Top 5 DSGVO-Bußgelder im April 2022

News

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im April 2022.

Fehlender Schutz für Gesundheitsdaten

Im Februar 2021 wurde bekannt, dass es auf Grund eines Datenlecks bei DEADULUS BIOLOGIE, einem Unternehmen, das Softwarelösungen für medizinische Analyselabors vertreibt, zu einem massiven Datenverlust gekommen war. Betroffen waren fast 500.000 Personen. Dabei wurden Name, Vorname, Sozialversicherungsnummer, Name des verschreibenden Arztes, Datum der Untersuchung, aber auch und vor allem medizinische Informationen (genetische Krankheiten, Schwangerschaften, medikamentöse Behandlungen oder auch genetische Daten) im Internet verbreitet. Die französische Aufsichtsbehörde führte das Datenleck zum einen darauf zurück, dass das Unternehmen als Auftragsverarbeiter Daten, über die von den für die Verarbeitung Verantwortlichen erteilten Anweisungen hinaus genutzt hatte. Zum anderen waren die sensiblen Daten weder verschlüsselt noch mit einer ausreichenden Authentifizierung auf den Servern gespeichert worden. Auch fehlte ein Löschkonzept.

Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL)
Branche: Gesundheitsbranche
Verstoß: Art. 28, 29, 32 DSGVO
Bußgeld: 1,5 Mio. Euro

Verstöße gegen die Sicherheit der Datenverarbeitung nach Art. 32 DSGVO rücken insbesondere auf Grund vermehrter Hackerangriffe immer mehr in den Fokus. Der bei der Implementierung von technischen und organisatorischen Maßnahmen anzulegende Maßstab ist dabei immer, ein dem Risiko für die Betroffenen angemessenes Sicherheitsniveau zu gewährleisten. Insbesondere wenn auch Gesundheitsdaten als sensible Daten nach Art. 9 DSGVO betroffen sind, ist dies umso wichtiger. So wären im vorliegenden Fall eine ausreichende Verschlüsselung (wie z.B. eine Ende-zu-Ende-Verschlüsselung), ein Verfahren zur Authentifizierung bei Zugriffen aus dem Internet auf den Server und ein Verfahren zur Überwachung und Eskalation von Sicherheitswarnung erforderliche Schutzmaßnahmen gewesen. Dies ist zu beachten, wenn es darum geht, nach einem Hackerangriff entsprechende Vorkehrungen zu treffen.

Schwerwiegende Mängel beim Führen einer „Betrugsliste“

Die niederländische Aufsichtsbehörde verhängte Anfang April ein Bußgeld von insgesamt 3,7 Mio. Euro gegen die niederländische Steuer- und Zollbehörde (Belastingdienst). Hierbei handelt es sich um das höchste bis zum jetzigen Zeitpunkt verhängte Bußgeld der Aufsichtsbehörde. Hintergrund war eine unrechtmäßig geführte Liste mit Hinweisen zu Betrugsstraftaten (Fraude Signalering Voorziening, FSV). Die Liste war über 6 Jahre lang geführt worden und enthielt zu ca. 270.000 Personen Einträge. Viele Betroffenen wurden jedoch zu Unrecht, d.h. ohne Grund als möglicher Betrüger, auf dieser Liste geführt, was oft schwerwiegende finanzielle Folgen hatte.

Die Geldbuße in Höhe von 3,7 Millionen Euro basiert auf mehreren Geldbußen für insgesamt sechs Verstöße: keine Rechtsgrundlage für die Verarbeitung personenbezogener Daten, keine Definition der Verarbeitungszwecke, eine zu lange Aufbewahrung sowie unzureichende Schutzmaßnahmen. Darüber hinaus enthielt die Liste ungenaue und nicht aktualisierte Daten und der Datenschutzbeauftragte wurde bei der Erstellung der Liste zu spät einbezogen.

