Bußgeld-Radar

Entscheidungen von Behörden und Gerichten.

„Mit dem Bußgeld-Radar bieten wir Ihnen eine fortlaufende Übersicht zu aktuellen Entwicklungen im Datenschutzrecht. Der Fokus liegt hierbei auf Entscheidungen der Aufsichtsbehörden und Gerichte in Europa, die wir für Sie zusammenfassen und inhaltlich einordnen. Die Übersicht wird von mir laufend aktualisiert.“

Julia Kaiser

Senior Datenschutz Consultant

12.05.2020

Schweden: Bußgeld in Höhe von 11.000 € wegen unzulässiger Veröffentlichung von Gesundheitsdaten

 

Die schwedische Aufsichtsbehörde verhängte ein Bußgeld in Höhe von umgerechnet 11.000 € gegen den Gesundheitsausschuss der Region Örebro wegen unzulässiger Veröffentlichung von besonders sensiblen Gesundheitsdaten eines Patienten einer forensisch psychiatrischen Klinik.

Die Untersuchung der Aufsichtsbehörde wurde aufgrund einer Beschwerde eingeleitet. Die Behörde stellte fest, dass sensible persönliche Informationen eines Patienten einer forensisch psychatrischen Klinik auf der Website des Gesundheitsausschusses veröffentlicht und für alle frei zugänglich gemacht wurden. Für eine Veröffentlichung sei nach Aussage der Behörde weder ein legitimer Zweck noch eine Rechtsgrundlage ersichtlich gewesen. Die Verletzung zeige, dass keine ausreichenden organisatorischen Maßnahmen in Form von schriftlichen Arbeitsanweisungen ergriffen worden seien, um die Gesundheitsdaten vor einer versehentlichen Veröffentlichung zu bewahren. Die Behörde fordert den Gesundheitsausschuss auf, schriftliche Verfahrensanweisungen für die Veröffentlichung von Inhalten auf der Website zu implementieren und quittiert dieses Versehen mit einem Bußgeld von umgerechnet 11.000 €.

Das veröffentlichte Dokument mit den unrechtmäßig veröffentlichten Daten wurde bereits von der Website entfernt.

 

Fazit der Datenschutzkanzlei

Bei der Verarbeitung von Gesundheitsdaten ist höchste Vorsicht geboten! Bereits die Verletzung des Schutzes von besonders sensiblen Daten einer einzigen betroffenen Person kann neben einem Bußgeld zu einem enormen Reputationsschaden führen. Sensibilisieren und schulen Sie Ihre Beschäftigten daher regelmäßig und beugen Sie mit schriftlichen Arbeitsanweisungen einem Organisationsverschulden vor.

 

05.05.2020

Rumänien: Bußgeld in Höhe von 5.000 € wegen Übermittlung von Ausweiskopien via WhatsApp über privates Smartphone

 

Die rumänische Aufsichtsbehörde verhängte ein Bußgeld in Höhe von umgerechnet 5.000 € aufgrund unzureichender Maßnahmen zur Sicherstellung eines angemessenen Schutzniveaus bei der Verarbeitung personenbezogener Daten.

Die Untersuchung wurde nach Eingang einer Beschwerde eingeleitet. Die Behörde stellte fest, dass Ausweiskopien von minderjährigen Kunden und deren gesetzlichen Vertretern von einem Mitarbeiter der Banca Comercială Română S.A. über sein privates Smartphone via WhatsApp versendet wurden.

Nach Ansicht der nationalen Aufsichtsbehörde habe die Banca Comercială Română S.A. keine angemessenen technischen und organisatorischen Maßnahmen getroffen, um ein dem Verarbeitungsrisiko angemessenes Sicherheitsniveau zu gewährleisten. Weiterhin habe die Bank keine Maßnahmen ergriffen, um sicherzustellen, dass eine natürliche Person, die unter ihrer Aufsicht handelt und Zugang zu personenbezogenen Daten hat, diese nur auf ihre Weisung hin verarbeitet.

Die Aufsichtsbehörde erachtete dies als einen Verstoß gegen die Bestimmungen zur Sicherheit der Verarbeitung gem. Art. 32 Abs. 4 DSGVO in Verbindung mit Art. 32 Abs. 1 und Abs. 2 DSGVO.

 

Fazit der Datenschutzkanzlei

Dieses Bußgeld zeigt, wie wichtig organisatorische Maßnahmen in Form von Verhaltensrichtlinien oder Verpflichtungen für Beschäftigten sind. DasVergehen eines einzigen Mitarbeiters kann bereits ein erhebliches Bußgeld für das verantwortliche Unternehmen bedeuten, wenn keine entsprechenden Maßnahmen getroffen wurden.

 

30.04.2020

Niederlande: Bußgeld in Höhe von 725.000 € wegen unzulässiger Verarbeitung von Fingerabdrücken in einem Zeiterfassungssystem

 

Die niederländische Aufsichtsbehörde Autoriteit Persoonsgegevens verhängte ein beachtliches Bußgeld in Höhe von 725.000 € gegen ein unbekanntes Unternehmen wegen unzulässiger Verarbeitung von Fingerabdrücken und der damit einhergehenden Verletzung des Art. 9 Abs. 1 DSGVO.

