Top 5 DSGVO-Bußgelder im April 2021

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im April 2021.

COVID-19-Testdaten ohne TOMs übermittelt

Bei der Geschäftsstelle der Budapester Stadtregierung im XI. Bezirk (Budapest Főváros Kormányhivatala XI. kerületi Hivatalát) wurden Datenschutzverstöße im Zusammenhang mit der Verarbeitung von COVID-19-Testdaten festgestellt. Die Stadtregierung hatte einen Datensatz, der Gesundheitsdaten zu Schnelltests sowie die Kontaktdaten der Getesteten enthielt, in einer einzigen Excel-Datei unverschlüsselt und ohne weitere Maßnahmen zur Gewährleistung der Vertraulichkeit an Ärzte per E-Mail verschickt. Das Risiko, das für die Betroffenen aufgrund des ungesicherten Versands ihrer personenbezogenen Daten bestand, wurde dabei als hoch eingeschätzt, da die Excel-Tabelle mit Gesundheitsdaten eine besondere Kategorie personenbezogener Daten enthielt. Trotz des hohen Risikos für die Betroffenen hatte die Stadtregierung die Datenpanne außerdem weder der Datenschutzbehörde gemeldet noch die Betroffenen darüber benachrichtigt.

Behörde: Nemzeti Adatvédelmi és Információszabadság Hatóság (HU – NAIH)
Branche: Gesundheitswesen
Verstoß: Art. 32 Abs. 1 lit. a), b), Art. 32 Abs. 2, Art. 33 Abs. 1, Art. 34 Abs. 1 DSGVO
Bußgeld: 27.403 Euro/ 10.000.000 HUF

Verstöße gegen die Sicherheit der Datenverarbeitung nach Art. 32 DSGVO werden von Aufsichtsbehörden häufig sanktioniert. Natürlich ist es unabdingbar in der momentanen Situation möglichst schnell möglichst viele Corona-Testzentren zu schaffen. Allerdings darf dieser Zeitdruck nicht zu einer mangelnden Datensicherheit führen, wie der Chaos Computer Club sie im März bei medicus.ai oder der Tagesspiegel Ende April bei Innofabrik feststellten. Natürlich wurden die Lücken in beiden Fällen umgehend geschlossen. Es ging hier jedoch auch um eine erhebliche Anzahl von betroffenen Gesundheitsdaten. Insbesondere bei solch sensiblen Daten nach Art. 9 DSGVO ist genauer hinzusehen.

WLAN-Tracking in Innenstadt ohne Rechtsgrundlage

Ein Betroffener beschwerte sich bei der niederländischen Datenschutzbehörde über den Einsatz von WLAN-Tracking im Zentrum von Enschede. Die Untersuchung der Behörde ergab, dass die Gemeinde im Jahre 2017 von einem Spezialunternehmen sog. Messboxen in Einkaufsstraßen hatte anbringen lassen, um den Andrang in der Innenstadt zu messen. Diese Sensoren erfassten dabei die WLAN-Signale der Mobiltelefone von Passanten separat und kennzeichneten sie mit einem eindeutigen Code. Anhand der Anzahl der registrierten Geräte ließ sich die Auslastung an den jeweiligen Messboxen bestimmen. Allerdings war es so ebenfalls möglich, nachzuvollziehen, welche Stationen von einem konkreten Gerät passiert wurden, wodurch die Bewegung von Betroffenen nachverfolgt werden konnte.

Behörde: Autoriteit Persoonsgegevens (NL)
Branche: Öffentliche Verwaltung
Verstoß: Art. 5 Abs. 1 lit. a) DSGVO, Art. 6 Abs. 1 DSGVO
Bußgeld: 600.000 Euro

Der Vorfall, der immerhin ein Bußgeld von 600.000 € nach sich zog, erinnert ebenfalls an ein Thema der Corona-Zeit: Kontaktverfolgung per (Luca-)App. Hier ist das erklärte Ziel zwar gerade die Nachverfolgung von Bewegungen bzw. Personen, allerdings liegt der damit verfolgte Zweck in der Pandemieeindämmung. Es wird also deutlich, dass eine solch große Datenerhebung nicht grund- und aus datenschutzrechtlicher Sicht schon gar nicht zwecklos erfolgen darf. Dies erklärt auch die Diskussion bei Luca, CWA & Co: größter Kritikpunkt ist nach wie vor die zentrale Speicherung (vieler!) personenbezogener Daten an einer Stelle und die damit verbundenen Risiken. Dies sollten sich insbesondere Teilnehmer an Modellprojekten ins Gedächtnis rufen.