Behörde: Autoriteit Persoonsgegevens (NL)
Branche: öffentliche Verwaltung/ Steuer- und Zollbehörde
Verstoß: Art. 5 Abs. 1 lit. a), b), d), e), Art. 6 Abs. 1, Art. 32 Abs. 1, Art. 35 Abs. 1 DSGVO
Bußgeld: 3,7 Mio. Euro

Aus datenschutzrechtlicher Sicht lautet hier das Fazit leider: es ist alles schief gelaufen, was hätte schief laufen können. Die Höhe des Bußgeldes ist damit wenig überraschend. Welche immensen Auswirkungen ein solcher Eintrag für die unschuldige betroffene Person haben kann, zeigt das Erfordernis der Einhaltung datenschutzrechtlicher Grundlagen umso deutlicher. Die verantwortliche Stelle sollte daher, bspw. über eine Software, ein Datenschutzmanagement etablieren und entsprechende Prozesse vorsehen, damit nicht nur der Datenschutzbeauftragte bei neuen Projekten rechtzeitig einbezogen wird. Ergänzt werden sollten diese Maßnahmen stets mit regelmäßigen Schulungen der Mitarbeiter, um ein datenschutzrechtliches Bewusstsein zu schaffen.

Datenverarbeitung ohne bestehendes Löschkonzept

Die dänische Aufsichtsbehörde hat Ermittlungen gegen die Danske Bank aufgenommen. Bereits im November 2020 wurden Probleme im Zusammenhang mit der Löschung von personenbezogenen Daten bekannt. Im Laufe weiterer Untersuchungen der Aufsichtsbehörde konnte die Danske Bank weder darlegen, welche Regeln einer Löschung der Daten in ihren über 400 Systemen zu Grunde gelegt wurden noch ob die Daten manuell oder automatisch gelöscht wurden. In den betroffenen Systemen werden personenbezogene Daten von mehreren Millionen Personen verarbeitet. Für den Verstoß gegen die Rechenschaftspflicht veranschlagte die Aufsichtsbehörde ein Bußgeld in Höhe von umgerechnet ca. 1,3 Mio. Euro (10.000.000 DKK). Ein entsprechender Bescheid ist bisher noch nicht ergangen.

Behörde: Datatilsynet (DK)
Branche: Banken/ Finanzwesen
Verstoß: Art. 5 Abs. 2 DSGVO
Bußgeld: 1.344.357 Euro (10.000.000 DKK)

Das Recht auf Löschung ist mit eines der wesentlichen Rechte der betroffenen Person aus Art. 17 DSGVO. Aus Sicht der verantwortlichen Stelle ist es daher umso wichtiger, sich mit der Erstellung eines entsprechenden Prozesses zu beschäftigen, um kein Bußgeld zu riskieren. Denn auch die Aufbewahrung von personenbezogenen Daten stellt eine Verarbeitung dar, die einer Rechtsgrundlage bedarf. Die regelmäßige proaktive Löschung von Altdaten und ein Konzept für die Löschung auf Anfrage von Betroffenen können zudem den Umgang mit der Löschung zur Routine machen. Und mit ein paar Tipps lassen sich auch diese Hürden meistern.

Verarbeitung von Gesundheitsdaten mittels Wärmebildkameras ohne Rechtsgrundlage

Am Flughafen Brüssel-Charleroi wurden zur Eindämmung der COVID-19-Pandemie über einen längeren Zeitraum Wärmebildkameras zur Messung der Körpertemperatur von Flughafengästen eingesetzt. U.a. wurden Passagiere mit einer Körpertemperatur von über 38°C herausgefiltert und nach möglichen Corona-Symptomen befragt.

Nach Ansicht der Aufsichtsbehörde fand die Verarbeitung der Daten zur Körpertemperatur vorliegend ohne Rechtsgrundlage statt. Hierbei handelte es sich um Gesundheitsdaten und damit um eine besondere Kategorie personenbezogener Daten. Die Behörde betonte, dass zwar Gründe der öffentlichen Gesundheit eine Verarbeitung rechtfertigen können, sofern sie auf einer klaren und präzisen Rechtsnorm beruhten. Dass diese Anforderungen vorlagen, war vom Flughafen jedoch nicht ausreichend dargelegt worden. Des Weiteren stellte die Behörde fest, dass die Information der Fluggäste über die Temperaturmessung sowie die Datenschutz-Folgenabschätzung, die zur Analyse von damit einhergehenden Risiken durchgeführt worden war, Mängel aufwiesen. Auch gegen den Flughafen Brüssel-Zavantem sowie gegen dessen Dienstleister Ambuce Rescue Team wurden wegen des gleichen Verstoßes jeweils ein Bußgeld verhängt.