Das beschuldigte Unternehmen betreibt seit Januar 2017 mehrere Fingerabdruckterminals als Teil einer Zeiterfassungssystems. Die Fingerabdrücke wurden dabei nicht nur im Zeiterfassungssystem selbst, sondern auch auf einem anderen Dateisystem gespeichert. Von der Zeiterfassung waren zum Zeitpunkt der Untersuchung der Behörde 337 Beschäftigte betroffen.

Bei Fingerabdrücken handelt es sich um biometrische Daten, die als besondere Kategorie personenbezogener Daten einen erhöhten Schutzbedarf aufweisen. Eine wirksame Einwilligung zur Nutzung dieser besonders sensiblen Daten konnte das Unternehmen nach Einschätzung der Behörde nicht nachweisen. Auch der Ausnahmetatbestand des niederländischen Datenschutzgesetzes, wonach biometrische Daten für Authentifizierungs- und Sicherheitszwecke verarbeitet werden dürfen, scheitere an der Erforderlichkeit sowie der Verhältnismäßigkeit.

Die Behörde begründet die beachtliche Summe des Bußgeldes damit, dass eine Verletzung des Schutzes dieser Daten zu irreparablen Schäden für die Betroffenen führen könne.

Das Unternehmen erhob Einspruch gegen die Entscheidung der Behörde.

 

Fazit der Datenschutzkanzlei

Die Verarbeitung von sensiblen personenbezogenen Daten darf nur unter strengen Voraussetzungen erfolgen. Dabei muss zuvor sorgfältig geprüft werden, ob eine Zweckerfüllung auch ohne die Verarbeitung solcher Daten erreicht werden kann.

 

12.03.2020

Niederlande: Aufsichtsbehörde verhängt Bußgeld von 525.000 Euro wegen unerlaubten Adressdaten-Verkauf

 

Die niederländische Aufsichtsbehörde Autoriteit Persoonsgegevens (AP) verhängte ein Bußgeld in Höhe von 525.000 Euro gegen den Tennisverband KNLTB wegen unzulässigen Verkaufs von Adressdaten seiner Mitglieder/innen.

Im Jahr 2018 verkaufte der Verband personenbezogene Daten wie Name, Geschlecht, Geburtstag, E-Mail-Adresse, Telefonnummer und Adresse seiner Mitglieder an zwei seiner Sponsoren. Ein Sponsor erhielt Daten von 50.000 Mitgliedern, der andere Sponsor von mehr als 300.000 Mitgliedern. Die Sponsoren wandten sich daraufhin per Post oder Telefon an einen Teil der Mitglieder des Tennisverbands, um für tennisbezogene und andere Angebote zu werben.

Der Tennisverband erachtete den Verkauf der personenbezogenen Daten von ihrem berechtigten Interesse gedeckt und beabsichtigte damit einen Mehrwert für seine Mitglieder zu schaffen. Weiterhin sollten die erzielten Einnahmen die Einbußen durch die sinkende Mitgliederzahl ausgleichen. Die niederländische Aufsichtsbehörde folgte diesen Gründen nicht und erachtet die Weitergabe der Daten ohne Einwilligung für unzulässig. Die Höhe des Bußgeldes begründet die Aufsichtsbehörde in der Schwere des Vergehens. Zudem habe sich der Verband im Voraus zu wenig über die Zulässigkeit informiert.

Die Entscheidung ist nicht rechtskräftig. Der Tennisverband KNLTB hat bereits Einspruch erhoben.

 

Fazit der Datenschutzkanzlei

Dieses Bußgeld zeigt, dass der Handel mit Daten auch gleichzeitig ein Spiel mit dem Feuer ist. Prüfen Sie daher bei geplantem Vorgehen dieser Art immer welche Voraussetzungen für die Zulässigkeit erfüllt sein müssen.

 

09.12.2019

Deutschland: Bußgeld in Höhe von knapp 10.000.000 € gegen die 1&1 Telecom GmbH

 

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) verhängte ein Bußgeld von 9.550.000 € gegen den Telekommunikationsdienstleister 1&1 Telecom GmbH. Es handelt sich somit um das zweite Millionen-Bußgeld in Deutschland seit Geltung der DSGVO.

Nach Einschätzung des BfDI hatte das Unternehmen keine hinreichenden technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Kundendaten ergriffen. Bei der telefonischen Kundenbetreuung des Unternehmens sei die Angabe des Namens und des Geburtsdatums ausreichend gewesen, um weitere personenbezogene Kundendaten in Erfahrung zu bringen. In diesem denkbar simplen Authentifizierungsverfahren sah der Bundesbeauftragte einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet sei, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen und eine Kenntnisnahme der Daten durch unbefugte Dritte zu verhindern.

Die 1&1 Telecom GmbH zeigte sich einsichtig und kooperativ. Durch die Abfrage weiterer Angaben wurde der Authentifizierungsprozess zunächst rasch gestärkt. Außerdem arbeitet das Unternehmen in Absprache mit dem BfDI derzeit an einem neuen technischen und datenschutzrechtlich deutlich verbesserten Verfahren.

Doch weder das schnelle Tätigwerden noch die Kooperationsbereitschaft auf Seiten des Unternehmens konnten ein Bußgeld verhindern. Grund dafür sei, dass der Verstoß ein Risiko für den gesamten Kundenbestand darstellte. Zumindest aber blieb der Bundesbeauftragte bei der Bemessung der Höhe des Bußgelds im unteren Bereich des möglichen Bußgeldrahmens.

