall gegen den Artikel 6 Abs.1 DSGVO.

Fazit der Datenschutzkanzlei

Unternehmen sollten darauf achten, dass die Betroffenen über die vorgenommenen Datenverarbeitungen, zu welchen die Betroffenen ihre Einwilligungen erteilen, ausreichend und umfangreich informiert werden. Die Einwilligung muss durch die Betroffenen in „informierter Weise“ bekundet werden (Art. 4 Nr. 11 DSGVO, Erwägungsgrund 32 zur DSGVO). Anderenfalls sind die Einwilligungen der Betroffenen nicht wirksam und die vorgenommene Datenverarbeitung ist somit nicht rechtmäßig.

19.10.2021 // Italien

Bußgeld in Höhe von 3,2 Millionen Euro gegen Sky Italia S.r.l. wegen unzulässiger Werbeanrufe

Die italienische Datenschutzbehörde verhängte ein Bußgeld von mehr als 3,2 Millionen Euro gegen Sky Italia S.r.l. aufgrund von unzulässigen Werbeanrufen. Das Unternehmen führte die Werbeanrufe ohne die Einwilligung der Betroffenen durch und verwendete hierfür Kontaktdaten aus ungeprüften Listen, die von anderen Unternehmen erworben wurden.

Die Ermittlungen der italienischen Datenschutzbehörde wurden aufgrund zahlreicher Beschwerden von Betroffenen eingeleitet, die unerwünschte Werbeanrufe von Sky Italia und anderen Callcentern erhielten. Hiervon hatten einige Betroffene der Verwendung ihrer Telefonnummer für Werbemaßnahmen sogar ausdrücklich widersprochen.

Sky Italia war der Auffassung, dass die Einwilligung der Nutzer zur Weitergabe ihrer Daten an Dritte, das Unternehmen dazu berechtigte, die Kontaktdaten zu Werbezwecken zu verwenden. Allerdings hätten die Nutzer einen informativen Hinweis erhalten müssen, in denen ihnen die Herkunft ihrer Daten erläutert wird und erst nach Einwilligung der Verwendung ihrer Daten zu kommerziellen Zwecken, hätte Sky Italia mit dem Angebot fortfahren dürfen.

Sky Italia hätte die erworbenen Daten zudem anhand seiner Do-not-Contact Liste überprüfen müssen, um festzustellen, ob ein Widerspruch der Betroffenen gegen Werbeanrufe für seine eigenen Produkte vorlag.

Bei der Festsetzung der Höhe des Bußgeldes berücksichtigte die Behörde die Schwere der festgestellten Verstöße, die sich auf ein „systematisches“ Verhalten beziehen, das in den Unternehmensabläufen verwurzelt ist, sowie die Tatsache, dass Sky seine grundlegenden Entscheidungen in Übereinstimmung mit den Datenschutzvorschriften hätte treffen müssen.

Fazit der Datenschutzkanzlei

Bußgelder aufgrund von unzulässigen Werbeanrufen sind keine Seltenheit. Insbesondere bei der Verwendung von gekauften Daten sollten Unternehmen darauf achten, dass eine Einwilligung in die Weitergabe der Daten an Dritte keine Einwilligung zur Verwendung der Daten für Werbezwecke darstellt. Es sollte deshalb zwingend vermieden werden, gekaufte Daten ungeprüft für Werbeanrufe zu verwenden. Hier können hohe Bußgelder drohen.

24.09.2021 // Deutschland

Bußgeld in Höhe von 901.389 Euro gegen die Vattenfall Europe Sales GmbH wegen Verstoß gegen die Transparenzpflichten

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) verhängte ein Bußgeld in Höhe von 901.389 Euro gegen die Vattenfall Europe Sales GmbH, weil diese die Kundinnen und Kunden nicht ausreichend über eine spezielle Form des Datenabgleichs informiert hatte. Betroffen waren rund 500.000 Personen.

Die Vattenfall Europe Sales GmbH hat zwischen August 2018 und Dezember 2019 bei Vertragsanfragen für Sonderverträge, die mit besonderen Bonuszahlungen verbunden waren, routinemäßig überprüft, ob die Kundinnen und Kunden ein „wechselauffälliges Verhalten“ zeigten. Damit sollte verhindert werden, dass Kundinnen und Kunden solche Bonus-Verträge nicht so regelmäßig abschließen, dass sich dieses Angebot zur Neukundenwerbung für das Unternehmen nicht mehr rentiert. Um dies festzustellen, nutzte Vattenfall Daten aus früheren Vertragsbeziehungen, die aufgrund steuer- und handelsrechtlicher Vorgaben ohnehin noch verfügbar waren.

Sowohl die Aufsichtsbehörde als auch Vattenfall betonen in ihren Stellungnahmen, dass sich das Bußgeld nicht auf den Datenabgleich und dessen Rechtmäßigkeit bezieht, sondern sich ausschließlich auf die nicht ausreichend erfüllten Transparenzpflichten beschränkt. Für die Rechtmäßigkeit des Abgleichs selbst gäbe es keine eindeutigen rechtlichen Vorgaben. Verbraucherinnen und Verbraucher können künftig informiert entscheiden, ob sie einen rabattierten Bonusvertrag abschließen möchten, der die interne Überprüfung ihres Status als Neukunde beinhaltet oder einen nicht rabattierten Vertrag ohne einen solchen Abgleich.

Der Bescheid ist rechtskräftig und wird von Vattenfall laut Stellungnahme akzeptiert.

Fazit der Datenschutzkanzlei

DSGVO-Bußgelder aufgrund von Verstößen gegen die Transparenz- und Informationspflichten häufen sich in letzter Zeit. Denken Sie daran, dass alle Zwecke, für die personenbezogene Daten verarbeitet werden, sich in der Datenschutzerklärung wiederfinden müssen. Kommen neue Verarbeitungstätigkeiten hinzu, müssen die Datenschutzerklärungen entsprechend ergänzt und angepasst werden.

08.09.2021 // Frankreich

Bußgeld in Höhe von 1.75 Millionen Euro gegen AG2R LA MONDIALE

Die französische Aufsichtsbehörde CNIL hat am 20. Juli 2021 ein Bußgeld in Höhe von 1.75 Millionen Euro gegen AG2R La Mondiale wegen Verstößen gegen den Grundsatz der Speicherbegrenzung und die Transparenzvorgaben der DSGVO verhängt.

Die CNIL führte 2019 eine Prüfung der Versicherungsgruppe durch. Im Rahmen der Untersuchungen stellte die Aufsichtsbehörde Verstöße gegen den Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 Buchst. e DSGVO und die Regelungen der Transparenz aus Art. 13 und 14 DSGVO fest.

Ein Unternehmen der Versicherungsgruppe hatte entgegen der von ihm festgelegten Aufbewahrungsfristen Daten von mehr als 2 Millionen Kunden einschließlich einiger Gesundheits- oder Bankdaten über die gesetzlich zulässigen Aufbewahrungsfristen hinaus aufbewahrt. Außerdem wurden Daten von fast 2000 Interessenten, die keinen Kontakt mit dem Unternehmen hatten, länger als drei oder fünf Jahre aufbewahrt.

Zusätzlich ermittelte die CNIL, dass durch Auftragsverarbeiter des Unternehmens Telefongespräche aufgezeichnet wurden. Die betroffenen Personen wurden hierbei nicht über diesen Umstand informiert und erhielten insbesondere keine Informationen zu ihrem Widerspruchsrecht und über ihre übrigen Rechte.

Im Anschluss an die Prüfung wurden durch das Unternehmen die notwendigen Änderungen vorgenommen, um die DSGVO einzuhalten.

Fazit der Datenschutzkanzlei:

Aktuell häufen sich Bußgelder wegen Verstößen gegen die Informationspflichten nach Art. 13 DSGVO und Art. 14 DSGVO. Dies muss nicht verwundern, ist doch die Information über Bestehen einer Verarbeitung zentral für die Ausübung der Betroffenenrechte. Gleichzeitig ist ein Verstoß gegen die Transparenzvorgaben im Fall einer Überprüfung durch die Behörden leicht festzustellen.

Der Fall zeigt am Beispiel der unterbliebenen Löschung weiter, dass das beste Datenschutzkonzept nichts hilft, wenn es im Unternehmen nicht gelebt wird.

02.08.2021 // Österreich

Bußgeld in Höhe von 2 Millionen Euro gegen Rewe-Tochter Unser Ö-Bonus Club GmbH

Die österreichische Aufsichtsbehörde verhängte ein Bußgeld in Höhe von 2 Millionen Euro gegen die Unser Ö-Bonus Club GmbH wegen mangelhafter Einwilligungen und dadurch unrechtmäßiger Datenverarbeitungen zu Profiling-Zwecken.

Die Unser Ö-Bonus Club GmbH betreibt das österreichisches Kundenbonusprogramm jö Bonus Club, das von Rewe, OMV und weiteren Partnern ins Leben gerufen wurde. Bei dem Kundenbonusprogramm werden personenbezogene Daten der MitgliederInnen zu Profiling-Zwecken genutzt. Bei Profiling handelt es sich um die Erstellung individueller Kundenprofile, welche zielgenaues Marketing und die Beeinflussung von Kaufentscheidungen ermöglichen sollen und dadurch ein besonders hohes Risiko hervorrufen.

Gegenstand des Bußgeldes waren die mangelhaft eingeholten Einwilligungen. Auf der Website des Kundenprogramms wurden die Informationen zur Datenverarbeitung erst nachgelagert zur Einwilligung deutlich weiter unten zur Verfügung gestellt. Die Einwilligung suggierierte den Eindruck, es gehe um exklusive Vorteile und Aktionen. Dass der User tatsächlich eine Einwilligung zum Profiling und zur Weitergabe seiner Daten abgibt, war nicht auf Anhieb zu erkennen. Auf den physischen Anmeldeformularen wiederum wirkte das Unterschriftenfeld so, als handelte es sich dabei um eine Bestätigung der Anmeldung im Club, obwohl es auch hier um eine Einwilligung zum Profiling ging.

Nach Sicht der Aufsichtsbehörde werden die Anforderungen an eine wirksame Einwilligung, die in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu gestalten sei, nicht erfüllt. Entsprechend wertete sie die Einwilligungen als ungültig und das auf ihrer Grundlage durchgeführte Profiling als unrechtmäßig. Davon waren insgesamt 2,3 Millionen Nutzer betroffen, die sich zwischen Mai 2019 und März 2020 über die Website oder einen Flyer im Club angemeldet hatten.

Die Aufsichtsbehörde berücksichtigte die Auswirkungen der Corona-Pandemie und die Tatsache, dass der Bonusclub in den letzten Jahren rote Zahlen schrieb, als strafmildernd. Das Unternehmen kündigte dennoch an, gegen das Bußgeld vorzugehen.

Fazit der Datenschutzkanzlei:

Die Einwilligung soll es der betroffenen Person ermöglichen, frei über die Verarbeitung ihrer Daten entscheiden zu können. Die DSGVO stellt hohe Anforderungen an eine wirksame Einwilligung, die gem. Art. 7 Abs. 2 DSGVO, insbesondere in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache erfolgen und sich klar von anderen Sachverhalten unterscheiden muss. Wer sich bei der Einholung Patzer erlaubt, riskiert eine Datenverarbeitung ohne Rechtsgrundlage und einen Verstoß gegen den Grundsatz der Rechtmäßigkeit.

02.08.2021 // Frankreich

Frankreich: Bußgeld in Höhe von 400.000 Euro gegen MONSANTO wegen missachteter Informationspflichten nach Art. 14 DSGVO

Die französische Aufsichtsbehörde CNIL verhängte ein Bußgeld in Höhe von 400.000 Euro gegen MONSANTO, weil sie Personen, deren Daten in einer Datei zu Lobbyzwecken gespeichert wurden, nicht darüber informierte.

Im Mai 2019 enthüllten mehrere Medien, dass MONSANTO im Besitz einer Datei mit den personenbezogenen Daten von mehr als 200 politischen Persönlichkeiten oder Mitgliedern der Zivilgesellschaft (z. B. Journalisten, Umweltaktivisten, Wissenschaftlern oder Landwirten) ist, die geeignet sind, die Debatte oder die öffentliche Meinung über die Erneuerung der Zulassung von Glyphosat in Europa zu beeinflussen.

Für jede dieser Personen enthielt die Datei Informationen wie die Organisation, der sie angehörten, die Position, die sie innehatten, ihre Geschäftsadresse, ihre geschäftliche Telefonnummer, ihre Mobiltelefonnummer, ihre geschäftliche E-Mail-Adresse und in einigen Fällen auch ihren Twitter-Account. Darüber hinaus erhielt jede Person eine Punktzahl von 1 bis 5, um ihren Einfluss, ihre Glaubwürdigkeit und ihre Unterstützung für MONSANTO bei verschiedenen Themen zu bewerten. Die betroffenen Personen wurden nicht über die Speicherung ihrer Daten zu diesen Zwecken informiert.

Die CNIL räumte ein, dass es grundsätzlich nicht unzulässig sei, solche Listen zu führen, erkannte jedoch einen Verstoß gegen Art. 14 DSGVO, weil die betroffenen Personen nicht darüber informiert wurden. Nach Art. 14 DSGVO müssen Betroffene auch dann über die sie betreffenden Datenverarbeitungen informiert werden, wenn die Daten nicht bei der betroffenen Person erhoben wurden. Die Informationspflichten seien eine zentrale Regelung der DSGVO, da sie der betroffenen Person die Ausübung ihrer Rechte, insbesondere des Widerspruchsrechts, ermöglicht.

