Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im April 2023.
Der Inhalt im Überblick
- Mangelhafte Umsetzung von Betroffenenrechten bei skandinavischer Fitnesscenter-Kette
- Bußgeld wegen unvollständiger Datenschutzerklärung und fehlender Benennung eines Datenschutzbeauftragten
- Kurzer Prozess mit TikTok wegen der Verarbeitung von Daten von Kindern ohne Einwilligung der Eltern
- Verlust eines USB-Sticks mit sensiblen Daten
- Schwärzen von Daten mit Filzstift ist kein wirksames Verfahren zur Anonymisierung
Die Datenschutz-Aufsichtsbehörden aus Norwegen, Dänemark und Finnland sind im Rahmen einer grenzüberschreitenden Kooperation gegen Skandinaviens größte Fitnesskette SATS vorgegangen und haben ein empfindliches Bußgeld in Höhe von 858.590 Euro verhängt. Grund für die Kooperation waren Beschwerden von Kund:innen wegen der mangelhaften Umsetzung von Betroffenenrechten in den vergangenen Jahren.
Zu der Höhe des Bußgeldes kam es durch das Zusammentreffen mehrerer Verstöße gegen die DSGVO: Betroffenenanfragen, die beispielsweise auf Überprüfung oder Löschung von Daten gerichtet waren, war die Fitnesskette entweder gar nicht, oder nicht innerhalb der in der DSGVO vorgesehenen Frist nachgekommen.
Auch hinsichtlich der von SATS verwendeten Rechtsgrundlagen, auf die Datenverarbeitungen gestützt wurden, fielen Unstimmigkeiten auf: Die Verarbeitung von Trainingsverlaufsdaten wurde fälschlicherweise als für die Vertragsdurchführung erforderlich eingestuft. Außerdem war in den Datenschutzhinweisen nicht die Rechtsgrundlage erwähnt, die SATS tatsächlich angewandt hatte. Zuletzt fiel negativ auf, dass die Fitnesskette auch keine hinreichenden Informationen über die Speicherung von personenbezogenen Daten von gesperrten Mitgliedern zur Verfügung gestellt hatte.
Behörde: Datatilsynet
Branche: Fitnessbranche
Verstoß: Art. 5 Abs. 1 lit. a), e) DSGVO, Art. 6 Abs. 1 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 15 DSGVO, Art. 17 DSGVO
Bußgeld: 858.590 Euro
Der Betroffene ist ein zentraler Begriff der DSGVO: um den Schutz seiner personenbezogenen Daten dreht sich alles in der Welt des Datenschutzes. Die Entscheidung zeigt, dass sich Verantwortliche bei jeder Datenverarbeitung fragen sollten, ob sie die Belange des Betroffenen, sei es bei den Informationspflichten und Auskunftspflichten oder der Wahl der Rechtsgrundlage, ausreichend gewürdigt haben. Verarbeitungen, die gegen die Rechte und Freiheiten des Betroffenen verstoßen, sowie das Ignorieren von Betroffenenanfragen können zu hohen Bußgeldern führen.
Bußgeld wegen unvollständiger Datenschutzerklärung und fehlender Benennung eines Datenschutzbeauftragten
Die allseits bekannte Fast-Food-Kette KFC in Spanien war der Ansicht, auf ihrer dortigen Webseite müsse kein Datenschutzbeauftragter genannt werden. Zur Begründung führte sie an, dass KFC hauptsächlich gastronomische Dienstleistungen erbringe. Die Verarbeitung personenbezogener Daten über die Webseite erfolge lediglich bei Aktivitäten wie der Bereitstellung des Lieferservices. Die spanische Datenschutzbehörde sah dies jedoch anders und verhängte gegen KFC ein Bußgeld. KFC müsse einen Datenschutzbeauftragten benennen und außerdem in der Datenschutzerklärung der Webseite Informationen über die Verarbeitung personenbezogener Daten zur Verfügung stellen.
Behörde: Agencia española protección datos
Branche: Fast-Food-Restaurantkette
Verstoß: Art. 37 DSGVO, Art. 13 DSGVO
Bußgeld: 25.000 Euro
Die Benennung eines Datenschutzbeauftragten und die Erfüllung der sich aus Art. 13 DSGVO ergebenden Informationspflichten: eigentlich absolute Datenschutz-Basics. Wer sein Gedächtnis auffrischen möchte, kann in unserer Anleitung nachlesen, wie Datenschutzhinweise auf Webseiten richtig einzubinden sind.
Kurzer Prozess mit TikTok wegen der Verarbeitung von Daten von Kindern ohne Einwilligung der Eltern
Und wieder ein Bußgeld für TikTok – und was für eins. Die britische Aufsichtsbehörde Information Commissioner’s Office (ICO) hat gegen die TikTok Information Technologies UK Limited ein Bußgeld in Höhe von sage und schreibe 12,7 Millionen Pfund (14,5 Millionen Euro) verhängt. Das Unternehmen habe zugelassen, dass im Jahr 2020 bis zu 1,4 Millionen Kinder unter 13 Jahren im Land ein Konto eröffnen konnten – obwohl die eigenen Regeln dies untersagten. Persönliche Daten von Kindern seien außerdem ohne eine Einwilligung der Eltern genutzt worden, obwohl das britische Datenschutzrecht dies vorsieht. TikTok habe es unterlassen, angemessene Kontrollen zur Identifizierung und Entfernung von Benutzerkonten von minderjährigen Kindern durchzuführen. Ursprünglich war sogar ein Bußgeld in Höhe von 27 Millionen Pfund angedacht.