Ein weiteres Bußgeld in Höhe von 10.000 € wurde gegen den Telekommunikationsanbieter Rapidata GmbH verhängt, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen sei.

 

Fazit der Datenschutzkanzlei

So langsam werden auch die deutschen Behörden aktiv. Achten Sie bei der Gestaltung von Authentifizierungsverfahren auf eine geeignete Abfrage von Daten – frei nach dem Motto: So viel wie nötig, so wenig wie möglich!

 

 

05.11.2019

Berliner Aufsichtsbehörde verhängt Bußgeld von 14,5 Millionen Euro gegen die Immobiliengesellschaft Deutsche Wohnen SE

 

Am 30.Oktober 2019 erließ die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein Rekordbußgeld in Deutschland von 14, 5 Millionen Euro wegen unrechtmäßiger Datenspeicherung.

Bei einer Vor-Ort-Prüfung der Behörde im Juni 2017 stellte die Behörde fest, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, welches keine Möglichkeit vorsah, nicht mehr erforderliche Daten nach Zweckerfüllung und Ablauf der Aufbewahrungspflichten zu löschen. Somit konnte eine unzulässige Speicherung personenbezogener Daten von Mieterinnen und Mietern, wie beispielsweise Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge festgestellt werden. Bei einer erneuten Prüfung im März 2019 konnte das Unternehmen, trotz ausgesprochener Empfehlung der Aufsichtsbehörde, weder eine Bereinigung des Datenbestands noch rechtliche Gründe für die fortlaufende Speicherung vorweisen. Die Aufsichtsbehörde erachtete die getroffenen Maßnahmen als nicht ausreichend, um einen rechtmäßigen Zustand herzustellen und sah darin einen Verstoß gegen Art. 25 Abs. 1 DSGVO sowie Art. 5 DSGVO für den Zeitraum zwischen Mai 2018 und März 2019.

Die Aufsichtsbehörde begründet das beachtliche Bußgeld damit, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt habe und die betroffenen Daten dadurch über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden.

Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 – 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen.

Die Bußgeldentscheidung ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE kündigte bereits an gegen den Bußgeldbescheid vorzugehen.

 

Fazit der Datenschutzkanzlei

Datenfriedhöfe rächen sich! Um eine Löschung personenbezogener Daten nach Zweckerfüllung und Ablauf der gesetzlichen Aufbewahrungspflichten sicherstellen zu können, muss ein strukturiertes und dokumentiertes Löschkonzept implementiert und gelebt werden. Machen Sie sich frei von verstaubten Akten!

 

 

04.11.2019

Österreich: Verwaltungsstrafe von 18 Millionen gegen die Österreichische Post AG (ÖPAG)

 

Die Österreichische Aufsichtsbehörde für den Datenschutz verhängt eine Verwaltungsstrafe von 18 Millionen gegen die Österreichische Post AG (ÖPAG) aufgrund der Sammlung und Vermarktung von individuellen Datenprofilen.

Von insgesamt 2,2 Millionen Menschen speicherte die Post neben Namen, Alter, Geschlecht, Familiensituation sowie Adresse ihrer Kunden außerdem Daten über die politische Parteiaffinität und legte entsprechende Kategorien an. Diese Daten verkaufte die Post unter anderem an Parteien, um zielgerichtete Wahlwerbung verschicken zu können. Die Post berief sich darauf, dass es sich ähnlich wie bei Hochrechnungen nach Wahlen, lediglich um eine Ableitung aus anderen Informationen handle und somit keine personenbezogenen Daten verarbeitet werden. Die österreichische Aufsichtsbehörde kam nach einer mündlichen Anhörung zu einem anderen Ergebnis und sieht in der Verarbeitung der Daten zur politischen Neigung einen Verstoß gegen die DSGVO.

Neben der Parteiaffinität hat die Datenschutzbehörde weitere Rechtsverletzungen festgestellt. Dabei geht es um weiterverarbeitete Daten zur Frequenz von Paketlieferungen und Angaben über die Umzugshäufigkeit von Personen, die für Direktmarketing genutzt wurden. Auch diese Praktiken seien nicht durch die DSGVO gedeckt.

Die Post sieht ihr Kerngeschäft der Direktwerbung gefährdet und will sich daher an das Bundesverwaltungsgericht wenden. Die Entscheidung der Datenschutzbehörde ist damit noch nicht rechtskräftig.

 

Fazit der Datenschutzkanzlei

Es ist grundsätzlich erlaubt, Postadressen zum Zweck des Direktmarketings auch ohne ausdrückliche Einwilligung der Betroffenen zu verwenden. Dies lässt sich mittelbar bereits aus Art. 21 Abs. 2 DSGVO (Recht auf Widerspruch ableiten) und ist weiterhin gängige Praxis im Adresshandel. Die Österreichische Aufsicht sieht jedoch eine Grenze darin, dass darüber hinausgehende Profile insbesondere zur politischen Neigung erstellt und kommerziell genutzt werden. Diese Auffassung ist durchaus nachvollziehbar und dürfte auch von deutschen Aufsichtsbehörden mitgetragen werden.