Darüber hinaus stellte die CNIL fest, dass die Daten im Auftrag von MONSANTO von mehreren auf Öffentlichkeitsarbeit und Lobbying spezialisierten Unternehmen gesammelt wurden. Dabei versäumte es MONSANTO die im Auftrag erbrachten Leistungen in Auftragsverarbeitungsverträgen zu regeln und verstieß damit gegen Art. 28 DSGVO. 

Fazit der Datenschutzkanzlei:

Bußgelder aufgrund von Verstößen gegen die Informationspflicht nach Art. 14 DSGVO sind bisher selten an die Öffentlichkeit getreten. Auch wenn die Ausmaße der Informationspflicht nach Art. 14 DSGVO auf den ersten Blick überzogen erscheinen, so stellt die CNIL zutreffend fest, dass das Versäumnis, die betroffenen Personen über das Bestehen einer Verarbeitung zu informieren, zwangsläufig auch die Ausübung der Betroffenenrechte behindert.

Das Bußgeld macht es deutlich – Informationspflichten sind ernst zu nehmen und müssen gegenüber allen Betroffenengruppen erfüllt werden.

02.08.2021 // Luxemburg

Rekordbußgeld in Höhe von 746 Millionen Euro gegen Amazon

Die luxemburgische Datenschutzbehörde CNPD soll ein Bußgeld in Höhe von 746 Millionen Euro gegen Amazon verhängt haben. Es handelt sich dabei um das höchste öffentlich bekannte Bußgeld seit Geltung der DSGVO.

Zunächst berichtete Bloomberg über das Bußgeld. Außerdem ergibt sich aus dem Quartalsbericht der AMAZON.COM, INC., dass die Amazon Europe Core S.à r.l mit Sitz in Luxemburg am 16. Juli 2021 von der Datenschutzaufsichtsbehörde CNPD ein Bußgeld in Höhe von 746 Millionen Euro erhalten hat. Die Aufsichtsbehörde selbst äußerte sich bisher nicht dazu.

Das Bußgeld steht laut Bloomberg im Zusammenhang mit einer bereits 2018 eingereichten Beschwerde der französischen Bürgerrechtsorganisation „La Quadrature du Net“. Frankreich übergab das Verfahren anschließend an die zuständige Aufsichtsbehörde in Luxemburg, da die Europazentrale von Amazon in Luxemburg sitzt. Weitere Details zum Bußgeld sind nicht bekannt.

Ein Sprecher von Amazon betonte, dass es keine Verletzung des Schutzes personenbezogener Daten gegeben habe und keine Kundendaten an Dritte weitergegeben wurden. Amazon werde gegen das Bußgeld vorgehen.

Fazit der Datenschutzkanzlei:

Ein inhaltliches Fazit ist zum jetzigen Zeitpunkt (noch) nicht möglich. Die Höhe des Bußgeldes zeigt jedoch, welche „Schlagkraft“ die Aufsichtsbehörden seit Geltung der DSGVO haben, um gegen datenschutzrechtliche Verstöße vorzugehen.

05.07.2021 // Italien

Bußgeld in Höhe von 2,6 Millionen Euro gegen den Lieferdienst Foodinho s.r.l.

Die italienische Aufsichtsbehörde EPDP verhängt ein weiteres Bußgeld in Millionenhöhe. Adressat des beachtlichen Bußgeldes ist der Lieferdienst Foodinho s.r.l., eine Tochter des spanischen Unternehmens GlovoApp23.

Das Bußgeld resultiert aus einer groß angelegten Überprüfung mehrerer in Italien tätigen Lieferdienste.

Im aktuellen Fall stellte die italienische Behörde eine Reihe schwerwiegender Missstände fest, insbesondere in Bezug auf die Algorithmen, die für die Verwaltung der ArbeitnehmerInnen verwendet werden. So hatte das Unternehmen die ArbeitnehmerInnen nicht ausreichend über die Funktionsweise des Systems informiert und keine Garantien für die Genauigkeit und Korrektheit der Ergebnisse der algorithmischen Systeme, die zur Bewertung der Fahrer eingesetzt werden, gegeben.

Neben der Bezahlung des Bußgelds wurde das Unternehmen dazu verpflichtet, weitere Maßnahmen zum Schutz der Rechte und Freiheiten der Betroffenen zu ergreifen, um eine Diskriminierung durch die eingesetzte digitale Plattform zu unterbinden.

Die Höhe des Bußgeldes begründete die Behörde mit der fehlenden Bereitschaft zur Kooperation und der Vielzahl an Betroffenen, die sich auf etwa 19.000 FahrerInnen beläuft.

Fazit der Datenschutzkanzlei:

Der Einsatz von Algorithmen zur automatisierten Entscheidungsfindung einschließlich Profiling ist nur unter den strengen Voraussetzungen des Art. 22 Abs. 3 DSGVO zulässig. Durch angemessene Maßnahmen sind die Rechte und Freiheiten sowie die berechtigten Interessen der betroffenen Personen zu wahren und Diskriminierung oder ungerechtfertigten Fehlentscheidungen entgegenzuwirken.

Die Begründung der Höhe des Bußgeldes macht außerdem deutlich, dass die Kooperationsbereitschaft gegenüber den Aufsichtsbehörden durchaus Auswirkungen haben kann – und zwar in beide Richtungen.

22.06.2021 // Italien

Bußgeld in Höhe von 2.856.169 Euro gegen Iren Mercato S.p.A.

Die italienische Datenschutzbehörde hat ein Bußgeld in Höhe von 2.856.169 Euro gegen das im Energiesektor tätige Unternehmen Iren Mercato S.p.A. verhängt.

Nach mehreren Beschwerden von Betroffenen stellte die Datenschutzbehörde fest, dass das Unternehmen personenbezogene Daten für Telemarketing-Aktivitäten verarbeitet hatte, die es nicht direkt erhoben, sondern aus anderen Quellen erworben hatte. Iren Mercato S.p.A. hatte personenbezogene Daten von einer Gesellschaft erhalten, die diese wiederum von zwei anderen Unternehmen erworben hatte.

Die letztgenannten Unternehmen hatten zwar die Einwilligung der Werbeadressaten für das von ihnen und von Dritten durchgeführte Telefonmarketing eingeholt, allerdings umfassten diese Einwilligungen nicht die Nutzung der Daten durch die Iren Mercato S.p.A.

Die Datenschutzbehörde stellte klar, dass Einwilligungen von betroffenen Personen sich nicht auf die Übermittlung an weitere unbestimmte Empfänger erstrecken können. Dies liegt insbesondere daran, dass die Einwilligungen nicht hinreichend spezifisch sind und nicht für den konkreten Zweck abgegeben werden konnten.

Fazit der Datenschutzkanzlei:

Der Fall macht noch einmal deutlich, dass Werbeeinwilligungen für den konkreten Werbenden abgegeben werden müssen. Pauschale Einwilligungen erfüllen nicht die Anforderung an eine wirksame Einwilligung, da sie nicht hinreichend konkret und transparent sind. Im Ergebnis wird es deshalb nicht gelingen, E-Mail-Adressen zu Werbezwecken einzukaufen und diese rechtmäßig zu nutzen.

12.05.2021 // Niederlande

Bußgeld in Höhe von 525.000 Euro gegen Locatefamily.com

Die niederländische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 525.000 Euro gegen die Website Locatefamily.com, weil diese Adressen und Telefonnummern der betroffenen Personen ohne ihr Wissen auf der Website veröffentlichte.

Locatefamily.com ist eine Plattform, auf der Menschen nach den Kontaktdaten von Familienmitgliedern oder anderen Personen suchen können, zu denen sie den Kontakt verloren haben. Die niederländische Datenschutzbehörde erhielt zahlreiche Beschwerden von Personen, deren Kontaktdaten ohne ihr Wissen auf der Plattform veröffentlicht wurden. Die personenbezogenen Daten waren für jeden frei zugänglich, ohne dass hierfür eine Registrierung erforderlich gewesen wäre.

Die stellvertretende Vorsitzende der niederländischen Aufsichtsbehörde Monique Verdier sagte hierzu:

„For a website to publish your phone number and address without your knowledge is unacceptable”

Die Datenschutzbehörde sah hierin einen klaren Verstoß gegen den Grundsatz der Rechtmäßigkeit. Für die Verarbeitung der personenbezogenen Daten lag keine Rechtsgrundlage vor. Die Verarbeitung der Daten durch Locatefamily.com war somit unrechtmäßig.

Hinzu kam die Tatsache, dass Locatefamily.com über keinen EU-Vertreter verfügte und somit ein Verstoß gegen Art. 27 DSGVO vorlag. Die betroffenen Personen hatten aus diesem Grund keine Möglichkeit ihre persönlichen Daten ohne Weiteres von der Website entfernen zu lassen. Erst durch Vermittlung der niederländischen Datenschutzbehörde konnte ein Großteil der Daten von der Plattform entfernt werden. Die niederländische Datenschutzbehörde gab der Plattform bis 18. März 2021 Zeit einen EU-Vertreter zu benennen. Ob dies bisher geschehen ist, ist unklar.

Fazit der Datenschutzkanzlei:

Dieses Bußgeld macht deutlich, dass eine Verarbeitung personenbezogener Daten ohne Rechtsgrundlage teuer werden kann. Auch internationale Unternehmen ohne Niederlassung in der EU müssen sich an den Grundsatz der Rechtmäßigkeit halten, wenn sie Waren oder Dienstleistungen für Personen mit Sitz in der EU anbieten und in diesem Zusammenhang personenbezogene Daten verarbeiten. Darüber hinaus sind sie gemäß Art. 27 DSGVO dazu verpflichtet, einen in der EU niedergelassenen Vertreter zu benennen.

31.03.2021 // Niederlande

Bußgeld in Höhe von 475.000 Euro gegen Booking.com

Die niederländische Datenschutzbehörde, Autoriteit Persoonsgegevens (AP) verhängt ein Bußgeld in Höhe von 475.000 Euro gegen die Reisebuchungsplattform Booking.com aufgrund einer verspäteten Meldung einer Datenschutzverletzung an die Behörde.

Bei der Datenpanne verschafften sich Kriminelle Zugang zu personenbezogenen Daten von mehr als 4.000 Reisenden, die über die Buchungsseite ein Hotelzimmer gebucht hatten. In knapp 300 Fällen erbeuteten sich die Hacker neben Namen, Adresse, Telefonnummer und Details zur Buchung auch Kreditkartendaten inklusive Sicherheitscodes der Geschädigten. Durch Phishing-Attacken in Form von gefälschten E-Mails und Telefonaten, in denen sich die Verbrecher als MitarbeiterInnen von Booking.com ausgaben, versuchten sie anschließend weitere Kreditkartendaten zu erhalten.

Die Kunden von Booking.com waren dem erhöhten Risiko ausgesetzt, großen finanziellen Schaden zu erleiden.

Booking.com wurde am 13. Januar 2019 über die Datenverletzung informiert, meldete sie aber erst am 7. Februar an die AP. In Hinblick auf die Meldefrist von 72 Stunden gem. Art. 33 DSGVO erfolgte die Meldung somit ganze 22 Tage zu spät. Die betroffenen Kunden hat Booking.com am 4. Februar 2019 über das Leck benachrichtigt. Darüber hinaus hat das Unternehmen weitere Maßnahmen zur Schadensbegrenzung ergriffen, wie z. B. das Angebot, eventuelle Schäden zu kompensieren.

Die Behörde erachtet die verspätete Meldung als schwerer Verstoß. Ein Datenleck könne vorkommen, doch sei schnelles Handeln und aktive Schadensbegrenzung gefordert. Hierzu gehöre auch die fristgerechte Meldung an die Behörde.

Booking.com wird gegen die vom AP verhängte Geldbuße weder Einspruch noch Berufung einlegen.

Fazit der Datenschutzkanzlei:

Die News im Zusammenhang mit Hacking-Angriffen gegenüber großen Unternehmen überschlagen sich in den letzten Tagen und Monaten. Angriffe gegen Facebook, LinkedIn und Clubhouse sind in aller Munde, doch auch kleinere Unternehmen können Ziel solcher Angriffe werden und enormen Schaden erleiden.

Wenn ein Angriff bemerkt wird, ist schnelles Handeln gefragt. Das Datenleck muss möglichst schnell gestoppt und der Meldeprozess in Gang gesetzt werden. Damit im Ernstfall alles reibungslos funktioniert, braucht es einen vorab definierten Prozess mit klaren Zuständigkeiten, der allen relevanten Positionen im Unternehmen bekannt ist.

10.03.2021 // Deutschland 

Bußgeld in Höhe von 300.000 Euro gegen den VfB Stuttgart

Der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Stefan Brink verhängte am 10.03.2021 ein Bußgeld in Höhe von 300.000 Euro gegen den VfB Stuttgart wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO.

Leitende Mitarbeiter des VfB Stuttgarts sollen wiederholt Mitgliederdaten an Dritte weitergereicht haben. Hierbei handelte es sich unter anderem um Telefonnummern, E-Mail-Adressen und Angaben zu Teilnehmern der Mitgliederversammlungen.

Der Fußballverein zeigte sich laut der Pressemitteilung des LfDI während der Aufklärungs- und Ermittlungsmaßnahmen sehr kooperativ und nahm eine „kostenträchtige Umstrukturierung und Verbesserung des Datenschutzmanagements“ vor.

Fazit der Datenschutzkanzlei:

Die Höhe des Bußgeldes macht deutlich, dass eine Kooperation mit den Landesbeauftragten während laufenden Ermittlungsverfahren sich auszahlen kann. Der VfB Stuttgart hätte unter anderen Umständen ein deutlich höheres Bußgeld erwarten können.