Behörde: Gegevensbeschermingsautoriteit (BEL)
Branche: Flughafen
Verstoß: Art. 5 Abs. 1 lit. a), b) DSGVO, Art. 6 Abs. 1 lit. c), Abs. 3 DSGVO, Art. 9 Abs. 2 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 32 DSGVO, Art. 35 Abs. 1 und 7 DSGVO
Bußgeld: 100.000 Euro

In Zeiten von Corona rückte die Verarbeitung von besonders sensiblen Gesundheitsdaten nicht nur im Arbeitsverhältnis verstärkt in den datenschutzrechtlichen Fokus. Auch diese Entscheidung macht deutlich, dass die verantwortliche Stelle das Vorliegen einer entsprechenden Rechtsgrundlage stets zu prüfen hat. Auch wenn in der Gesellschaft selbst häufig umstritten ist, welchen Stellenwert man dem Datenschutz insbesondere in Zeiten von Corona beimessen sollte, darf doch eines dabei nicht vergessen werden: das Thema Datenschutz wird vor allem dann zur Gefahr, wenn es in Vergessenheit gerät.

Unzulässige Auswertung von Kundengesprächen und fehlende Informationspflichten

Die Budapest Bank Zrt. nutze zur automatisierten Auswertung von Kundenservice-Gesprächen eine Software, die Machine-Learning und künstliche Intelligenz einsetzte. So sollten anhand von Schlüsselbegriffen, Gesprächsstilen sowie weiteren Charakteristiken in Rede und Ausdruck (z.B. Redegeschwindigkeit und Intonation) die Emotionen der Gesprächsteilnehmer identifiziert und gemessen werden. Das Vorgehen sollte der Qualitätskontrolle des Kundenservices dienen, Beschwerden oder Abwanderung von Kunden präventiv verhindern sowie die Effizienz der Kundenservice-Abteilung erhöhen.

Nach Auffassung der Aufsichtsbehörde lag für die mit der automatisierten Auswertung einhergehende Datenverarbeitung keine Rechtsgrundlage vor. Das Finanzinstitut stützte sich beim Einsatz der Software auf das Vorliegen eines berechtigten Interesses. Wie die Behörde allerdings feststellte, war die Interessenabwägung des Bußgeldempfängers fehlerhaft und irreführend. So hatte die Budapest Bank diese nicht gesondert für jeden der drei aufgeführten Verarbeitungszwecke durchgeführt, sondern sie stattdessen in einem einzigen Prozess kombiniert. Es war lediglich darauf verwiesen worden, dass die Datenverarbeitung notwendig für die Realisierung der Interessen der Bank ist, ohne jedoch die verschiedenen Verarbeitungswecke je mit den Rechten der Betroffenen in Verhältnis zu setzen. Darüber hinaus waren die Kunden zu Beginn der Anrufe weder über die anschließende Auswertung der Gespräche und die Möglichkeit von Rückrufen informiert noch über ihr Widerspruchsrecht aufgeklärt worden.

Behörde: Nemzeti Adatvédelmi és Információszabadság Hatóság (HU)
Branche: Banken / Finanzwesen
Verstoß: Art. 5 Abs. 1, Art. 6 Abs. 1, 4 DSGVO, Art. 12 Abs. 1 DSGVO, Art. 13 DSGVO, Art. 21 DSGVO, Art, 24 DSGVO, Art. 25 DSGVO
Bußgeld: 708.035 Euro

Die Entscheidung ist insbesondere in Bezug auf die momentanen Entwicklungen, z.B. auf dem Gebiet der „Künstlichen Intelligenz“ interessant. In Zeiten, in denen die Digitalisierung so schnell voranschreitet, wie niemals zuvor, spielen der Datenschutz und die DSGVO eine wichtige Rolle. Sie machen deutlich, dass die Rechte der betroffenen Personen einzuhalten sind. Gerade im Zusammenhang mit „Künstlicher Intelligenz“ befinden wir uns in einem spannenden Umfeld immenser Möglichkeiten, aber auch dem Bedarf nach Regelungen. Denn dass diese Entwicklungen auch Schattenseiten haben können, zeigen uns Deepfakes und Deepnudes. Der Vorschlag der Europäischen Union für einen Rechtsrahmen für Künstliche Intelligenz kommt daher zur richtigen Zeit, um den Drahtseilakt zu ermöglichen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.