 

 

21.10.2019

Rumänien: Bußgeld von insgesamt 170.000 € wegen Nutzung von WhatsApp durch Bank

 

Die rumänische Aufsichtsbehörde verhängte ein Bußgeld ein Bußgeld von 170.000 € gegen die Raiffeisen Bank S.A. (150.000 €) und die Vreau Credit S.R.L. (20.000 €) aufgrund mehrerer Verstöße gegen die DSGVO.
Die Aufsichtsbehörde ahndete in diesem Fall insbesondere den unzulässigen Datenaustausch der beiden Unternehmen über WhatsApp und bemängelte bei der Raiffeisen Bank S.A., dass keine geeigneten Maßnahmen ergriffen wurden, die sicherstellten, dass unterstellte natürliche Personen, die Zugang zu personenbezogene Daten haben, diese nur streng weisungsgebunden verarbeiteten.

Außerdem hatte die Raiffeisen Bank S.A. keine angemessenen technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus ergriffen und die mit der Verarbeitung verbundenen Risiken nicht bewertet.
Die Untersuchungsmaßnahmen der Behörde wurden eingeleitet, nachdem die Raiffeisen Bank S.A. eine Verletzung der Sicherheit personenbezogener Daten meldete.

 

Fazit der Datenschutzkanzlei

Neben der unzulässigen Datenübermittlung via WhatsApp führte bei diesem Sachverhalt insbesondere die fehlende Verpflichtung der Mitarbeiter auf die Vertraulichkeit zur Einhaltung des Art. 32 Abs. 4 DSGVO zu diesem beachtlichen Bußgeld. Denken Sie daran, alle Personen, die Zugang zu Ihren personenbezogenen Daten haben, auf die Vertraulichkeit der Daten zu verpflichten.

 

 

17.10.2019

LAG Rostock: Arbeitnehmer hat Schadensersatzanspruch bei unerlaubter Videoüberwachung

 

Ein Arbeitnehmer hat einen Schadensersatzanspruch in Höhe von 2.000 € bei unerlaubter Videoüberwachung durch den Arbeitgeber. Das entschied das LAG Rostock.

Im vorliegenden Fall hatte der Pächter einer Tankstelle mehrere Kameras, sowohl im öffentlich zugänglichen Bereich als auch in Flur- und Lagerräumen installiert. Das LAG Rostock sah darin eine empfindliche Verletzung des Persönlichkeitsrechts des Beschäftigten der Tankstelle, da dieser weder eine wirksame Einwilligung abgegeben hatte, noch gäbe es in Bezug auf die Überwachungsanlagen in Flur- und Lagerräumen Anhaltspunkte, die eine Überwachung unter Berücksichtigung der Schutzinteressen der Beschäftigten erforderlich machten. Zusätzlich sei das Persönlichkeitsrecht des Beschäftigten durch die Überwachungskameras in den öffentlich zugänglichen Verkaufsräumen verletzt worden, da einige Kameras verdeckt an der Decke über dem Kassenbereich angebracht waren, sodass sie in erster Linie eine Überwachung der Beschäftigten herbeiführten. Für den Einsatz dieser Deckenkameras gäbe es keinen rechtfertigenden Grund, da die übrigen erkennbaren Kameras in den Geschäftsräumen bereits das Sicherheitsbedürfnis ausreichend befriedigten.

Da der vorliegende Rechtsstreit auf Konflikte im Jahr 2017 zurückgeht, beruht dieses Urteil auf dem Bundesdatenschutzgesetz in der alten Fassung. Die Einschätzungen und Argumente des Gerichts lassen sich jedoch auf die neue Rechtslage übertragen.

 

Fazit der Datenschutzkanzlei

Wer als Arbeitsgeber eine Videoüberwachung in seinen Räumlichkeiten installiert, muss zuvor die datenschutzrechtliche Zulässigkeit prüfen. Dabei lässt sich gerade nicht jede Überwachung auf ein Sicherheitsinteresse oder die Wahrung des Hausrechts stützen.

 

 

20.09.2019

195.407 € Bußgeld gegen die Delivery Hero Germany GmbH

 

Der Berliner Datenschutzbeauftragte hat ein Bußgeld von insgesamt 195.407 € gegen den Lieferdienst Delivery Hero Germany GmbH aufgrund einer Vielzahl datenschutzrechtlicher Einzelverstöße verhängt. Die Behörde ahndet damit vor allem die Missachtung von Betroffenenrechte wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Ausgangspunkt des Verfahrens gegen Delivery Hero waren Beschwerden von Kundinnen und Kunden. Acht ehemalige Kunden des Lieferdienstes beschwerten sich über unerwünschte Werbe-E-Mails. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war. Des Weiteren hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform aktiv waren.

Zum 1. April 2019 wurden die Delivery Hero-Marken Lieferheld, Pizza.de und foodora vom niederländischen Konzern Takeway.com übernommen. Dabei wurden die dem Verfahren zugrundeliegenden Verstöße allesamt vor dieser Übernahme begangen. Der neue Eigner hat die Bußgeldbescheide jedoch akzeptiert und keine Rechtsmittel eingelegt. Die Entscheidung der Behörde ist rechtkräftig.