26.01.2021 // Norwegen

Bußgeld in Höhe von rund 9,6 Millionen Euro gegen die Dating-App Grindr

Die norwegische Aufsichtsbehörde „Datatilsynet“ gab am 26.01.2021 bekannt, dass der Dating-App Grindr ein Bußgeld in Höhe von 100 Millionen Kronen (umgerechnet ca. 9,6 Millionen Euro) droht. Grindr soll laut Generaldirektor der norwegischen Datenschutzbehörde Bjørn Erik Thon, Nutzerdaten an eine Reihe von Dritten weitergegeben haben, ohne dass eine Rechtsgrundlage vorlag.

Grindr ist eine bekannte Dating-App für schwule, bi, trans und queere Menschen. Bereits 2020 reichte der norwegische Verbraucherrat Beschwerde gegen Grindr ein und beanstandte die unrechtmäßige Weitergabe von persönlichen Daten zu Marketingzwecken. Bei den Daten soll es sich um den GPS-Standort, Benutzerprofildaten und die Tatsache, dass der betreffende Benutzer auf Grindr ist handeln. Diese Tatsache sieht die Aufsichtsbehörde besonders kritisch, da die Nutzung der App für die sexuelle Orientiertung des Nutzers spricht und es sich hierbei um Daten handelt, welche besonderen Schutz verdienen.

Grindr hat nun bis zum 15.02.2021 Zeit sich zu den Vorwürfen zu äußern.

Fazit der Datenschutzkanzlei:

Das Bußgeld macht wieder einmal deutlich, dass insbesondere sensible Daten, wie in diesem Fall die sexuelle Orientierung besonders geschützt werden müssen. Dies ergibt sich ebenfalls aus Art. 9 Abs. 1 DSGVO, der die Verarbeitung solcher sensiblen Daten grundsätzlich untersagt. Wer sensible Daten verarbeitet, der sollte sicherstellen, dass hierfür auch eine Rechtsgrundlage vorliegt und die betroffenen Personen zudem ausreichend über die Verarbeitung ihrer Daten informiert werden.

08.01.2021 // Deutschland

Bußgeld in Höhe von 10,4 Millionen EUR gegen notebooksbilliger.de wegen unerlaubter Videoüberwachung

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat eine Geldbuße in Höhe von 10,4 Millionen Euro gegenüber der notebooksbilliger.de AG ausgesprochen. Das Unternehmen hatte über mindestens zwei Jahre seine Beschäftigten per Video überwacht, ohne dass dafür eine Rechtsgrundlage vorlag. Die unzulässigen Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche.

Das Unternehmen gab an, die Videoüberwachung diene dazu, Straftaten zu verhindern und aufzuklären sowie den Warenfluss im Lager nachzuverfolgen. Nach Aussage der Behörde versäumte das Unternehmen, zunächst den Einsatz milderer Mittel zu prüfen und beispielsweise stichprobenartige Taschenkontrollen beim Verlassen der Betriebsstätte vorzunehmen. Darüber hinaus dürfe eine Videoüberwachung zur Aufdeckung von Straftaten nur bei Vorlage eines begründeten Verdachts gegen eine konkrete Person für einen begrenzten Zeitraum zulässigerweise vorgenommen werden. Bei notebooksbilliger.de sei die Videoüberwachung aber weder auf einen bestimmten Zeitraum noch auf konkrete Beschäftigte beschränkt gewesen. Hinzu kam, dass die Aufzeichnungen in vielen Fällen 60 Tage gespeichert wurden und damit deutlich länger als erforderlich. Auch Kundinnen und Kunden von notebooksbilliger.de waren von der unzulässigen Videoüberwachung betroffen, da einige Kameras auf Sitzgelegenheiten im Verkaufsraum gerichtet waren und die Überwachung auch in diesen Fällen nicht verhältnismäßig gewesen sei.

Die LfD Niedersachen, Barbara Thiel kritisierte diesen schwerwiegenden Fall der Videoüberwachung und das Vorgehen des Unternehmens scharf und fand dafür klare Worte: „Unternehmen müssen verstehen, dass sie mit einer solch intensiven Videoüberwachung massiv gegen die Rechte ihrer Mitarbeiterinnen und Mitarbeiter verstoßen. (…) Die Beschäftigten müssen [aber] ihre Persönlichkeitsrechte nicht aufgeben, nur weil ihr Arbeitgeber sie unter Generalverdacht stellt.“

Die notebooksbillige.de AG legte bereits Einspruch gegen den Bußgeldbescheid ein und führt in einer Stellungnahme an, das Bußgeld sei völlig unverhältnismäßig und unzutreffend. Zu keinem Zeitpunkt sei das Videosystem darauf ausgerichtet gewesen, das Verhalten der Mitarbeiter oder deren Leistung zu überwachen. Der CEO kritisiert das Vorgehen der Behörde. Es sei absurd, dass eine Behörde ein Bußgeld von mehr als 10 Millionen Euro verhängt, ohne den Sachverhalt ausreichend zu ermitteln. Ein Vor-Ort Besuch der Behörde habe trotz Einladung des Unternehmens nicht stattgefunden.

Fazit der Datenschutzkanzlei:

Das Thema Videoüberwachung ist im Datenschutzrecht und somit auch bei den Aufsichtsbehörden ein Dauerbrenner. In diesem Fall haben wir es mit einem Parade(negativ)beispiel zu tun, in dem die Grundsätze der DSGVO und Vorgaben des Beschäftigtendatenschutzes in vielerlei Hinsichten missachtet wurden. Nach dem Millionenbußgeld gegen H&M ist das nun das zweite öffentlich bekannte Bußgeld wegen unerlaubter Überwachung von Beschäftigten. Um Sie davor zu bewahren, haben wir alle wichtigen Informationen in unserem Blogbeitrag zur Videoüberwachung für Sie zusammengefasst.

04.01.2021 // Deutschland 

Bußgeld in Höhe von 145.000 EUR gegen Call-Center wegen unerlaubter Telefonwerbung

Die Bundesnetzagentur hat gegen das Call-Center Cell it! GmbH & Co. KG eine Geldbuße in Höhe von 145.000 Euro wegen unerlaubter Werbeanrufe ohne Zustimmung und unseriösen Datenhandels erlassen.

Nach Erkenntnissen der Bundesnetzagentur hatte Cell it! die telefonische Neukundenakquise für den Pay-TV-Anbieter Sky Deutschland Fernsehen übernommen. Das Call Center führte die Anrufe durch, ohne dass dafür eine gültige Werbeeinwilligung vorlag. Viele Betroffene berichteten zudem gegenüber der Bundesnetzagentur, dass trotz Untersagung weiterer Anrufe eine erneute telefonische Kontaktaufnahme erfolgte. Auch die Herkunft der Adresskontingente erwies sich als dubios. Diese wurden bei Adresshändlern gekauft, welche behaupteten, dass eine Einwilligung der Betroffenen vorlag. Nachforschungen widerlegten diese Behauptung. Weder die Cell it! noch ihre Auftraggeber hatten dies im Vorfeld der Telefonkampagne ausreichend geprüft.

Darüber hinaus vertrieb das Call Center, im Auftrag des Mobilfunkanbieters Mobilcom-debitel, an dessen Kunden insbesondere Drittanbieterabonnements für Hörbücher und Zeitschriften, Video-on-Demand Dienste, Sicherheitssoftware oder Handyversicherungen. Dabei traten vermehrt Fälle auf, in denen den Angerufenen im Nachgang des Telefonats Zusatzleistungen in Rechnung gestellt wurden, die diese überhaupt nicht bestellt hatten.

Nach Angaben der Bundesnetzagentur wurden auch die beiden beauftragenden Unternehmen Mobilcom-debitel und Sky Deutschland Fernsehen aufgrund der rechtswidrigen Werbeanrufe mit hohen Bußgeldern sanktioniert.

Fazit der Datenschutzkanzlei:

Dieses Bußgeld resultiert aus einem Verstoß gegen wettbewerbsrechtliche Vorgaben, die bereits vor Geltung der DSGVO existierten. Danach sind Anrufe zur Neukundenakquise ohne vorherige Einwilligung oder Kontaktaufnahme des Angerufenen unzulässig. Das gilt im Übrigen sowohl im privaten (B2C) als auch im geschäftlichen (B2B) Kontext. Die Praxis zeigt, dass diese Vorgaben leider häufig nicht bekannt sind oder wissentlich ignoriert werden.

VerbraucherInnen, die Werbeanrufe ohne vorherige Werbeeinwilligung erhalten, können sich im Übrigen unter www.bundesnetzagentur.de/telefonwerbung-beschwerde bei der Bundesnetzagentur melden.

Bußgelder in Höhe von 60 Millionen EUR gegen Google LLC und 40 Millionen EUR gegen die Google Ireland Limited wegen unzulässiger Werbe-Cookies

Am 7. Dezember 2020 verhängte die französische Aufsichtsbehörde CNIL eine Geldstrafe in Höhe von insgesamt 100 Millionen Euro gegen die Unternehmen Google LLC und Google Ireland Limited, weil diese ohne vorherige Zustimmung und ohne ausreichende Transparenz, Werbecookies auf den Endgeräten der NutzerInnen der Suchmaschine google.fr platziert hatten.

Die CNIL prüfte im Frühjahr 2020 die Online-Suchmaschine und stellte im Ergebnis drei Verstöße gegen Artikel 82 des französischen Datenschutzgesetzes fest:

• Cookie-Setzung ohne Einwilligung der NutzerInnen

Wenn NutzerInnen die Website google.fr besuchten, wurden mehrere Werbe-Cookies, die für die Bereitstellung des Dienstes nicht erforderlich waren, automatisch platziert, ohne dass eine Aktion der NutzerInnen erforderlich war.

• Fehlende Informationen für NutzerInnen der Suchmaschine google.fr

Beim Besuch der Seite google.fr erschien am unteren Rand der Seite ein Informationsbanner mit dem Hinweis „Privacy reminder from Google“ angezeigt, vor dem sich zwei Schaltflächen befanden: „Remind me later“ und „Access now“.

Dieser Banner lieferte den NutzerInnen keine Informationen über die Cookies, die jedoch bereits beim Aufrufen der Seite auf den Endgeräten abgelegt wurden. Die Informationen wurden auch zu keinem späteren Zeitpunkt transparent dargelegt.

• Teilweiser Ausfall des „Widerspruchs“-Mechanismus

Wenn NutzerInnen der Cookiesetzung über die Anzeigenpersonalisierung widersprachen, indem sie diese deaktivierten, wurde eines der Werbe-Cookies immer noch auf deren Endgeräten gespeichert und las weiterhin Informationen aus.

Die CNIL ahndete diese Verstöße mit dem höchsten öffentlich bekannten Bußgeld seit Geltung der DSGVO und führte die Schwere der Verstöße, unter Anbetracht der Reichweite der Google-Suchmaschine, als Grund dafür an. Darüber hinaus berücksichtigte die CNIL die erheblichen Gewinne, die durch die Werbeinnahmen und somit indirekt durch die Werbe-Cookies erzielt wurden.

Die Behörde stellte zwar fest, dass Google seit September 2020 keine Cookies mehr ohne vorherige Einwilligungen der NutzerInnen setzt. Doch auch der derzeitige Cookie-Banner reiche nicht aus, um alle Anforderungen zu erfüllen. Zum einen biete er keine Möglichkeit, die Cookies abzulehnen und zum anderen werde nicht ausreichend über die Zwecke der Cookiesetzung informiert.

Google hat nun drei Monate Zeit das Bußgeld zu begleichen und Maßnahmen zu treffen, um den Anforderungen gerecht zu werden. Andernfalls droht den Unternehmen eine Strafe von weiteren 100 000 EUR pro Tag.

Die CNIL betont in ihrer Pressemitteilung, dass der in der DSGVO vorgesehene „One-Stop-Shop-Mechanismus“ in diesem Verfahren nicht zur Anwendung komme, da die Vorgänge im Zusammenhang mit der Verwendung von Cookies unter die „ePrivacy“-Richtlinie fallen, die in Artikel 82 des französischen Datenschutzgesetzes umgesetzt wurde.

Fazit der Datenschutzkanzlei:

Das Jahr 2020 endet mit einem Paukenschlag der französischen Aufsichtsbehörde, die das höchste öffentlich bekannte Bußgeld seit Geltung der DSGVO erlässt. Das Thema Cookiesetzung und Einwilligung prägte das Datenschutzjahr 2020 und spätestens seit dem Cookie-Urteil des BGH im Frühjahr 2020, ist die Luft für nicht funktionale Cookies ohne Einwilligung dünn geworden. Consent-Banner sind mittlerweile zur Gewohnheit geworden und wer sich als Website-Betreiber noch nicht damit auseinandergesetzt hat, für den wird es höchste Zeit.

Unklar bleibt, wie die Banner gestaltet werden dürfen und inwieweit „Nudging“ zulässig ist. Gemeint ist damit, wie sehr die Gestaltung des Banners die NutzerInnen zur Abgabe einer Einwilligung verleiten darf und wo die rechtlichen Grenzen sind. Wir sind gespannt auf weitere Entwicklungen und sind uns sicher, dass 2021 einiges für uns bereithält.