Unrechtmäßige Aufnahme in Schuldnerkartei

Bei der spanischen Datenschutzbehörde waren 96 (!) Beschwerden von Betroffenen gegen den Finanzdienstleister EQUIFAX IBÉRICA, S.L. eingegangen. Grund war die Aufnahme der Betroffenen in ein von EQUIFAX IBÉRICA, S.L. unterhaltenes Verzeichnis, kurz: FIJ. Das FIJ enthält die Daten von Personen, gegen die seitens öffentlicher Institutionen Beschwerden, ausstehende Schulden oder andere rechtliche Ansprüche vorliegen, und wird von Banken u.a. zur Einschätzung der Kreditwürdigkeit von Personen verwendet.

Die Datenschutzbehörde stellte fest, dass die Verarbeitung der personenbezogenen Daten der Betroffenen rund um das FIJ-Verzeichnis unrechtmäßig erfolgt war und gegen zugleich mehrere datenschutzrechtliche Grundsätze der Datenverarbeitung (Rechtmäßigkeit und Transparenz, Zweckbindung, Datenminimierung und Richtigkeit) verstieß. So hatte EQUIFAX bei mehreren Betroffenen Daten zu Schulden ins Verzeichnis aufgenommen, die nicht oder nicht mehr existierten. In einigen Fällen waren ferner die Schuldendaten von Betroffenen über die gesetzliche Frist von sechs Jahren hinaus gespeichert worden. Außerdem hatte EQUIFAX die Betroffenen nicht ordnungsgemäß über die Verarbeitung ihrer Daten informiert. Bei der Festsetzung der Bußgeldhöhe wurde zudem erschwerend berücksichtigt, dass die Datenschutzverstöße keine Einzelfälle waren, sondern in der Geschäftspraxis des Dienstleisters begründet lagen. Zudem war die Datenverarbeitung wesentlich für die im Zusammenhang mit dem FIJ-Verzeichnis stehende wirtschaftliche Aktivität des Verantwortlichen. Darüber hinaus hatte EQUIFAX die Datenverarbeitung in vollem Bewusstsein darüber durchgeführt, dass sie gegen die DSGVO verstieß.

Behörde: Agencia española protección datos (ESP)
Branche: Finanzdienstleitungen
Verstoß: Art. 5 Abs. 1 lit. a), b), c) und d) DSGVO, Art. 6 Abs. 1 DSGVO, Art. 14 DSGVO
Bußgeld: 1.000.000 Euro

Auskunfteien und der Datenschutz – wahrscheinlich ein Thema für eine ganze Doktorarbeit. Denn auch die Schufa in Deutschland kann das Lied ihrer spanischen Schwester wohl mitsingen. Ob nun falsche Daten, die für einen schlechten Score sorgen, oder zu wenige, was offenbar zum gleichen Ergebnis führt, oder die mangelnde Löschung von Daten – die Schufa kennt die datenschutzrechtlichen Sanktionen der Art. 82 ff. DSGVO, wie Bußgeld, Verwarnung oder Schadensersatz wohl zur Genüge. Ein Grund mehr, den Datenschutz (endlich) mal ernst zu nehmen und die Transparenz-Probleme in den Griff zu bekommen. Allein die Höhe der Geldbuße von 1 Mio. € für die 96 (!) spanischen Beschwerden lässt doch aufhorchen.

Unrechtmäßige Videoüberwachung in Restauranträumen

Gegen den Restaurantbetreiber Basaren Drift AS war bei der norwegischen Datenschutzbehörde eine Beschwerde eingegangen. Grund der Beschwerde war die unrechtmäßige Videoüberwachung eines Lokals. Die vom Restaurantinhaber angebrachten Kameras waren rund um die Uhr in Betrieb, erfassten sowohl Kunden als auch Beschäftigte und waren in Teilen auf öffentliches Gelände gerichtet, das nicht mehr zum Restaurant gehörte.