 

Fazit der Datenschutzkanzlei

Mit diesem beachtlichen Bußgeld zieht die Berliner Aufsichtsbehörde nun mit anderen europäischen Kollegen gleich. Bisher hatten sich die deutschen Behörden im europäischen Vergleich eher zurückhaltend gezeigt. Doch die Schonfirst scheint vorbei zu sein.

Die Bußgelder zeigen, wie wichtig die Wahrung der Betroffenenrechte ist und dass die Erfüllung dieser Rechte nur mit entsprechenden technischen und organisatorischen Maßnahmen gewährleistet werden können. Definierte Prozesse mit klaren Zuständigkeiten zur Erfüllung der einzelnen Betroffenenrechte erleichtern die Einhaltung und sorgen dafür, dass die Betroffenenrechte ordentlich, fristgerecht und ressourcenschonend erfüllt werden können. Wer zur Gewährleistung der Betroffenenrechte bisher noch nichts unternommen hat, für den wird es nun höchste Zeit…

 

 

17.09.2019

Urteil des Bundesverwaltungsgerichts zu Facebook Fanpages

 

Das Bundesverwaltungsgericht hat im Rahmen eines Revisionsverfahrens entschieden, dass Datenschutzbehörden Maßnahmen auch gegen Betreiber von Facebook-Fanpages selbst (als Mitverantwortlichen) treffen können. Demnach kann eine Untersagungsverfügung auch gegen den Betreiber der Seite ausgesprochen werden, so wie es in dem vorliegenden Fall auch geschehen ist. Ein Vorgehen gegen Facebook müsse nach Ansicht des Gerichts nicht vorhergehen oder parallel stattfinden, weil dies wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen sei. Ob die Untersagung des Betriebs rechtmäßig war, urteilte das Gericht nicht. Es verwies die Klage an das Schleswig-Holsteinische Oberverwaltungsgericht zurück. Das Oberverwaltungsgericht muss sich nun mit dieser Frage auseinandersetzen.

 

Fazit der Datenschutzkanzlei

Sollte das Schleswig-Holsteinische Oberverwaltungsgericht zu dem Ergebnis kommen, dass der Betrieb von Facebook-Fanpages rechtswidrig ist, ist damit zu rechnen, dass entweder Facebook auf die Forderungen der Datenschutzbehörden eingehen wird oder es ist zu Untersagungen des Betriebs durch die Datenschutzbehörden kommt.
Da Maßnahmen auch gegen die Betreiber der Fanpages gerichtet werden können ist es wichtig, dass die erforderliche Datenschutzerklärung durch den Betreiber eingestellt wurde (eine Anleitung finden sie hier) und so das Risiko minimiert wird.

 

 

01.08.2019

Griechenland: 150.000 € Bußgeld gegen PwC BS

 

Die griechische Aufsichtsbehörde verhängte ein Bußgeld von 150. 000 € gegen PricewaterhouseCoopers Business Solutions SA („PwC BS“) wegen Auswahl und Anwendung ungeeigneter Rechtsgrundlagen und der damit einhergehenden Verletzung der Rechenschaftspflicht.

Im vorliegenden Fall wurde die griechische Aufsichtsbehörde aufgrund einer Beschwerde tätig, in welcher dem Unternehmen vorgeworfen wurde, es verpflichte seine Mitarbeiter in die Verarbeitung ihrer Daten einzuwilligen.
Die griechische Aufsichtsbehörde sah darin eine Verletzung gleich mehrerer Grundsätze der DSGVO:

Zum einen sei es ein Verstoß gegen den Grundsatz der Rechtmäßigkeit nach Art. 5 Abs. 1 lit. a) DSGVO, da PwC BS eine unangemessene Rechtsgrundlage verwende. Zum anderen werde gegenüber den Mitarbeitern der Eindruck erweckt, die Datenverarbeitung stütze sich auf die Rechtsgrundlage der Einwilligung wohingegen in Wirklichkeit jedoch eine andere Rechtsgrundlage vorliege, über die die Mitarbeiter nicht informiert werden. PwC BS verstoße somit gegen den Grundsatz der Verarbeitung nach Treu und Glauben sowie den Grundsatz der Transparenz. Des Weiteren sei PwC BS nicht in der Lage die Einhaltung der oben genannten Grundsätze nachzuweisen und komme somit seiner Rechenschaftspflicht nicht nach. Die Aufsichtsbehörde setzt PwC BS eine Frist von drei Monaten, um die Verarbeitung ihrer Mitarbeiterdaten in Einklang mit der DSGVO zu bringen.

 

Fazit der Datenschutzkanzlei

Dieses Bußgeld zeigt die zentrale Bedeutung der Grundsätze in Art. 5 DSGVO. Dabei dürfen personenbezogene Daten auch im Beschäftigtenkontext nur dann verarbeitet werden, wenn sie auf die richtige Rechtsgrundlage gestützt und die Informationspflichten ordnungsgemäß erfüllt werden. Die Aufsichtsbehörde betont außerdem, dass Unternehmen zur Erfüllung der Rechenschaftspflicht in der Lage sein müssen, die Einhaltung der Grundsätze nachzuwiesen. Aus Sicht der Datenschutzkanzlei fordert dies die Etablierung eines Datenschutz-Management-Systems.