02.12.2020 // Schweden

Bußgelder in Millionenhöhe gegen mehrere schwedische Leistungserbringer im Gesundheitswesen wegen zu weitreichender Berechtigungen auf Patientendaten

Die schwedische Datenschutzbehörde hat acht Leistungserbringer im Gesundheitswesen daraufhin überprüft, wie sie den Zugang des Personals zu den wichtigsten Systemen für elektronische Gesundheitsakten regeln und einschränken. Die Datenschutzbehörde hat Unzulänglichkeiten aufgedeckt, die in sieben der acht Fälle zu Verwaltungsstrafen von bis zu 30 Millionen SEK führen. Das entspricht umgerechnet etwa 2,9 Millionen Euro.

Die schwedische Aufsichtsbehörde prüfte, ob die Leistungserbringer der Gesundheitsversorgung die erforderliche Bedarfs- und Risikoanalyse durchgeführt haben, um eine angemessene Zugriffsberechtigung für persönliche Daten in den elektronischen Gesundheitsakten zu vergeben.

Nach dem schwedischen Patientendatengesetz, das die DSGVO ergänzt, müssen die Leistungserbringer eine gründliche Analyse und Bewertung des Bedarfs des Personals an Zugang zu Informationen in den Gesundheitsakten und der Risiken durchführen, die der Zugang zu Patientendaten beinhaltet. Ohne eine solche Analyse können Gesundheitsdienstleister dem Personal keine korrekte Autorisierungsstufe zuweisen, was wiederum bedeutet, dass die Organisationen das Recht der Patienten auf Schutz der Privatsphäre nicht garantieren können.

Die Behörde kam zu dem Ergebnis, dass sieben der acht Gesundheitsdienstleister die Zugriffsberechtigung der Nutzer auf das jeweilige Patientenjournalsystem nicht auf das für die Erfüllung ihrer Aufgaben unbedingt erforderliche Maß beschränken. Dies bedeutet, dass die sieben Leistungserbringer des Gesundheitswesens keine geeigneten Maßnahmen ergriffen haben, um ein ausreichendes Sicherheitsniveau für die personenbezogenen Daten in den elektronischen Patientendatensystemen zu gewährleisten und nachweisen zu können.

Die Behörde hat daraufhin einen Leitfaden für die Durchführung der Bedarfs- und Risikoanalyse veröffentlicht mit dem Ziel die Leistungserbringer zu unterstützen.

Fazit der Datenschutzkanzlei:

In Deutschland gibt es zwar kein gesondertes Patientendatengesetz, das eine konkrete Pflicht für die Durchführung einer Bedarfs- und Risikoanalyse vorsieht, dennoch ist dieses Bußgeld von hoher Relevanz für alle Leistungserbringer im Gesundheitswesen in Deutschland. Grund dafür ist, dass der Grundsatz in Art. 5 Abs.1 f) DSGVO die Integrität und Vertraulichkeit von personenbezogenen Daten fordert. Gemeinsam mit der Rechenschaftspflicht sind daher auch Leistungserbringer in Deutschland in der Pflicht, den Zugriff auf Patientendaten nach dem Need-to-Know-Prinzip zu beschränken und angemessen zu dokumentieren.

26.11.2020 // Österreich

Verwaltungsstrafe von 18 Millionen € gegen die Österreichische Post AG (ÖPAG)

Aktualisierung vom 26.11.2020: Das österreichische Bundesverwaltungsgericht entschied am 26.11.2020 über den Widerspruch der österreichischen Post gegen das am 04.11.2019 verhängte Bußgeld in Höhe von 18 Millionen €. Das Bundesverwaltungsgericht kippte das Bußgeld, da es für die Verhängung einer Geldstrafe nach der DSGVO nicht ausreicht, dass die Betroffene als juristische Person einen Straftatbestand erfüllt. Ihr muss zudem auch das Handeln einer natürlichen Person zugerechnet werden. Diese Voraussetzung geht aus § 30 DSG hervor und ist somit eine Besonderheit der österreichischen nationalen Gesetzgebung. Diese vorzunehmende Zurechnung hat die Aufsichtsbehörde aus Sicht des österreichischen Bundesverwaltungsgerichts versäumt.

__________________________________________________________________________________________________________

Die Österreichische Aufsichtsbehörde für den Datenschutz verhängt eine Verwaltungsstrafe von 18 Millionen gegen die Österreichische Post AG (ÖPAG) aufgrund der Sammlung und Vermarktung von individuellen Datenprofilen.

Von insgesamt 2,2 Millionen Menschen speicherte die Post neben Namen, Alter, Geschlecht, Familiensituation sowie Adresse ihrer Kunden außerdem Daten über die politische Parteiaffinität und legte entsprechende Kategorien an. Diese Daten verkaufte die Post unter anderem an Parteien, um zielgerichtete Wahlwerbung verschicken zu können. Die Post berief sich darauf, dass es sich ähnlich wie bei Hochrechnungen nach Wahlen, lediglich um eine Ableitung aus anderen Informationen handle und somit keine personenbezogenen Daten verarbeitet werden. Die österreichische Aufsichtsbehörde kam nach einer mündlichen Anhörung zu einem anderen Ergebnis und sieht in der Verarbeitung der Daten zur politischen Neigung einen Verstoß gegen die DSGVO.

Neben der Parteiaffinität hat die Datenschutzbehörde weitere Rechtsverletzungen festgestellt. Dabei geht es um weiterverarbeitete Daten zur Frequenz von Paketlieferungen und Angaben über die Umzugshäufigkeit von Personen, die für Direktmarketing genutzt wurden. Auch diese Praktiken seien nicht durch die DSGVO gedeckt.

Die Post sieht ihr Kerngeschäft der Direktwerbung gefährdet und will sich daher an das Bundesverwaltungsgericht wenden. Die Entscheidung der Datenschutzbehörde ist damit noch nicht rechtskräftig.

Fazit der Datenschutzkanzlei

Es ist grundsätzlich erlaubt, Postadressen zum Zweck des Direktmarketings auch ohne ausdrückliche Einwilligung der Betroffenen zu verwenden. Dies lässt sich mittelbar bereits aus Art. 21 Abs. 2 DSGVO (Recht auf Widerspruch ableiten) und ist weiterhin gängige Praxis im Adresshandel. Die Österreichische Aufsicht sieht jedoch eine Grenze darin, dass darüber hinausgehende Profile insbesondere zur politischen Neigung erstellt und kommerziell genutzt werden. Diese Auffassung ist durchaus nachvollziehbar und dürfte auch von deutschen Aufsichtsbehörden mitgetragen werden.

16.11.2020 // Italien

Bußgeld in Höhe von 12,25 Millionen € gegen Vodafone wegen unzulässiger Werbemaßnahmen und weiterer Verstöße gegen die DSGVO

Die italienische Aufsichtsbehörde Garante per la protezione die dati personali verhängte ein Bußgeld in Höhe von 12,25 Millionen Euro gegen Vodafone und ahndete damit mehrere Verstöße gegen datenschutzrechtliche Vorschriften. Zentrale Ursache für das Bußgeld waren unzulässige Werbemaßnahmen, die unter Miteinbeziehung von Call Centern in erheblichem Umfang durchgeführt wurden. Neben der Zahlung des Bußgeldes wurde Vodafone zur Umsetzung einer Reihe von Maßnahmen verpflichtet, um künftig den nationalen und europäischen Rechtsvorschriften zum Datenschutz gerecht zu werden.

Das Bußgeld wurde in Folge einer umfassenden Untersuchung der Behörde erlassen, die aufgrund zahlreicher Beschwerden gegen die Werbemaßnahmen des Unternehmens tätig wurde. Die Untersuchungen ergaben, dass Werbemaßnahmen via E-Mail und Telefon an Bestandskunden sowie potenziellen Neukunden ohne wirksame Einwilligung und somit ohne Rechtsgrundlage durchgeführt wurden. Listen von insgesamt 4,5 Millionen Werbeadressaten hatte Vodafone zuvor unrechtmäßig von Callcentern erworben.

Auch die Sicherheitsvorkehrungen des internen Kundenverwaltungssystems sah die Behörde als unzureichend an, da diese nicht geeignet waren Spamming, Phishing und andere betrügerische Aktivitäten wirksam zu verhindern.

Fazit der Datenschutzkanzlei:

Die italienische Aufsichtsbehörde verhängt mit dieser DSGVO-Entscheidung ein beachtliches Bußgeld und sanktioniert damit eine ganze Reihe an Verstößen gegen die DSGVO. Insbesondere im Endkundengeschäft muss die Rechtsgrundlage für Werbemaßnahmen im Voraus genau geprüft und dokumentiert werden. In Deutschland sind dabei außerdem Vorgaben aus dem UWG zu beachten.

13.11.2020 // Großbritannien

Bußgeld in Höhe von 1,25 Millionen £ gegen die Ticketmaster UK Limited wegen fehlender Maßnahmen zum Schutz ihrer Kundendaten

Die britische Aufsichtsbehörde ICO verhängt ein weiteres Millionen-Bußgeld: Diesmal ahndete die Behörde fehlende technische Maßnahmen der Ticketmaster UK Limited zum Schutz der Zahlungsdaten ihrer Kunden. Die Höhe des Bußgelds beträgt 1,25 £, was umgerechnet knapp 1,4 Millionen Euro entspricht.

Unzureichende Sicherheitsmaßnahmen bei der Verwendung eines Chat-Bots sorgten dafür, dass durch einen Hackerangriff personenbezogene Daten, wie Name, Kreditkartennummer, Ablaufdatum und CVV Nummer von bis zu 9,4 Millionen Kunden abhandengekommen sind. Die ICO stellte fest, dass infolge der Verletzung 60.000 Kreditkarten von Kunden der Barclays-Bank einem Betrug zum Opfer gefallen sind. Weitere 6.000 Karten wurden von der Monzo Bank ersetzt, nachdem sie den Verdacht auf betrügerische Verwendung hegte.

Bereits im Februar 2018 meldeten Kunden der Monzo Bank betrügerische Transaktionen. Ebenso informierte die Commonwealth Bank of Australia, Barclaycard, Mastercard und American Express Ticketmaster über Betrugsversuche. Das Unternehmen konnte das Problem jedoch erst neun Wochen später identifizieren.

Die Aufsichtsbehörde bemängelte insbesondere, dass

• keine Risikoeinschätzung durchgeführt wurde, um die Verwendung eines extern gehosteten Chat-Bots auf einer Zahlungs-Seite einzuschätzen;
• keine geeigneten Sicherheitsmaßnahmen identifiziert und umgesetzt wurden, um die Risiken einzudämmen;
• die Quelle der betrügerischen Aktivität nicht rechtzeitig festgestellt wurde.

Im Ergebnis erachtet die britische Behörde darin einen Verstoß gegen Art. 32 DSGVO.

Fazit der Datenschutzkanzlei

Ein weiteres Millionen-Bußgeld wegen unzureichender Sicherheitsmaßnahmen im vereinten Königreich. Dieses Bußgeld macht noch einmal deutlich, dass das Einbinden externer Dienste auf Websites ein hohes Maß an Sorgfalt verlangt. Es muss im Voraus geprüft werden, ob ausreichende technische Sicherheitsmaßnahmen vorliegen, die einen angemessenen Schutz der personenbezogenen Daten gewährleisten.

11.11.2020 // Deutschland

Bußgeld in Höhe von knapp 10.000.000 € gegen die 1&1 Telecom GmbH

Aktualisierung vom 11.11.2020: Das Landgericht Bonn verkündete am 11.11.2020 sein Urteil im Bußgeldverfahren gegen die 1&1 Telecom GmbH. Der Telekommunikationsdienstleister hat aus Sicht des LG Bonn zwar gegen Art. 32 Abs. 1 DSGVO verstoßen, allerdings war das durch den Bundesdatenschutzbeauftragten erteilte Bußgeld in Höhe von 9,55 Mio. Euro aus Sicht des Gerichts „zu unangemessen hoch“ und wurde auf 900.000 Euro reduziert. Dies begründete die Kammer unter anderem damit, dass die über Jahre ausgeführte Authentifizierungspraxis bis zu diesem Vorfall nie beanstandet worden sei. Zudem handele es sich nur um einen geringen Datenverstoß, der nicht zur „massenhaften Herausgabe von Daten an Nichtberechtigte“ geführt habe.

Das Gericht kritisierte im Zusammenhang mit seinem Urteil zudem das Bußgeldkonzept der DSK. Dieses sei zu umsatzorientiert und lasse wichtige Bemessungsaspekte außer Acht. Das Konzept soll nun bearbeitet werden. 

__________________________________________________________________________________________________________

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte am 09.12.2019 ein Bußgeld von 9.550.000 € gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH. Es handelt sich somit um das zweite Millionen-Bußgeld in Deutschland seit Geltung der DSGVO.

Nach Einschätzung des BfDI hatte das Unternehmen keine hinreichenden technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Kundendaten ergriffen. Bei der telefonischen Kundenbetreuung des Unternehmens sei die Angabe des Namens und des Geburtsdatums ausreichend gewesen, um weitere personenbezogene Kundendaten in Erfahrung zu bringen. In diesem denkbar simplen Authentifizierungsverfahren sah der Bundesbeauftragte einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet sei, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen und eine Kenntnisnahme der Daten durch unbefugte Dritte zu verhindern.

Die 1&1 Telecom GmbH zeigte sich einsichtig und kooperativ. Durch die Abfrage weiterer Angaben wurde der Authentifizierungsprozess zunächst rasch gestärkt. Außerdem arbeitet das Unternehmen in Absprache mit dem BfDI derzeit an einem neuen technischen und datenschutzrechtlich deutlich verbesserten Verfahren.

