Der Datenschutz-Radar bietet eine fortlaufende Übersicht zu aktuellen Entwicklungen im Datenschutzrecht. Der Fokus liegt hierbei auf Entscheidungen aus der Rechtsprechung und den Datenschutz-Aufsichtsbehörden, die wir für Sie einordnen. Die Übersicht wird laufend aktualisiert.

11.06.2019: Bußgelder gegen Online-Bank, Adresshändler und Immobilienfirma

50.000 Euro Bußgeld wegen „Schwarzer Liste“ bei N26

Die Berliner Aufsichtsbehörde erklärt das Führen einer „Schwarzen Liste“ ehemaliger Kunden für rechtswidrig (siehe Jahresbericht 2018, Seite 131).

Im vorliegenden Fall beabsichtigte ein Ex-Kunde der Online-Bank N26 erneut ein Konto zu eröffnen. Die Bank lehnte dies ab, denn der Kunde stand auf einer „Schwarzen Liste“ für Personen, mit denen kein erneutes Vertragsverhältnis eingegangen werden sollte. Die Bank erklärte, die Daten aus Gründen der Geldwäsche aufzubewahren, räumte aber ein, dass sie mit Hilfe der Liste die Geldwäscheverdachtsfälle nicht von anderen Fällen unterscheiden könne. Nach Ansicht der Berliner Aufsichtsbehörde ist diese Speicherung unzulässig, da keine Rechtsgrundlage für die Aufbewahrung dieser Daten bestehe. Laut Behörde dürften nur Betroffene aufgenommen werden, die tatsächlich unter Geldwäscheverdacht stehen oder bei denen andere triftige Gründe vorliegen. Das Unternehmen soll bereits Widerspruch gegen den Bußgeldbescheid eingelegt haben, will sich mit Verweis auf das laufende Verfahren aber nicht weiter äußern.

Fazit der Datenschutzkanzlei:

Das Führen Schwarzer Listen (Blacklist) ist in vielen Branchen üblich und insbesondere in der Direktwerbung allgemein anerkannt. Es zeigt sich aber, dass diese Listen datenschutzrechtlich insbesondere dann problematisch sind, wenn der Zweck der Liste nicht erfüllt werden kann. In diesem Fall kann die Speicherung nicht auf eine Interessenabwägung im Sinne der DSGVO gestützt werden. Unternehmen sollten daher zunächst prüfen, ob entsprechende Listen intern geführt werden. Jede Liste sollte dann daraufhin untersucht werden, ob der verfolgte Zweck tatsächlich erreicht wird. Falls nicht, sollte die Liste gelöscht werden.


220.000 Euro Bußgeld wegen fehlender Informationen gegen Adresshändler

Die polnische Aufsichtsbehörde UODO verhängt wegen fehlender Benachrichtigung von Betroffenen ein Bußgeld in Höhe von ca. 220.000 Euro gegen einen Adresshändler.

In dem Fall ging es um ein Tochterunternehmen der weltweit agierenden Bisnode AB, die zu kommerziellen Zwecken eine Datenbank mit personenbezogenen Daten von Unternehmern aus öffentlich zugänglichen Quellen führt. Bisnode erfüllte seine Informationspflichten aus Art. 14 DSGVO dabei nur gegenüber Personen, von denen eine E-Mail-Adresse vorlag, was in der Gesamtschau nur einen Bruchteil der Betroffenen darstellte (ca. 90.000 Personen). Das Unternehmen erachtete die Erfüllung der Informationspflichten gegenüber den übrigen ca. 6 Mio. Betroffenen per Briefpost oder Telefon als unverhältnismäßig und berief sich auf die gesetzliche Ausnahme des Art. 14 Abs. 5 DSGVO. Alternativ wurden entsprechende Informationen auf der Website zugänglich gemacht. Die polnische Aufsichtsbehörde ließ dies nicht genügen und verhängte das durchaus ambitionierte Bußgeld. Dabei berücksichtigte die Behörde wohl auch die fehlende Kooperationsbereitschaft von Bisnode.

Fazit der Datenschutzkanzlei:

Die Benachrichtigung von Betroffenen ist seit Geltung der DSGVO teilweise sehr komplex geworden. Strenggenommen müssen alle Personen informiert werden, deren Informationen in Datenbanken gespeichert werden. Gesetzliche Ausnahmen wie in Art. 14 Abs. 5 DSGVO (u.a. „unverhältnismäßiger Aufwand“) werden allgemein sehr restriktiv ausgelegt (siehe auch WP260rev.01 der Artikel 29 Datenschutzgruppe, ab Seite 28). In jedem Fall sollte die fehlende Information an die Betroffenen nachvollziehbar dokumentiert werden, um mögliche Maßnahmen von Behörden entgegentreten zu können. Zudem hilft es sicherlich weiter mit einer Aufsichtsbehörde in einen konstruktiven Dialog zu treten.


400.000 Euro Bußgeld wegen Verletzung der Datensicherheit sowie Nichteinhaltung der Aufbewahrungsfristen

Die französische Aufsichtsbehörde CNIL verhängte ein Bußgeld von 400.000 Euro aufgrund fehlender Maßnahmen zur Datensicherheit und unzulässiger Speicherung von Mieterdaten.

Das französische Unternehmen SERGIC ist in der Immobilienbranche tätig und ermöglicht Mietinteressenten, die für die Wohnungssuche relevanten Unterlagen auf deren Website hochzuladen und dort zu verwalten. Hierbei handelte es sich um Dokumente mit teilweise besonders schützenswerten personenbezogenen Daten, wie beispielsweise Kopien von Personalausweisen und Steuerbescheiden, Angaben zur Krankenversicherung sowie Bankdaten. Es stellte sich heraus, dass durch einfache Änderung der URL ein Zugriff auf die Dokumente anderer Nutzer möglich war, da kein Verfahren zur Authentifizierung etabliert wurde. Die Behörde stufte die fehlenden Sicherheitsfeatures als Verstoß gegen Art. 32 DSGVO ein. Zusätzlich stellte die Aufsichtsbehörde fest, dass die Daten auch weit nach Erfüllung des Zwecks in der gleichen Datenbank aufbewahrt wurden und sah darin einen Verstoß gegen den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO gegeben. Grund für die Höhe des Bußgelds war außerdem die mangelnde Sorgfalt des Unternehmens bei der Behebung der Schwachstellen vor allem unter Beachtung des hohen Schutzbedürfnisses der Daten.

Fazit der Datenschutzkanzlei:

Die Themen Datensicherheit und insbesondere Zugriffsrechte müssen Unternehmen im Griff haben. Schwachstellen werden weder von Aufsichtsbehörden noch den Betroffenen akzeptiert und finden unter dem Begriff „Datenpanne“ gerne auch den Weg in die überregionale Presse. Im Gegensatz zur alten Rechtslage, haben Behörden bei Verstößen gegen Art. 32 DSGVO nunmehr auch direkte Sanktionsmöglichkeiten, die sie mit Bußgeldern durchsetzen können (vgl. Art. 83 Abs. 4 lit. a DSGVO).