 

 

25.07.2019

Verwaltungsgericht Mainz verhängt DSGVO-Zwangsgeld in Höhe von 5.000 €

 

Wegen fehlender Auskunft eines Unternehmens an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, verhängte dieser ein Zwangsgeld in Höhe von 5.000 €. Der Verantwortliche klagte dagegen. Das Verwaltungsgericht Mainz wies die Klage ab, da das Zwangsgeld zu Recht verhängt worden sei.

Im vorliegenden Fall ist der Verantwortliche Betreiber eines Bordells. Sowohl außerhalb des Gebäudes als auch im Innenraum und den Separees waren Videokameras angebracht, von deren Aufnahmen Kundinnen und Kunden sowie Mitarbeiterinnen und Mitarbeitern erfasst wurden. Der Landesbeauftrage für den Datenschutz und Informationsfreiheit Rheinland-Pfalz verlangte nach Art. 58 Abs. 1 lit. a DSGVO Auskunft vom Kläger über die näheren Umstände der Videoüberwachung in Form eines Fragebogens. Als auch nach mehrmaliger Aufforderung keine vollständige Auskunft einging, erließ die Aufsichtsbehörde ein Zwangsgeld von 5.000 €. Der Verantwortliche reichte Klage ein, welche das VG Mainz jedoch abwies.

Das Gericht stellt in seinem Urteil klar, dass die Aufsichtsbehörde mit Art. 58 DSGVO über weitreichende Untersuchungsbefugnisse verfüge, die es ihr gestatten, sämtliche Informationen einzuholen, die für die Erfüllung ihrer Aufgaben nach Art. 57 DSGVO erforderlich seien. Der Aufsichtsbehörde steht gemäß Art. 58 Abs. 1 lit. a DSGVO insbesondere ein Auskunftsanspruch zu, dem der Verantwortliche grundsätzlich nachkommen muss. Weder Form und Inhalt des Fragebogens noch die Höhe des Zwangsgelds wurden vom Gericht beanstandet.

 

Fazit der Datenschutzkanzlei

Diesmal kurz und knapp: Fehlende Kooperationsbereitschaft mit der Aufsichtsbehörde rächt sich!

 

 

17.07.2019

460.000 € Bußgeld gegen niederländisches Krankenhaus

 

Die niederländische Aufsichtsbehörde (AP) hat ein Bußgeld von 460.000 € gegen ein Krankenhaus wegen unzureichender Sicherheitsmaßnahmen verhängt. Dies ist das Ergebnis einer Untersuchung der Aufsichtsbehörde, bei der sich herausstellte, dass Dutzende von Mitarbeitern des Krankenhauses Einsicht in die Patientenakten nehmen konnten, ohne dass dies notwendig war. Die Aufsichtsbehörde drohte außerdem weitere Bußgelder an, wenn die Sicherheitsmaßnahmen, die künftig unbefugte Zugriffe von Mitarbeitern auf Patientenakten verhindern, nicht implementiert werden. Dafür setzte die Behörde eine Frist bis zum Oktober dieses Jahrs. Der Vorsitzende der AP begründete das Bußgeld damit, dass die Beziehung zwischen einem Gesundheitsdienstleister und einem Patienten absolut vertraulich zu sein habe. Dies gelte auch innerhalb der Mauern eines Krankenhauses. Ein Krankenhaus müsse alle notwendigen technischen und organisatorischen Maßnahmen ergreifen, um die Sicherheit der Patientendaten zu gewährleisten. Dies könne beispielsweise mit einer Zwei-Faktor-Authentifizierung erreicht werden. Die Zugriffsrechte müssten außerdem regelmäßig kontrolliert werden. Das Krankenhaus kündigte an, entsprechende Maßnahmen zu ergreifen.

 

Fazit der Datenschutzkanzlei

Dieses Bußgeld signalisiert wie wichtig Berechtigungskonzepte und streng geregelte Zugriffsrechte sind. Dabei spielt das sogenannte „Need-to-know-Prinzip“ eine wichtige Rolle. Vor allem im Gesundheitswesen ist es unerlässlich den Grundsatz der Vertraulichkeit der Daten nach Art. 5 Abs. 1 lit. f DSGVO auch innerhalb der Organisation zu wahren. Die hierfür notwendigen technischen und organisatorischen Maßnahmen sind zwingend zu implementieren, auch wenn dies unter Umständen mit einer kostspieligen Veränderung der internen Systeme und Arbeitsabläufe verbunden ist.

 

 

08.07.2019

183,39 Mio. £ Bußgeld gegen British Airways

 

Die britische Aufsichtsbehörde ICO plant die Verhängung eines Bußgelds von 183,39 Mio. £ gegen British Airways. Das Bußgeld soll aufgrund unzureichender Sicherheitsmaßnahmen der Website begründet werden.

Dabei ging es um einen Cyber-Vorfall, welcher der britischen Aufsichtsbehörde im September 2018 gemeldet wurde. Vermutlich bereits seit Juni 2018 wurden die Nutzer der Website von British Airways über eine betrügerische Seite umgeleitet, sodass sich auf diese Weise unberechtigte Dritte Zugang zu personenbezogenen Daten von mehr als 500 000 Kunden verschaffen konnten. Zurückzuführen sei dieser Vorfall auf unzureichende Sicherheitsmaßnahmen, wodurch eine Vielzahl von Informationen einschließlich Login, Zahlungsdaten, Reisebuchungsdaten sowie Name und Adressen gefährdet wurden. British Airways konnte keinen angemessenen Schutz der Nutzerdaten gewährleisten und verstieß gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f) DSGVO. Laut Statement der Behörde zeigte sich British Airways kooperativ und verbesserte seine Sicherheitsvorkehrungen nach Bekanntwerden des Vorfalls. Dennoch sei die Datenpanne mit einem Bußgeld zu ahnden.