Doch weder das schnelle Tätigwerden noch die Kooperationsbereitschaft auf Seiten des Unternehmens konnten ein Bußgeld verhindern. Grund dafür sei, dass der Verstoß ein Risiko für den gesamten Kundenbestand darstellte. Zumindest aber blieb der Bundesbeauftragte bei der Bemessung der Höhe des Bußgelds im unteren Bereich des möglichen Bußgeldrahmens.

Ein weiteres Bußgeld in Höhe von 10.000 € wurde gegen den Telekommunikationsanbieter Rapidata GmbH verhängt, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen sei.

Fazit der Datenschutzkanzlei

So langsam werden auch die deutschen Behörden aktiv. Achten Sie bei der Gestaltung von Authentifizierungsverfahren auf eine geeignete Abfrage von Daten – frei nach dem Motto: So viel wie nötig, so wenig wie möglich!

30.10.2020 // Großbritannien

18,4 Mio. £ statt angekündigter 99 Mio. £ Bußgeld gegen die Marriott International Inc

Die britische Aufsichtsbehörde ICO hat am 30.10.2020 ein Bußgeld in Höhe von 18,4 Mio. £ gegen die Marriott International Inc verhängt.

Das Bußgeld wurde aufgrund fehlender technischer und organisatorischer Maßnahmen zum Schutz der personenbezogenen Daten verhängt. Die Verletzung des Art. 5 Abs. 1 und 32 DSGVO geht auf einen Hacker-Angriff auf das IT-System des Unternehmens Starwood Hotels & Resorts Worldwide Inc zurück, welcher im Jahr 2014 begann. Marriott International Inc kaufte das Unternehmen im Jahr 2016 und bemerkte die Datenpanne zunächst nicht. Erst am 26. September 2018 wurde das Unternehmen auf den Angriff aufmerksam und informierte umgehend die betroffenen Personen sowie die Datenschutzbehörde. Der Hacker konnte durch den Angriff personenbezogene Daten von schätzungsweise 339 Millionen Gästen sammeln.

Hierbei handelt es sich um einen weiteren Fall, bei dem die Aufsichtsbehörde das Bußgeld aufgrund der wirtschaftlichen Lage durch die Corona-Pandemie deutlich reduzierte. Die ICO hatte das Bußgeld von 99 Mio. £ auf 18,4 Mio. £ gesenkt, da es sich bei der Hotelbranche ebenso wie der Luftfahrtbranche (siehe Britisch Airways) um Branchen handelt, welche von den Auswirkungen von COVID-19 stark betroffen sind.

Fazit der Datenschutzkanzlei

Dieses Bußgeld zeigt, dass auch bei einem Unternehmenskauf die datenschutzrechtliche Komponente eine wichtige Rolle spielen kann. Es ist davon auszugehen, dass sich ein umfassendes Datenschutz-Management-System positiv auf den Wert eines Unternehmens auswirkt.

16.10.2020 // Großbritannien

20 Mio. £ statt angekündigter 183,39 Mio. £ Bußgeld gegen British Airways

Die britische Aufsichtsbehörde ICO hat am 16.10.2020 das Bußgeld gegen British Airways verhängt. Anders als ursprünglich geplant, wurde das Bußgeld von 183,39 Mio. £ auf 20 Mio. £ reduziert. Dies begründete die ICO unter anderem damit, dass sich British Airways kooperativ in der Zusammenarbeit zeigte und nach dem Datenschutzvorfall zahlreiche Verbesserungen umsetzte. Zudem wurde bei der Bemessung des Bußgeldes die wirtschaftliche Lage des Unternehmens aufgrund der Corona-Pandemie berücksichtigt.

Das Bußgeld wurde aufgrund unzureichender Sicherheitsmaßnahmen der Website verhängt. Dabei ging es um einen Cyber-Vorfall, welcher der britischen Aufsichtsbehörde im September 2018 gemeldet wurde. Vermutlich bereits seit Juni 2018 wurden die Nutzer der Website von British Airways über eine betrügerische Seite umgeleitet, sodass sich auf diese Weise unberechtigte Dritte Zugang zu personenbezogenen Daten von mehr als 500 000 Kunden verschaffen konnten. Zurückzuführen sei dieser Vorfall auf unzureichende Sicherheitsmaßnahmen, wodurch eine Vielzahl von Informationen einschließlich Login, Zahlungsdaten, Reisebuchungsdaten sowie Name und Adressen gefährdet wurden. British Airways konnte keinen angemessenen Schutz der Nutzerdaten gewährleisten und verstieß gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f) DSGVO.

Fazit der Datenschutzkanzlei

Website-Betreiber sind dafür verantwortlich, dass ihre Nutzerdaten in einer Weise verarbeitet werden, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet werden kann. Die umfasst insbesondere den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung aber auch den unberechtigten Zugriff Dritter. Auf die Erfüllung dieses Grundsatzes in Art. 5 Abs. 1 lit. f) legen die Aufsichtsbehörden viel wert und können bei Verstößen den vollen Bußgeldrahmen der DSGVO ausschöpfen. Prüfen Sie also Ihre technischen und organisatorischen Maßnahmen regelmäßig auf deren Funktionalität und informieren Sie sich über aktuelle Sicherheitslücken Ihrer Website-Software, sodass die erforderlichen Updates rechtzeitig eingespielt werden können.

01.10.2020 // Deutschland

Rekord-Bußgeld in Höhe von 35,3 Millionen Euro gegen H&M wegen schwerer Missachtung des Beschäftigtendatenschutzes

Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit verhängte das bisher höchste Bußgeld in Deutschland in Höhe von 35,3 Millionen gegen die H&M Hennes & Mauritz Online Shop A.B. & Co. KG wegen schwerer Missachtung des Beschäftigtendatenschutzes.

Wie die Behörde mitteilte, kam es seit dem Jahr 2014 zu einer umfangreichen Erfassung und Speicherung von Informationen zu privaten Lebensumständen der Mitarbeiter/innen durch Führungskräfte der Modekette. Erfasst wurden dabei sämtliche Informationen über das Privatleben der Beschäftigten, wie beispielsweise familiäre Probleme, Krankheitssymptome und Diagnosen sowie religiöse Einstellungen, die im Zuge von Einzel- oder Flurgesprächen aufgegriffen werden konnten. Die Informationen waren für eine Vielzahl an Führungskräften innerhalb des Unternehmens abrufbar und wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Beschäftigten für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu fällen.

Bekannt wurde die Datenerhebung dadurch, dass die Notizen infolge eines Konfigurationsfehlers im Oktober 2019 für einige Stunden unternehmensweit zugreifbar waren. Nach Anordnung der Behörde legte das Unternehmen daraufhin einen Datensatz von 60 GB vor, welcher mit Unterstützung von Zeugenaussagen durch die Behörden ausgewertet wurde.

Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte zu einem besonders intensiven Eingriff in die Rechte der Betroffenen.

Trotz Kooperation und zahlreicher Abhilfemaßnahmen sah die Behörde eine erhebliche Missachtung des Beschäftigtendatenschutzes.

Fazit der Datenschutzkanzlei

Rekord-Bußgeld aus Hamburg: Die umfassende Aufzeichnung privater Lebensumstände der Mitarbeiter/innen bei H&M sorgte in den Medien bereits vor einiger Zeit für großes Aufsehen. Nun erhält der Konzern die Quittung.

26.08.2020 // Spanien

Bußgeld in Höhe von 40.000 € gegen BANKIA, S.A. wegen unzulässiger Speicherung personenbezogener Daten und Verstoß gegen den Grundsatz der Zweckbindung

Die spanische Aufsichtsbehörde Agencia Española de Protección de Datos (aepd) verhängte ein Bußgeld in Höhe von 40.000 € gegen die BANKIA, S.A. wegen der unzulässigen Speicherung von personenbezogenen Daten und dem damit einhergehenden Verstoß gegen den Grundsatz der Zweckbindung nach Art. 5 Abs. 1 Buchst. b DSGVO. Der Betroffene reichte eine Beschwerde bei der spanischen Datenschutzbehörde gegen die Bank ein, weil diese seine Daten 16 Jahre lang aufbewahrt hatte. Dies stellte sich heraus, als der Betroffene aufgrund eines Erbschaftfalls wieder Kunde bei der Bank werden musste und diese ihm mitteilte, dass sie bereits über seine Daten verfüge und diese nun auch zu diesem Zwecke nutze.

Die erneute Verwendung der Daten zu anderen als ursprünglich festgelegten Zwecken und die Speicherung über die erlaubte Aufbewahrungspflicht hinaus, stellt nach Ansicht der Behörde einen Verstoß gegen den Grundsatz der Zweckbindung nach Art. 5 Abs. 1 b DSGVO dar. BANKIA konnte nicht ausreichend darlegen, warum sie die Daten über einen so langen Zeitraum aufbewahrt hat. Die Aufsichtsbehörde ging von grober Fahrlässigkeit seitens der Bank aus.

Fazit der Datenschutzkanzlei

Ein Beispiel par excellence wie einem verantwortlichen Unternehmen ein fehlendes Löschkonzept eines Tages teuer zu stehen kommen kann. Auch wenn die Behörden derzeit nicht genügend Kapazität haben, dokumentierte Löschroutinen proaktiv abzufragen, kann die Beschwerde eines einzelnen Betroffenen jederzeit eine genauere Untersuchung der Aufsichtsbehörde mit der Folge eines Bußgeldes auslösen.

28.07.2020 // Frankreich

Bußgeld in Höhe von 250.000 Euro gegen die SPARTOO SAS wegen Verstoß gegen die Grundsätze der Datenminimierung und der Speicherbegrenzung

Die französische Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) verhängte ein Bußgeld in Höhe von 250.000 Euro gegen die SPARTOO SAS, einem europaweit agierenden Versandhändler für Schuhe, wegen millionenfacher Verstöße gegen die Grundsätze der Datenminimierung und der Speicherbegrenzung sowie weiterer Verstöße gegen geltendes Datenschutzrecht.

Bereits kurz nach Geltung der DSGVO stattete die CNIL dem französischen Unternehmen einen Besuch ab und prüfte die Umsetzung der Vorgaben aus der DSGVO sowie dem französischen Datenschutzgesetz. Dabei legte die Behörde den Fokus ihrer Prüfung auf die rechtmäßige Verarbeitung von Kunden und Interessentendaten. Als Resultat hat die Behörde Folgendes festgestellt:

Verstoß gegen den Grundsatz der Speicherbegrenzung:
Die SPARTOO SAS verfügte über keinerlei Löschroutinen, geschweige denn über ein dokumentiertes Löschkonzept. Somit sammelte sich über die Jahre eine enorme Datenmenge von Kunden an, die sich zu großen Teilen seit mehreren Jahren nicht mehr in ihr Kundenkonto eingeloggt hatten. Zudem befanden sich in der Datenbank Interessentendaten der letzten Jahre, mit denen nie ein Vertragsverhältnis zustande kam.

Verstoß gegen den Grundsatz der Datenminimierung:
Die SPARTOO SAS zeichnete jedes Telefongespräch mit ihren Kunden auf. Die Behörde billigt zwar eine Aufzeichnung zu Schulungszwecken, hält die Vielzahl der Aufzeichnungen in diesem Zusammenhang aber für zu weitreichend. Darüber hinaus wurde der Umfang der Aufzeichnung beanstandet, da darin auch Kontodaten der Kunden erfasst und gespeichert wurden. Schließlich verlangte SPARTOO zur Identitätsfeststellung eine Kopie des Personalausweises ihrer Kunden. In Italien fand zudem eine Abfrage des Gesundheitsausweises statt. Die Behörden erachteten auch das für zu weitreichend und damit unzulässig.

Weitere Verstöße
Die Behörde rügte die fehlerhaften und unvollständigen Datenschutzhinweise zur Erfüllung der Informationspflichten sowohl gegenüber Kunden als auch gegenüber den eigenen Beschäftigten. Weiterhin fehlte es an ausreichenden technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Schutzniveaus nach Art. 32 DSGVO, insbesondere im Bereich der Passwortsicherheit und der digitalen Datenhaltung.

Die SPARTOO SAS ist nun dazu angehalten, die Mängel innerhalb von drei Monaten zu beheben. Andernfalls droht ein weiteres Zwangsgeld in Höhe von 250 Euro pro Tag.

Fazit der Datenschutzkanzlei

Neues Bußgeld – bekanntes Problem: Zu weitrechende Datenerhebung und fehlende Löschroutinen.
Beim Umgang mit Kunden- und Interessentendaten im Endkundengeschäft schauen die Aufsichtsbehörden gerne genauer hin.

Prüfen Sie daher genau, in welchem Umfang Sie die personenbezogenen Daten ihrer Kunden erheben und speichern dürfen und sorgen Sie dafür, dass die Daten gelöscht werden, sobald keine Rechtfertigung für eine weitere Speicherung mehr vorliegt.

06.07.2020 // Niederlande

Bußgeld in Höhe von 830.000 Euro gegen die Stichting Bureau Krediet Registratie (BKR) wegen unzulässiger Hürden bei Auskunftsersuchen von Betroffenen

Die niederländische Aufsichtsbehörde (Autoriteit Persoonsgegevens) verhängte ein Bußgeld in Höhe von 830.000 Euro gegen das Keditinstitut BKR wegen unzulässiger Erschwerung von Auskunftsersuchen. Seit Mai 2018 ermöglichte das BKR digitale Auskunftsersuchen von betroffenen Personen nur gegen Erstattung einer Gebühr. Eine kostenlose Auskunftsanfrage konnte ausschließlich per Post und nur einmal jährlich gestellt werden.