Hierin erkannte die Behörde einen Verstoß gegen das Prinzip der Rechtmäßigkeit und Transparenz der Verarbeitung. Des Weiteren hatte das Restaurant die Betroffenen nicht in ausreichendem Maße über die mit der Videoüberwachung einhergehende Datenverarbeitung informiert. Die Datenschutzbehörde stellte deshalb ferner eine Verletzung der Informationspflicht fest, die dem Verantwortlichen gem. Art. 13 DSGVO oblag.

Behörde: Datatilsynet (NOR)
Branche: Gastgewerbe
Verstoß: Art. 5 Abs. 1 lit. a) DSGVO, Art. 6 Abs. 1 DSGVO, Art. 13 DSGVO
Bußgeld: 20.007 Euro/ 200.000 NOK

Auch die Videoüberwachung – ob sie nun verdeckt oder offen erfolgt – stellt einen datenschutzrechtlichen Dauerbrenner dar, konkrete Beispiele für eine unzulässige Videoüberwachung gibt es zuhauf. In Deutschland beschäftigte sich gerade im März das LAG Nürnberg, Az. 7 Sa 226/20, erst wieder mit dem umstrittenen Einsatz einer verdeckten Videoüberwachung und den Auswirkungen auf die Grundrechte. Das Ergebnis – eine verdeckte Videoüberwachung am Arbeitsplatz nur als Ultima Ratio – hätte der norwegische Restaurantbetreiber wohl auch mal bedenken sollen. Dass gerade Beschäftigte in ihren Rechten verletzt werden können, bestätigte jetzt sogar der EGMR mit Hinblick auf Art. 8 EMRK. Aber, und das macht auch die Entscheidung aus Norwegen deutlich, es gibt Möglichkeiten der zulässigen Videoüberwachung. Die Zauberwörter sind „Verhältnismäßigkeit“ des und „Transparenz“ beim Einsatz.

Auskunftsrecht des Betroffenen nicht vollumfänglich nachgekommen

Ein Betroffener reichte bei der italienischen Datenschutzbehörde Beschwerde gegen das Medienunternehmen GEDI News Network S.p.a. ein. Grund war ein durch das Medienunternehmen auf der Website lastampa.it veröffentlichter Artikel, in dem auf seine Person Bezug genommen wurde.

Im Rahmen ihrer Untersuchungen stellte die Datenschutzbehörde fest, dass GEDI News Network das Auskunftsrecht des Beschwerdeführers verletzt hatte, indem er dessen Anfragen aufgrund automatisierter Entscheidungen nicht ordnungsgemäß beantwortet hatte. In anderen Punkten wies die Behörde die Beschwerde allerdings als unbegründet zurück. So hatte der Betroffene des Weiteren gefordert, dass seine Daten aus dem Artikel gelöscht oder anonymisiert werden und das Vorwort des Artikels in seinem Sinne aktualisiert wird.

Behörde: Garante per la protezione dei dati personali (ITA)
Branche: Medien
Verstoß: Art. 15 DSGVO, Art. 22 DSGVO
Bußgeld: 20.000 Euro

Das Recht auf Auskunft nach Art. 15 DSGVO könnte man als direkten Ausdruck des Rechts auf informationelle Selbstbestimmung verstehen. Hiernach hat jeder grundrechtsberechtigte Bürger nicht nur das Recht zu erfahren, wer seine Daten verarbeitet, sondern auch welche Daten wie verarbeitet werden. Die Kunst für den Verantwortlichen ist es dann, die geltend gemachte Auskunft richtig zu erteilen. Dies ist insbesondere wichtig, um ein Bußgeld zu vermeiden. Hierfür sollte im Unternehmen in jedem Fall ein entsprechender Prozess etabliert werden und – ggfs. in Absprache mit dem DSB – jeder Anspruch ausreichend, aber vollumfänglich beantwortet werden.