 

Fazit der Datenschutzkanzlei

Website-Betreiber sind dafür verantwortlich, dass ihre Nutzerdaten in einer Weise verarbeitet werden, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet werden kann. Die umfasst insbesondere den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung aber auch den unberechtigten Zugriff Dritter. Auf die Erfüllung dieses Grundsatzes in Art. 5 Abs. 1 lit. f) legen die Aufsichtsbehörden viel wert und können bei Verstößen den vollen Bußgeldrahmen der DSGVO ausschöpfen. Prüfen Sie also Ihre technischen und organisatorischen Maßnahmen regelmäßig auf deren Funktionalität und informieren Sie sich über aktuelle Sicherheitslücken Ihrer Website-Software, sodass die erforderlichen Updates rechtzeitig eingespielt werden können.

 

 

24.06.2019

250.000 Euro Bußgeld gegen spanische Fußballliga

 

Die spanische Aufsichtsbehörde AEPD verhängt ein Bußgeld von 250.000 Euro aufgrund eines Verstoßes gegen den Transparenzgrundsatz der DSGVO. Eine unsichtbare Funktion der App der spanischen Fußballliga „La Liga“ erhob Aufnahmen des Mikrofons sowie Standortdaten des Nutzers, um unlizenzierte öffentliche Übertragungen der Spiele aufzudecken. Zu den Spielzeiten nahm die App die Umgebungsgeräusche auf und kombinierte diese mit den Standortdaten. Das Bußgeld verhängte die spanische Aufsichtsbehörde auf Grund zweier Vergehen: Zum einen verstoße La Liga gegen das Transparenzgebot, da den Nutzern die Einzelheiten der Nutzung des Mikrofons und der Standortdaten nicht ausreichend erläutert werde. Zum anderen läge ein Verstoß gegen Art. 7 Abs. 3 DSGVO vor, nach welchem der Nutzer die Möglichkeit hat, die Einwilligung jederzeit zu widerrufen. La Liga will gegen die Entscheidung der Behörde Berufung einlegen und führt an, dass mithilfe der eingesetzten Technologie lediglich ein Tonabdruck erzeugt und in einen Code umgewandelt werde. Ein Rückschluss auf die Stimme des Nutzers könne dabei nicht erzeugt werden. Nur 0,75 % der erfassten Daten würden benötigt, um eine Übertragung im Umfeld festzustellen. Dennoch kündigte La Liga an, die umstrittene Funktion der App zu entfernen.

 

Fazit der Datenschutzkanzlei

Auch eine umfassende Datenverarbeitung von Informationen zu Standorten und Umgehungsgeräuschen ist grundsätzlich mit Einwilligung der Nutzer zulässig. Allerdings muss der Nutzer ausdrücklich und transparent über diesen Vorgang aufgeklärt werden, was insbesondere der Grundsatz der Transparenz gemäß Art. 5 Abs. 1 lit. a DSGVO vorschreibt. Auf die Erfüllung dieser Pflicht legen die Aufsichtsbehörden viel wert. Sollten Sie Ihre Datenverarbeitung auf eine Einwilligung stützen, sind die Nutzer umfassend über die Verwendung der Daten aufzuklären. Zudem ist erforderlich, dass Nutzern ein Widerruf dieser Einwilligung gemäß Art. 7 Abs. 3 DSGVO ermöglicht wird.

 

 

11.06.2019

50.000 Euro Bußgeld wegen “Schwarzer Liste” bei N26

 

Die Berliner Aufsichtsbehörde erklärt das Führen einer „Schwarzen Liste“ ehemaliger Kunden für rechtswidrig (siehe Jahresbericht 2018, Seite 131).

Im vorliegenden Fall beabsichtigte ein Ex-Kunde der Online-Bank N26 erneut ein Konto zu eröffnen. Die Bank lehnte dies ab, denn der Kunde stand auf einer „Schwarzen Liste“ für Personen, mit denen kein erneutes Vertragsverhältnis eingegangen werden sollte. Die Bank erklärte, die Daten aus Gründen der Geldwäsche aufzubewahren, räumte aber ein, dass sie mit Hilfe der Liste die Geldwäscheverdachtsfälle nicht von anderen Fällen unterscheiden könne. Nach Ansicht der Berliner Aufsichtsbehörde ist diese Speicherung unzulässig, da keine Rechtsgrundlage für die Aufbewahrung dieser Daten bestehe. Laut Behörde dürften nur Betroffene aufgenommen werden, die tatsächlich unter Geldwäscheverdacht stehen oder bei denen andere triftige Gründe vorliegen. Das Unternehmen soll bereits Widerspruch gegen den Bußgeldbescheid eingelegt haben, will sich mit Verweis auf das laufende Verfahren aber nicht weiter äußern.