Mehrere Beschwerden betroffener Personen veranlassten eine Untersuchung der Autoriteit Persoonsgegevens. Das Ergebnis der AP ergab: Die Gebührenerstattung für den digitalen Zugriff auf die personenbezogenen Daten der betroffenen Personen stellen einen Verstoß gegen Art. 15 in Verbindung mit Art. 12 DSGVO dar und sind somit unzulässig. Der Vorsitzende der Behörde führt an, dass es für die betroffenen Personen insbesondere bei Kreditinstituten besonders wichtig sei, Auskunft über ihre Daten zu erlangen und deren Richtigkeit zu prüfen, da diese unter Umständen über den Erhalte eines Darlehens oder einer Hypothek entscheiden.

Nach der Untersuchung der AP änderte das BKR seine Arbeitsmethode. Seit April 2019 können Personen ihre Daten beim BKR kostenlos digital einsehen. Seit März 2019 hat das BKR auch die Anzahl der Zugriffe auf die persönlichen Daten von Personen per Post angepasst.

Das BKR hat in diesem Fall beim Gericht Berufung eingelegt. Infolgedessen ist die Entscheidung des AP über die zu verhängende Geldbuße noch nicht endgültig.

Fazit der Datenschutzkanzlei

Betroffene Personen haben ein Recht Auskunft darüber zu verlangen, ob und gegebenenfalls in welchem Umfang personenbezogene Daten zu ihrer Person verarbeitet werden.

Als verantwortliches Unternehmen müssen Sie dafür Sorge tragen, dass Anträge elektronisch gestellt werden können, insbesondere wenn die personenbezogenen Daten von Ihnen elektronisch verarbeitet werden. Gebühren für Auskunftsersuchen dürfen nur bei offenkundig unbegründeten oder – insbesondere im Fall von häufiger Wiederholung – exzessiven Anträgen verlangt werden.

Um Auskunftsanfragen DSGVO-konform und gleichzeitig ressourcenschonend zu beantworten, empfehlen wir einen festen Prozess mit geregelten Zuständigkeiten als Teil des Datenschutz-Managements zu implementieren. Auf diese Weise vermeiden Sie Unmut bei den anfragenden Betroffenen und kommen außerdem Ihre Rechenschaftspflicht nach. Bei der rechtskonformen Gestaltung des Prozesses stehen wir Ihnen gerne zur Seite!

30.06.2020 // Deutschland

Bußgeld in Höhe von 1,24 Millionen Euro gegen die AOK Baden-Württemberg wegen eines Verstoßes gegen die Pflichten zur sicheren Datenverarbeitung

Nach langer Zeit berichten wir wieder einmal von einem Bußgeld einer deutschen Aufsichtsbehörde. Mit Bescheid vom 26.06.2020 ahndet der LfDI Baden-Württemberg einen Verstoß der AOK Baden-Württemberg gegen die Pflichten zur sicheren Datenverarbeitung (Art. 32 DSGVO) mit einem Bußgeld von 1,24 Millionen Euro.

Die AOK Baden-Württemberg veranstaltete in den Jahren 2015 bis 2019 zu unterschiedlichen Gelegenheiten Gewinnspiele und erhob hierbei personenbezogene Daten der Teilnehmenden. Die AOK beabsichtigte die Daten der Gewinnspielteilnehmenden auch zu Werbezwecken nutzen, sofern diese ihre Einwilligung dazu gegeben haben. Unzureichende technische und organisatorische Maßnahmen führten jedoch dazu, dass die personenbezogenen Daten von mehr als 500 Gewinnspielteilnehmenden ohne deren Einwilligung zu Werbezwecken verwendet wurden. Versichertendaten waren hiervon nicht betroffen. Die AOK unterlies unmittelbar nach Bekanntwerden des Vorwurfs alle vertrieblichen Maßnahmen und stellte ihre internen Abläufe auf den Prüfstand.

Das schnelle Tätigwerden und die konstruktive Kooperation mit der Behörde kamen der AOK bei der Bemessung des Bußgeldes zu Gute. Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Dr. Stefan Brink betone, dass technische und organisatorische Maßnahmen regelmäßig zu prüfen und an die tatsächlichen Verhältnisse anzupassen seien.

Fazit der Datenschutzkanzlei

Die Summe des Bußgeldes klingt zunächst beachtlich. Doch die Aussage von Dr. Stefan Brink, er strebe keine besonders hohen DSGVO-Bußgelder, sondern ein besonders gutes und angemessenes Datenschutzniveau an, lässt vermuten, dass das Bußgeld nach dem Verfahren der Bußgeldzumessung vermeintlich noch höher hätte ausfallen können.

Nun aber zum Sachverhalt: Geahndet wurden fehlende technische und organisatorische Maßnahmen, die dazu führten, dass Daten ohne Rechtsgrundlage verarbeitet wurden. Bei einwilligungsbedürftigen Verarbeitungstätigkeiten ist es also nicht nur wichtig eine wirksame Einwilligung einzuholen, sondern auch anhand interner Vorkehrungen dafür zu sorgen, dass die Daten auch nur bei Vorliegen einer Einwilligung verwendet werden. Fehlende oder unzureichende Maßnahmen können zu Verstößen führen, die die Behörden, wie in diesem Fall, entsprechend quittieren.

18.05.2020 // Finnland 

Bußgeld in Höhe von 100.000 € wegen fehlender Transparenz bei der Weitergabe von personenbezogenen Daten

Die finnische Aufsichtsbehörde verhängte ein Bußgeld von 100.000 € gegen Posti Oy, den führenden Postbetreiber Finnlands, wegen unzureichender Erfüllung der Informationspflichten.

Eine Vielzahl von Betroffenen hatte Beschwerde bei der Aufsichtsbehörde eingereicht, da sie nach Mitteilung ihrer Adressänderung bei Posti Oy, Postwerbung von unterschiedlichsten Unternehmen erhalten haben. Die Untersuchungen der Aufsichtsbehörde ergaben, dass Posti Oy die betroffenen Personen nicht ausreichend und vollständig über ihre Rechte, insbesondere das Recht, der Weitergabe von Daten zu widersprechen, informiert hatten. Die Verstöße betrafen allein im Jahr 2019 161.000 Kunden. Mittlerweile verbesserte Posti seine Praktiken zur Kundeninformation.

Fazit der Datenschutzkanzlei

Jede Verarbeitung personenbezogener Daten löst unabhängig von der Rechtsgrundlage Informationspflichten nach Art. 13, 14 DSGVO aus. Diese Pflicht besteht auch bei werblichen Maßnahmen und muss somit beim Ankauf von Postadressen beachtet werden. Betroffene sind gemäß Art. 14 Abs. 2 lit. f) DSGVO über die Quelle der Daten zu informieren. Die Informationen sind innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, längstens jedoch innerhalb eines Monats, zu erteilen.

12.05.2020 // Schweden 

Bußgeld in Höhe von 11.000 € wegen unzulässiger Veröffentlichung von Gesundheitsdaten

Die schwedische Aufsichtsbehörde verhängte ein Bußgeld in Höhe von umgerechnet 11.000 € gegen den Gesundheitsausschuss der Region Örebro wegen unzulässiger Veröffentlichung von besonders sensiblen Gesundheitsdaten eines Patienten einer forensisch psychiatrischen Klinik.

Die Untersuchung der Aufsichtsbehörde wurde aufgrund einer Beschwerde eingeleitet. Die Behörde stellte fest, dass sensible persönliche Informationen eines Patienten einer forensisch psychatrischen Klinik auf der Website des Gesundheitsausschusses veröffentlicht und für alle frei zugänglich gemacht wurden. Für eine Veröffentlichung sei nach Aussage der Behörde weder ein legitimer Zweck noch eine Rechtsgrundlage ersichtlich gewesen. Die Verletzung zeige, dass keine ausreichenden organisatorischen Maßnahmen in Form von schriftlichen Arbeitsanweisungen ergriffen worden seien, um die Gesundheitsdaten vor einer versehentlichen Veröffentlichung zu bewahren. Die Behörde fordert den Gesundheitsausschuss auf, schriftliche Verfahrensanweisungen für die Veröffentlichung von Inhalten auf der Website zu implementieren und quittiert dieses Versehen mit einem Bußgeld von umgerechnet 11.000 €.

Das veröffentlichte Dokument mit den unrechtmäßig veröffentlichten Daten wurde bereits von der Website entfernt.

Fazit der Datenschutzkanzlei

Bei der Verarbeitung von Gesundheitsdaten ist höchste Vorsicht geboten! Bereits die Verletzung des Schutzes von besonders sensiblen Daten einer einzigen betroffenen Person kann neben einem Bußgeld zu einem enormen Reputationsschaden führen. Sensibilisieren und schulen Sie Ihre Beschäftigten daher regelmäßig und beugen Sie mit schriftlichen Arbeitsanweisungen einem Organisationsverschulden vor.

05.05.2020 // Rumänien

Bußgeld in Höhe von 5.000 € wegen Übermittlung von Ausweiskopien via WhatsApp über privates Smartphone

Die rumänische Aufsichtsbehörde verhängte ein Bußgeld in Höhe von umgerechnet 5.000 € aufgrund unzureichender Maßnahmen zur Sicherstellung eines angemessenen Schutzniveaus bei der Verarbeitung personenbezogener Daten.

Die Untersuchung wurde nach Eingang einer Beschwerde eingeleitet. Die Behörde stellte fest, dass Ausweiskopien von minderjährigen Kunden und deren gesetzlichen Vertretern von einem Mitarbeiter der Banca Comercială Română S.A. über sein privates Smartphone via WhatsApp versendet wurden.

Nach Ansicht der nationalen Aufsichtsbehörde habe die Banca Comercială Română S.A. keine angemessenen technischen und organisatorischen Maßnahmen getroffen, um ein dem Verarbeitungsrisiko angemessenes Sicherheitsniveau zu gewährleisten. Weiterhin habe die Bank keine Maßnahmen ergriffen, um sicherzustellen, dass eine natürliche Person, die unter ihrer Aufsicht handelt und Zugang zu personenbezogenen Daten hat, diese nur auf ihre Weisung hin verarbeitet.

Die Aufsichtsbehörde erachtete dies als einen Verstoß gegen die Bestimmungen zur Sicherheit der Verarbeitung gem. Art. 32 Abs. 4 DSGVO in Verbindung mit Art. 32 Abs. 1 und Abs. 2 DSGVO.

Fazit der Datenschutzkanzlei

Dieses Bußgeld zeigt, wie wichtig organisatorische Maßnahmen in Form von Verhaltensrichtlinien oder Verpflichtungen für Beschäftigten sind. DasVergehen eines einzigen Mitarbeiters kann bereits ein erhebliches Bußgeld für das verantwortliche Unternehmen bedeuten, wenn keine entsprechenden Maßnahmen getroffen wurden.

30.04.2020 // Niederlande

Bußgeld in Höhe von 725.000 € wegen unzulässiger Verarbeitung von Fingerabdrücken in einem Zeiterfassungssystem

Die niederländische Aufsichtsbehörde Autoriteit Persoonsgegevens verhängte ein beachtliches Bußgeld in Höhe von 725.000 € gegen ein unbekanntes Unternehmen wegen unzulässiger Verarbeitung von Fingerabdrücken und der damit einhergehenden Verletzung des Art. 9 Abs. 1 DSGVO.

Das beschuldigte Unternehmen betreibt seit Januar 2017 mehrere Fingerabdruckterminals als Teil einer Zeiterfassungssystems. Die Fingerabdrücke wurden dabei nicht nur im Zeiterfassungssystem selbst, sondern auch auf einem anderen Dateisystem gespeichert. Von der Zeiterfassung waren zum Zeitpunkt der Untersuchung der Behörde 337 Beschäftigte betroffen.

Bei Fingerabdrücken handelt es sich um biometrische Daten, die als besondere Kategorie personenbezogener Daten einen erhöhten Schutzbedarf aufweisen. Eine wirksame Einwilligung zur Nutzung dieser besonders sensiblen Daten konnte das Unternehmen nach Einschätzung der Behörde nicht nachweisen. Auch der Ausnahmetatbestand des niederländischen Datenschutzgesetzes, wonach biometrische Daten für Authentifizierungs- und Sicherheitszwecke verarbeitet werden dürfen, scheitere an der Erforderlichkeit sowie der Verhältnismäßigkeit.

Die Behörde begründet die beachtliche Summe des Bußgeldes damit, dass eine Verletzung des Schutzes dieser Daten zu irreparablen Schäden für die Betroffenen führen könne.

Das Unternehmen erhob Einspruch gegen die Entscheidung der Behörde.

Fazit der Datenschutzkanzlei

Die Verarbeitung von sensiblen personenbezogenen Daten darf nur unter strengen Voraussetzungen erfolgen. Dabei muss zuvor sorgfältig geprüft werden, ob eine Zweckerfüllung auch ohne die Verarbeitung solcher Daten erreicht werden kann.

12.03.2020 // Niederlande

Aufsichtsbehörde verhängt Bußgeld von 525.000 Euro wegen unerlaubten Adressdaten-Verkauf

Die niederländische Aufsichtsbehörde Autoriteit Persoonsgegevens (AP) verhängte ein Bußgeld in Höhe von 525.000 Euro gegen den Tennisverband KNLTB wegen unzulässigen Verkaufs von Adressdaten seiner Mitglieder/innen.