Behörde: Information Commissioner’s Office
Branche: Social-Media-Plattform
Verstoß: Art. 8 DSGVO
Bußgeld: 14,5 Mio. Euro
Mit Datenschutzrechten für Kinder ist nicht zu spaßen! Das zeigt das Verfahren gegen TikTok ganz deutlich. Personenbezogene Daten von Kindern und Jugendlichen sind häufig sensibel. Gleichwohl sind es in vielen Fällen Minderjährige selbst, die ihre Daten oft unbedacht im Internet verteilen. Hier ist eine gute Sensibilisierung z. B. durch die Eltern, wichtig.
Verlust eines USB-Sticks mit sensiblen Daten
In der schwedischen Region Skåne hat der von einem Mitarbeiter herbeigeführte Verlust eines (leider unverschlüsselten) USB-Sticks, auf welchem Sozialversicherungsnummern und sensible persönliche Daten von fast 2000 Personen gespeichert waren, zu einem Bußgeld geführt.
Die schwedische Datenschutzbehörde stellte bei ihren Untersuchungen des Vorfalls fest, dass durch den Inhalt des USB-Sticks die Verknüpfung von Gesundheitsdaten mit einer großen Zahl von Patient:innen über deren persönliche Identifikationsnummer möglich war. Durch die schwedische Identifikationsnummer ist jeder Schwede und jede Schwedin eindeutig identifizierbar, sie erfüllt ungefähr denselben Zweck wie in Deutschland die Kombination aus vollständigem Namen, Geburtsdatum und Geburtsort. Nach Ansicht der der Datenschutzbehörde waren die getroffenen technischen und organisatorischen Maßnahmen nicht ausreichend, um im Verhältnis zum Risiko der Datenverarbeitung ein angemessenes Sicherheitsniveau zu gewährleisten. Erschwerend kam zu guter Letzt hinzu, dass der unverschlüsselte USB-Stick nicht wieder gefunden werden konnte.
Behörde: Integritetsskydds myndigheten
Verstoß: Art. 32 Abs. 1 DSGVO
Bußgeld: 17.566 Euro
Nach Art. 32 DSGVO sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Ein leidiges Thema, da die Vorschrift voller unbestimmter Rechtsbegriffe steckt, die es den Verantwortlichen erschweren, einzuschätzen, welcher Aufwand konkret erforderlich ist, um datenschutzkonform zu agieren. Fehler wie der Verlust eines unverschlüsselten USB-Sticks sind jedoch unbedingt zu vermeiden – in unserem Beitrag zu den TOM klären wir auf, was zu beachten ist.
Schwärzen von Daten mit Filzstift ist kein wirksames Verfahren zur Anonymisierung
Wegen eines Hinweises geriet die Gesundheitsbehörde der Stadt Bari in Süditalien (Azienda sanitaria locale di Bari) ins Visier der italienischen Datenschutzbehörde. Auf der Webseite der Gesundheitsbehörde wurden über Jahre hinweg im Feedbackbereich Informationen über den Gesundheitszustand von Betroffenen veröffentlicht, die sich aus Dankesschreiben, Briefen und E-Mails an die Gesundheitsbehörde ergaben.
Die personenbezogenen Daten und Gesundheitsdaten, die darin enthalten waren, wurden zwar mit einem Filzstift vor der Veröffentlichung geschwärzt, letztendlich waren viele Informationen aber trotz des Schwärzens nach wie vor erkennbar. Dies zog ein Bußgeld in Höhe von 50.000 Euro nach sich. Außerdem legte die Behörde fest, dass das manuelle Unkenntlichmachen von Daten mit einem Marker oder Filzstift kein geeignetes Verfahren zur Anonymisierung personenbezogener Daten darstellt. Dies gelte auch dann, wenn es wirksam durchgeführt werde und keine Informationen mehr erkennbar seien.
Behörde: Garante per la protezione dei dati personali
Branche: Gesundheitsbehörde
Verstoß: Art. 5 Abs. 1 lit a), c), f) DSGVO, Art. 9 DSGVO, Art. 25 Abs. 1, 2 DSGVO, Art. 2 lit. f) codice della privacy
Bußgeld: 50.000 Euro
Fazit: Gut gemeint, aber schlecht umgesetzt. Diese Entscheidung verdeutlicht, dass die Anonymisierung von personenbezogenen Daten immer noch ein Dauerbrenner im Datenschutzrecht ist. Das Thema ist so wichtig, da anonymisierte Daten keinen Personenbezug aufweisen und daher nicht den datenschutzrechtlichen Vorschriften unterfallen. In unserem Beitrag erhalten Sie einen umfassenden Überblick zur Anonymisierung.