 

Fazit der Datenschutzkanzlei:

Das Führen Schwarzer Listen (Blacklist) ist in vielen Branchen üblich und insbesondere in der Direktwerbung allgemein anerkannt. Es zeigt sich aber, dass diese Listen datenschutzrechtlich insbesondere dann problematisch sind, wenn der Zweck der Liste nicht erfüllt werden kann. In diesem Fall kann die Speicherung nicht auf eine Interessenabwägung im Sinne der DSGVO gestützt werden. Unternehmen sollten daher zunächst prüfen, ob entsprechende Listen intern geführt werden. Jede Liste sollte dann daraufhin untersucht werden, ob der verfolgte Zweck tatsächlich erreicht wird. Falls nicht, sollte die Liste gelöscht werden.

 

 

11.06.2019

220.000 Euro Bußgeld wegen fehlender Informationen gegen Adresshändler

 

Die polnische Aufsichtsbehörde UODO verhängt wegen fehlender Benachrichtigung von Betroffenen ein Bußgeld in Höhe von ca. 220.000 Euro gegen einen Adresshändler.

In dem Fall ging es um ein Tochterunternehmen der weltweit agierenden Bisnode AB, die zu kommerziellen Zwecken eine Datenbank mit personenbezogenen Daten von Unternehmern aus öffentlich zugänglichen Quellen führt. Bisnode erfüllte seine Informationspflichten aus Art. 14 DSGVO dabei nur gegenüber Personen, von denen eine E-Mail-Adresse vorlag, was in der Gesamtschau nur einen Bruchteil der Betroffenen darstellte (ca. 90.000 Personen). Das Unternehmen erachtete die Erfüllung der Informationspflichten gegenüber den übrigen ca. 6 Mio. Betroffenen per Briefpost oder Telefon als unverhältnismäßig und berief sich auf die gesetzliche Ausnahme des Art. 14 Abs. 5 DSGVO. Alternativ wurden entsprechende Informationen auf der Website zugänglich gemacht. Die polnische Aufsichtsbehörde ließ dies nicht genügen und verhängte das durchaus ambitionierte Bußgeld. Dabei berücksichtigte die Behörde wohl auch die fehlende Kooperationsbereitschaft von Bisnode.

 

Fazit der Datenschutzkanzlei:

Die Benachrichtigung von Betroffenen ist seit Geltung der DSGVO teilweise sehr komplex geworden. Strenggenommen müssen alle Personen informiert werden, deren Informationen in Datenbanken gespeichert werden. Gesetzliche Ausnahmen wie in Art. 14 Abs. 5 DSGVO (u.a. „unverhältnismäßiger Aufwand“) werden allgemein sehr restriktiv ausgelegt (siehe auch WP260rev.01 der Artikel 29 Datenschutzgruppe, ab Seite 28). In jedem Fall sollte die fehlende Information an die Betroffenen nachvollziehbar dokumentiert werden, um mögliche Maßnahmen von Behörden entgegentreten zu können. Zudem hilft es sicherlich weiter mit einer Aufsichtsbehörde in einen konstruktiven Dialog zu treten.

 

 

11.06.2019

400.000 Euro Bußgeld wegen Verletzung der Datensicherheit

 

Die französische Aufsichtsbehörde CNIL verhängte ein Bußgeld von 400.000 Euro aufgrund fehlender Maßnahmen zur Datensicherheit und unzulässiger Speicherung von Mieterdaten.

Das französische Unternehmen SERGIC ist in der Immobilienbranche tätig und ermöglicht Mietinteressenten, die für die Wohnungssuche relevanten Unterlagen auf deren Website hochzuladen und dort zu verwalten. Hierbei handelte es sich um Dokumente mit teilweise besonders schützenswerten personenbezogenen Daten, wie beispielsweise Kopien von Personalausweisen und Steuerbescheiden, Angaben zur Krankenversicherung sowie Bankdaten. Es stellte sich heraus, dass durch einfache Änderung der URL ein Zugriff auf die Dokumente anderer Nutzer möglich war, da kein Verfahren zur Authentifizierung etabliert wurde. Die Behörde stufte die fehlenden Sicherheitsfeatures als Verstoß gegen Art. 32 DSGVO ein. Zusätzlich stellte die Aufsichtsbehörde fest, dass die Daten auch weit nach Erfüllung des Zwecks in der gleichen Datenbank aufbewahrt wurden und sah darin einen Verstoß gegen den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO gegeben. Grund für die Höhe des Bußgelds war außerdem die mangelnde Sorgfalt des Unternehmens bei der Behebung der Schwachstellen vor allem unter Beachtung des hohen Schutzbedürfnisses der Daten.

 

Fazit der Datenschutzkanzlei:

Die Themen Datensicherheit und insbesondere Zugriffsrechte müssen Unternehmen im Griff haben. Schwachstellen werden weder von Aufsichtsbehörden noch den Betroffenen akzeptiert und finden unter dem Begriff „Datenpanne“ gerne auch den Weg in die überregionale Presse. Im Gegensatz zur alten Rechtslage, haben Behörden bei Verstößen gegen Art. 32 DSGVO nunmehr auch direkte Sanktionsmöglichkeiten, die sie mit Bußgeldern durchsetzen können (vgl. Art. 83 Abs. 4 lit. a DSGVO).