Im Jahr 2018 verkaufte der Verband personenbezogene Daten wie Name, Geschlecht, Geburtstag, E-Mail-Adresse, Telefonnummer und Adresse seiner Mitglieder an zwei seiner Sponsoren. Ein Sponsor erhielt Daten von 50.000 Mitgliedern, der andere Sponsor von mehr als 300.000 Mitgliedern. Die Sponsoren wandten sich daraufhin per Post oder Telefon an einen Teil der Mitglieder des Tennisverbands, um für tennisbezogene und andere Angebote zu werben.

Der Tennisverband erachtete den Verkauf der personenbezogenen Daten von ihrem berechtigten Interesse gedeckt und beabsichtigte damit einen Mehrwert für seine Mitglieder zu schaffen. Weiterhin sollten die erzielten Einnahmen die Einbußen durch die sinkende Mitgliederzahl ausgleichen. Die niederländische Aufsichtsbehörde folgte diesen Gründen nicht und erachtet die Weitergabe der Daten ohne Einwilligung für unzulässig. Die Höhe des Bußgeldes begründet die Aufsichtsbehörde in der Schwere des Vergehens. Zudem habe sich der Verband im Voraus zu wenig über die Zulässigkeit informiert.

Die Entscheidung ist nicht rechtskräftig. Der Tennisverband KNLTB hat bereits Einspruch erhoben.

Fazit der Datenschutzkanzlei

Dieses Bußgeld zeigt, dass der Handel mit Daten auch gleichzeitig ein Spiel mit dem Feuer ist. Prüfen Sie daher bei geplantem Vorgehen dieser Art immer welche Voraussetzungen für die Zulässigkeit erfüllt sein müssen.

05.11.2019 // Deutschland

Berliner Aufsichtsbehörde verhängt Bußgeld von 14,5 Millionen Euro gegen die Immobiliengesellschaft Deutsche Wohnen SE

Am 30.Oktober 2019 erließ die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein Rekordbußgeld in Deutschland von 14, 5 Millionen Euro wegen unrechtmäßiger Datenspeicherung.

Bei einer Vor-Ort-Prüfung der Behörde im Juni 2017 stellte die Behörde fest, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, welches keine Möglichkeit vorsah, nicht mehr erforderliche Daten nach Zweckerfüllung und Ablauf der Aufbewahrungspflichten zu löschen. Somit konnte eine unzulässige Speicherung personenbezogener Daten von Mieterinnen und Mietern, wie beispielsweise Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge festgestellt werden. Bei einer erneuten Prüfung im März 2019 konnte das Unternehmen, trotz ausgesprochener Empfehlung der Aufsichtsbehörde, weder eine Bereinigung des Datenbestands noch rechtliche Gründe für die fortlaufende Speicherung vorweisen. Die Aufsichtsbehörde erachtete die getroffenen Maßnahmen als nicht ausreichend, um einen rechtmäßigen Zustand herzustellen und sah darin einen Verstoß gegen Art. 25 Abs. 1 DSGVO sowie Art. 5 DSGVO für den Zeitraum zwischen Mai 2018 und März 2019.

Die Aufsichtsbehörde begründet das beachtliche Bußgeld damit, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt habe und die betroffenen Daten dadurch über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden.

Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 – 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen.

Fazit der Datenschutzkanzlei

Datenfriedhöfe rächen sich! Um eine Löschung personenbezogener Daten nach Zweckerfüllung und Ablauf der gesetzlichen Aufbewahrungspflichten sicherstellen zu können, muss ein strukturiertes und dokumentiertes Löschkonzept implementiert und gelebt werden. Machen Sie sich frei von verstaubten Akten!

21.10.2019 // Rumänien

Bußgeld von insgesamt 170.000 € wegen Nutzung von WhatsApp durch Bank

Die rumänische Aufsichtsbehörde verhängte ein Bußgeld ein Bußgeld von 170.000 € gegen die Raiffeisen Bank S.A. (150.000 €) und die Vreau Credit S.R.L. (20.000 €) aufgrund mehrerer Verstöße gegen die DSGVO.
Die Aufsichtsbehörde ahndete in diesem Fall insbesondere den unzulässigen Datenaustausch der beiden Unternehmen über WhatsApp und bemängelte bei der Raiffeisen Bank S.A., dass keine geeigneten Maßnahmen ergriffen wurden, die sicherstellten, dass unterstellte natürliche Personen, die Zugang zu personenbezogene Daten haben, diese nur streng weisungsgebunden verarbeiteten.

Außerdem hatte die Raiffeisen Bank S.A. keine angemessenen technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus ergriffen und die mit der Verarbeitung verbundenen Risiken nicht bewertet.
Die Untersuchungsmaßnahmen der Behörde wurden eingeleitet, nachdem die Raiffeisen Bank S.A. eine Verletzung der Sicherheit personenbezogener Daten meldete.

Fazit der Datenschutzkanzlei

Neben der unzulässigen Datenübermittlung via WhatsApp führte bei diesem Sachverhalt insbesondere die fehlende Verpflichtung der Mitarbeiter auf die Vertraulichkeit zur Einhaltung des Art. 32 Abs. 4 DSGVO zu diesem beachtlichen Bußgeld. Denken Sie daran, alle Personen, die Zugang zu Ihren personenbezogenen Daten haben, auf die Vertraulichkeit der Daten zu verpflichten.

17.10.2019 // Deutschland

LAG Mecklenburg-Vorpommern: Arbeitnehmer hat Schadensersatzanspruch bei unerlaubter Videoüberwachung

Ein Arbeitnehmer hat einen Schadensersatzanspruch in Höhe von 2.000 € bei unerlaubter Videoüberwachung durch den Arbeitgeber. Das entscheid das Landesarbeitsgericht Mecklenburg-Vorpommern (Urt. v. 24.05.2019, Az. 2 Sa 214/18).

Im vorliegenden Fall hatte der Pächter einer Tankstelle mehrere Kameras, sowohl im öffentlich zugänglichen Bereich als auch in Flur- und Lagerräumen installiert. Das LAG Mecklenburg-Vorpommern sah darin eine empfindliche Verletzung des Persönlichkeitsrechts des Beschäftigten der Tankstelle, da dieser weder eine wirksame Einwilligung abgegeben hatte, noch gäbe es in Bezug auf die Überwachungsanlagen in Flur- und Lagerräumen Anhaltspunkte, die eine Überwachung unter Berücksichtigung der Schutzinteressen der Beschäftigten erforderlich machten. Zusätzlich sei das Persönlichkeitsrecht des Beschäftigten durch die Überwachungskameras in den öffentlich zugänglichen Verkaufsräumen verletzt worden, da einige Kameras verdeckt an der Decke über dem Kassenbereich angebracht waren, sodass sie in erster Linie eine Überwachung der Beschäftigten herbeiführten. Für den Einsatz dieser Deckenkameras gäbe es keinen rechtfertigenden Grund, da die übrigen erkennbaren Kameras in den Geschäftsräumen bereits das Sicherheitsbedürfnis ausreichend befriedigten.

Da der vorliegende Rechtsstreit auf Konflikte im Jahr 2017 zurückgeht, beruht dieses Urteil auf dem Bundesdatenschutzgesetz in der alten Fassung. Die Einschätzungen und Argumente des Gerichts lassen sich jedoch auf die neue Rechtslage übertragen.

Fazit der Datenschutzkanzlei

Wer als Arbeitsgeber eine Videoüberwachung in seinen Räumlichkeiten installiert, muss zuvor die datenschutzrechtliche Zulässigkeit prüfen. Dabei lässt sich gerade nicht jede Überwachung auf ein Sicherheitsinteresse oder die Wahrung des Hausrechts stützen.

20.09.2019 // Deutschland 

195.407 € Bußgeld gegen die Delivery Hero Germany GmbH

Der Berliner Datenschutzbeauftragte hat ein Bußgeld von insgesamt 195.407 € gegen den Lieferdienst Delivery Hero Germany GmbH aufgrund einer Vielzahl datenschutzrechtlicher Einzelverstöße verhängt. Die Behörde ahndet damit vor allem die Missachtung von Betroffenenrechte wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Ausgangspunkt des Verfahrens gegen Delivery Hero waren Beschwerden von Kundinnen und Kunden. Acht ehemalige Kunden des Lieferdienstes beschwerten sich über unerwünschte Werbe-E-Mails. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war. Des Weiteren hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform aktiv waren.

Zum 1. April 2019 wurden die Delivery Hero-Marken Lieferheld, Pizza.de und foodora vom niederländischen Konzern Takeway.com übernommen. Dabei wurden die dem Verfahren zugrundeliegenden Verstöße allesamt vor dieser Übernahme begangen. Der neue Eigner hat die Bußgeldbescheide jedoch akzeptiert und keine Rechtsmittel eingelegt. Die Entscheidung der Behörde ist rechtkräftig.

Fazit der Datenschutzkanzlei

Mit diesem beachtlichen Bußgeld zieht die Berliner Aufsichtsbehörde nun mit anderen europäischen Kollegen gleich. Bisher hatten sich die deutschen Behörden im europäischen Vergleich eher zurückhaltend gezeigt. Doch die Schonfirst scheint vorbei zu sein.

Die DSGVO-Bußgelder zeigen, wie wichtig die Wahrung der Betroffenenrechte ist und dass die Erfüllung dieser Rechte nur mit entsprechenden technischen und organisatorischen Maßnahmen gewährleistet werden können. Definierte Prozesse mit klaren Zuständigkeiten zur Erfüllung der einzelnen Betroffenenrechte erleichtern die Einhaltung und sorgen dafür, dass die Betroffenenrechte ordentlich, fristgerecht und ressourcenschonend erfüllt werden können. Wer zur Gewährleistung der Betroffenenrechte bisher noch nichts unternommen hat, für den wird es nun höchste Zeit…

17.09.2019 // Deutschland

Urteil des Bundesverwaltungsgerichts zu Facebook Fanpages

Das Bundesverwaltungsgericht hat im Rahmen eines Revisionsverfahrens entschieden, dass Datenschutzbehörden Maßnahmen auch gegen Betreiber von Facebook-Fanpages selbst (als Mitverantwortlichen) treffen können. Demnach kann eine Untersagungsverfügung auch gegen den Betreiber der Seite ausgesprochen werden, so wie es in dem vorliegenden Fall auch geschehen ist. Ein Vorgehen gegen Facebook müsse nach Ansicht des Gerichts nicht vorhergehen oder parallel stattfinden, weil dies wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen sei. Ob die Untersagung des Betriebs rechtmäßig war, urteilte das Gericht nicht. Es verwies die Klage an das Schleswig-Holsteinische Oberverwaltungsgericht zurück. Das Oberverwaltungsgericht muss sich nun mit dieser Frage auseinandersetzen.

Fazit der Datenschutzkanzlei

Sollte das Schleswig-Holsteinische Oberverwaltungsgericht zu dem Ergebnis kommen, dass der Betrieb von Facebook-Fanpages rechtswidrig ist, ist damit zu rechnen, dass entweder Facebook auf die Forderungen der Datenschutzbehörden eingehen wird oder es ist zu Untersagungen des Betriebs durch die Datenschutzbehörden kommt.
Da Maßnahmen auch gegen die Betreiber der Fanpages gerichtet werden können ist es wichtig, dass die erforderliche Datenschutzerklärung durch den Betreiber eingestellt wurde (eine Anleitung finden sie hier) und so das Risiko minimiert wird.

01.08.2019 // Griechenland

Griechenland: 150.000 € Bußgeld gegen PwC BS

Die griechische Aufsichtsbehörde verhängte ein Bußgeld von 150. 000 € gegen PricewaterhouseCoopers Business Solutions SA („PwC BS“) wegen Auswahl und Anwendung ungeeigneter Rechtsgrundlagen und der damit einhergehenden Verletzung der Rechenschaftspflicht.

Im vorliegenden Fall wurde die griechische Aufsichtsbehörde aufgrund einer Beschwerde tätig, in welcher dem Unternehmen vorgeworfen wurde, es verpflichte seine Mitarbeiter in die Verarbeitung ihrer Daten einzuwilligen.
Die griechische Aufsichtsbehörde sah darin eine Verletzung gleich mehrerer Grundsätze der DSGVO:

Zum einen sei es ein Verstoß gegen den Grundsatz der Rechtmäßigkeit nach Art. 5 Abs. 1 lit. a) DSGVO, da PwC BS eine unangemessene Rechtsgrundlage verwende. Zum anderen werde gegenüber den Mitarbeitern der Eindruck erweckt, die Datenverarbeitung stütze sich auf die Rechtsgrundlage der Einwilligung wohingegen in Wirklichkeit jedoch eine andere Rechtsgrundlage vorliege, über die die Mitarbeiter nicht informiert werden. PwC BS verstoße somit gegen den Grundsatz der Verarbeitung nach Treu und Glauben sowie den Grundsatz der Transparenz. Des Weiteren sei PwC BS nicht in der Lage die Einhaltung der oben genannten Grundsätze nachzuweisen und komme somit seiner Rechenschaftspflicht nicht nach. Die Aufsichtsbehörde setzt PwC BS eine Frist von drei Monaten, um die Verarbeitung ihrer Mitarbeiterdaten in Einklang mit der DSGVO zu bringen.

Fazit der Datenschutzkanzlei

Dieses Bußgeld zeigt die zentrale Bedeutung der Grundsätze in Art. 5 DSGVO. Dabei dürfen personenbezogene Daten auch im Beschäftigtenkontext nur dann verarbeitet werden, wenn sie auf die richtige Rechtsgrundlage gestützt und die Informationspflichten ordnungsgemäß erfüllt werden. Die Aufsichtsbehörde betont außerdem, dass Unternehmen zur Erfüllung der Rechenschaftspflicht in der Lage sein müssen, die Einhaltung der Grundsätze nachzuwiesen. Aus Sicht der Datenschutzkanzlei fordert dies die Etablierung eines Datenschutz-Management-Systems.

25.07.2019 // Deutschland 

Verwaltungsgericht Mainz verhängt DSGVO-Zwangsgeld in Höhe von 5.000 €

Wegen fehlender Auskunft eines Unternehmens an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, verhängte dieser ein Zwangsgeld in Höhe von 5.000 €. Der Verantwortliche klagte dagegen. Das Verwaltungsgericht Mainz wies die Klage ab, da das Zwangsgeld zu Recht verhängt worden sei.

Im vorliegenden Fall ist der Verantwortliche Betreiber eines Bordells. Sowohl außerhalb des Gebäudes als auch im Innenraum und den Separees waren Videokameras angebracht, von deren Aufnahmen Kundinnen und Kunden sowie Mitarbeiterinnen und Mitarbeitern erfasst wurden. Der Landesbeauftrage für den Datenschutz und Informationsfreiheit Rheinland-Pfalz verlangte nach Art. 58 Abs. 1 lit. a DSGVO Auskunft vom Kläger über die näheren Umstände der Videoüberwachung in Form eines Fragebogens. Als auch nach mehrmaliger Aufforderung keine vollständige Auskunft einging, erließ die Aufsichtsbehörde ein Zwangsgeld von 5.000 €. Der Verantwortliche reichte Klage ein, welche das VG Mainz jedoch abwies.

Das Gericht stellt in seinem Urteil klar, dass die Aufsichtsbehörde mit Art. 58 DSGVO über weitreichende Untersuchungsbefugnisse verfüge, die es ihr gestatten, sämtliche Informationen einzuholen, die für die Erfüllung ihrer Aufgaben nach Art. 57 DSGVO erforderlich seien. Der Aufsichtsbehörde steht gemäß Art. 58 Abs. 1 lit. a DSGVO insbesondere ein Auskunftsanspruch zu, dem der Verantwortliche grundsätzlich nachkommen muss. Weder Form und Inhalt des Fragebogens noch die Höhe des Zwangsgelds wurden vom Gericht beanstandet.

Fazit der Datenschutzkanzlei

Diesmal kurz und knapp: Fehlende Kooperationsbereitschaft mit der Aufsichtsbehörde rächt sich!

17.07.2019 // Niederlande 

460.000 € Bußgeld gegen niederländisches Krankenhaus

Die niederländische Aufsichtsbehörde (AP) hat ein Bußgeld von 460.000 € gegen ein Krankenhaus wegen unzureichender Sicherheitsmaßnahmen verhängt. Dies ist das Ergebnis einer Untersuchung der Aufsichtsbehörde, bei der sich herausstellte, dass Dutzende von Mitarbeitern des Krankenhauses Einsicht in die Patientenakten nehmen konnten, ohne dass dies notwendig war. Die Aufsichtsbehörde drohte außerdem weitere Bußgelder an, wenn die Sicherheitsmaßnahmen, die künftig unbefugte Zugriffe von Mitarbeitern auf Patientenakten verhindern, nicht implementiert werden. Dafür setzte die Behörde eine Frist bis zum Oktober dieses Jahrs. Der Vorsitzende der AP begründete das Bußgeld damit, dass die Beziehung zwischen einem Gesundheitsdienstleister und einem Patienten absolut vertraulich zu sein habe. Dies gelte auch innerhalb der Mauern eines Krankenhauses. Ein Krankenhaus müsse alle notwendigen technischen und organisatorischen Maßnahmen ergreifen, um die Sicherheit der Patientendaten zu gewährleisten. Dies könne beispielsweise mit einer Zwei-Faktor-Authentifizierung erreicht werden. Die Zugriffsrechte müssten außerdem regelmäßig kontrolliert werden. Das Krankenhaus kündigte an, entsprechende Maßnahmen zu ergreifen.

Fazit der Datenschutzkanzlei

Dieses Bußgeld signalisiert wie wichtig Berechtigungskonzepte und streng geregelte Zugriffsrechte sind. Dabei spielt das sogenannte „Need-to-know-Prinzip“ eine wichtige Rolle. Vor allem im Gesundheitswesen ist es unerlässlich den Grundsatz der Vertraulichkeit der Daten nach Art. 5 Abs. 1 lit. f DSGVO auch innerhalb der Organisation zu wahren. Die hierfür notwendigen technischen und organisatorischen Maßnahmen sind zwingend zu implementieren, auch wenn dies unter Umständen mit einer kostspieligen Veränderung der internen Systeme und Arbeitsabläufe verbunden ist.

24.06.2019 // Spanien

250.000 Euro Bußgeld gegen spanische Fußballliga

Die spanische Aufsichtsbehörde AEPD verhängt ein Bußgeld von 250.000 Euro aufgrund eines Verstoßes gegen den Transparenzgrundsatz der DSGVO. Eine unsichtbare Funktion der App der spanischen Fußballliga „La Liga“ erhob Aufnahmen des Mikrofons sowie Standortdaten des Nutzers, um unlizenzierte öffentliche Übertragungen der Spiele aufzudecken. Zu den Spielzeiten nahm die App die Umgebungsgeräusche auf und kombinierte diese mit den Standortdaten. Das Bußgeld verhängte die spanische Aufsichtsbehörde auf Grund zweier Vergehen: Zum einen verstoße La Liga gegen das Transparenzgebot, da den Nutzern die Einzelheiten der Nutzung des Mikrofons und der Standortdaten nicht ausreichend erläutert werde. Zum anderen läge ein Verstoß gegen Art. 7 Abs. 3 DSGVO vor, nach welchem der Nutzer die Möglichkeit hat, die Einwilligung jederzeit zu widerrufen. La Liga will gegen die Entscheidung der Behörde Berufung einlegen und führt an, dass mithilfe der eingesetzten Technologie lediglich ein Tonabdruck erzeugt und in einen Code umgewandelt werde. Ein Rückschluss auf die Stimme des Nutzers könne dabei nicht erzeugt werden. Nur 0,75 % der erfassten Daten würden benötigt, um eine Übertragung im Umfeld festzustellen. Dennoch kündigte La Liga an, die umstrittene Funktion der App zu entfernen.

Fazit der Datenschutzkanzlei

Auch eine umfassende Datenverarbeitung von Informationen zu Standorten und Umgehungsgeräuschen ist grundsätzlich mit Einwilligung der Nutzer zulässig. Allerdings muss der Nutzer ausdrücklich und transparent über diesen Vorgang aufgeklärt werden, was insbesondere der Grundsatz der Transparenz gemäß Art. 5 Abs. 1 lit. a DSGVO vorschreibt. Auf die Erfüllung dieser Pflicht legen die Aufsichtsbehörden viel wert. Sollten Sie Ihre Datenverarbeitung auf eine Einwilligung stützen, sind die Nutzer umfassend über die Verwendung der Daten aufzuklären. Zudem ist erforderlich, dass Nutzern ein Widerruf dieser Einwilligung gemäß Art. 7 Abs. 3 DSGVO ermöglicht wird.

11.06.2019 // Deutschland

50.000 Euro Bußgeld wegen “Schwarzer Liste” bei N26

Die Berliner Aufsichtsbehörde erklärt das Führen einer „Schwarzen Liste“ ehemaliger Kunden für rechtswidrig (siehe Jahresbericht 2018, Seite 131).

Im vorliegenden Fall beabsichtigte ein Ex-Kunde der Online-Bank N26 erneut ein Konto zu eröffnen. Die Bank lehnte dies ab, denn der Kunde stand auf einer „Schwarzen Liste“ für Personen, mit denen kein erneutes Vertragsverhältnis eingegangen werden sollte. Die Bank erklärte, die Daten aus Gründen der Geldwäsche aufzubewahren, räumte aber ein, dass sie mit Hilfe der Liste die Geldwäscheverdachtsfälle nicht von anderen Fällen unterscheiden könne. Nach Ansicht der Berliner Aufsichtsbehörde ist diese Speicherung unzulässig, da keine Rechtsgrundlage für die Aufbewahrung dieser Daten bestehe. Laut Behörde dürften nur Betroffene aufgenommen werden, die tatsächlich unter Geldwäscheverdacht stehen oder bei denen andere triftige Gründe vorliegen. Das Unternehmen soll bereits Widerspruch gegen den Bußgeldbescheid eingelegt haben, will sich mit Verweis auf das laufende Verfahren aber nicht weiter äußern.

Fazit der Datenschutzkanzlei:

Das Führen Schwarzer Listen (Blacklist) ist in vielen Branchen üblich und insbesondere in der Direktwerbung allgemein anerkannt. Es zeigt sich aber, dass diese Listen datenschutzrechtlich insbesondere dann problematisch sind, wenn der Zweck der Liste nicht erfüllt werden kann. In diesem Fall kann die Speicherung nicht auf eine Interessenabwägung im Sinne der DSGVO gestützt werden. Unternehmen sollten daher zunächst prüfen, ob entsprechende Listen intern geführt werden. Jede Liste sollte dann daraufhin untersucht werden, ob der verfolgte Zweck tatsächlich erreicht wird. Falls nicht, sollte die Liste gelöscht werden.

11.06.2019 // Polen

220.000 Euro Bußgeld wegen fehlender Informationen gegen Adresshändler

Die polnische Aufsichtsbehörde UODO verhängt wegen fehlender Benachrichtigung von Betroffenen ein Bußgeld in Höhe von ca. 220.000 Euro gegen einen Adresshändler.

In dem Fall ging es um ein Tochterunternehmen der weltweit agierenden Bisnode AB, die zu kommerziellen Zwecken eine Datenbank mit personenbezogenen Daten von Unternehmern aus öffentlich zugänglichen Quellen führt. Bisnode erfüllte seine Informationspflichten aus Art. 14 DSGVO dabei nur gegenüber Personen, von denen eine E-Mail-Adresse vorlag, was in der Gesamtschau nur einen Bruchteil der Betroffenen darstellte (ca. 90.000 Personen). Das Unternehmen erachtete die Erfüllung der Informationspflichten gegenüber den übrigen ca. 6 Mio. Betroffenen per Briefpost oder Telefon als unverhältnismäßig und berief sich auf die gesetzliche Ausnahme des Art. 14 Abs. 5 DSGVO. Alternativ wurden entsprechende Informationen auf der Website zugänglich gemacht. Die polnische Aufsichtsbehörde ließ dies nicht genügen und verhängte das durchaus ambitionierte Bußgeld. Dabei berücksichtigte die Behörde wohl auch die fehlende Kooperationsbereitschaft von Bisnode.

Fazit der Datenschutzkanzlei:

Die Benachrichtigung von Betroffenen ist seit Geltung der DSGVO teilweise sehr komplex geworden. Strenggenommen müssen alle Personen informiert werden, deren Informationen in Datenbanken gespeichert werden. Gesetzliche Ausnahmen wie in Art. 14 Abs. 5 DSGVO (u.a. „unverhältnismäßiger Aufwand“) werden allgemein sehr restriktiv ausgelegt (siehe auch WP260rev.01 der Artikel 29 Datenschutzgruppe, ab Seite 28). In jedem Fall sollte die fehlende Information an die Betroffenen nachvollziehbar dokumentiert werden, um mögliche Maßnahmen von Behörden entgegentreten zu können. Zudem hilft es sicherlich weiter mit einer Aufsichtsbehörde in einen konstruktiven Dialog zu treten.

11.06.2019 // Frankreich

400.000 Euro Bußgeld wegen Verletzung der Datensicherheit

Die französische Aufsichtsbehörde CNIL verhängte ein Bußgeld von 400.000 Euro aufgrund fehlender Maßnahmen zur Datensicherheit und unzulässiger Speicherung von Mieterdaten.

Das französische Unternehmen SERGIC ist in der Immobilienbranche tätig und ermöglicht Mietinteressenten, die für die Wohnungssuche relevanten Unterlagen auf deren Website hochzuladen und dort zu verwalten. Hierbei handelte es sich um Dokumente mit teilweise besonders schützenswerten personenbezogenen Daten, wie beispielsweise Kopien von Personalausweisen und Steuerbescheiden, Angaben zur Krankenversicherung sowie Bankdaten. Es stellte sich heraus, dass durch einfache Änderung der URL ein Zugriff auf die Dokumente anderer Nutzer möglich war, da kein Verfahren zur Authentifizierung etabliert wurde. Die Behörde stufte die fehlenden Sicherheitsfeatures als Verstoß gegen Art. 32 DSGVO ein. Zusätzlich stellte die Aufsichtsbehörde fest, dass die Daten auch weit nach Erfüllung des Zwecks in der gleichen Datenbank aufbewahrt wurden und sah darin einen Verstoß gegen den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO gegeben. Grund für die Höhe des Bußgelds war außerdem die mangelnde Sorgfalt des Unternehmens bei der Behebung der Schwachstellen vor allem unter Beachtung des hohen Schutzbedürfnisses der Daten.

Fazit der Datenschutzkanzlei:

Die Themen Datensicherheit und insbesondere Zugriffsrechte müssen Unternehmen im Griff haben. Schwachstellen werden weder von Aufsichtsbehörden noch den Betroffenen akzeptiert und finden unter dem Begriff „Datenpanne“ gerne auch den Weg in die überregionale Presse. Im Gegensatz zur alten Rechtslage, haben Behörden bei Verstößen gegen Art. 32 DSGVO nunmehr auch direkte Sanktionsmöglichkeiten, die sie mit Bußgeldern durchsetzen können (vgl. Art. 83 Abs. 4 lit. a DSGVO).