Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im August 2021.
Der Inhalt im Überblick
Fehlende Authentisierung bei automatisierten Telefonauskünften
Die spanische Aufsichtsbehörde ist auch im August wieder sehr aktiv gewesen. Im vorliegenden Fall hat es die BANCO BILBAO VIZCAYA ARGENTARIA, S.A., erwischt. Der Grund für das Bußgeld war die fehlende Authentisierung bei Auskünften zu Kundentransaktionen. Bei der automatisierten Telefonauskunft war es ausreichend, die Ausweisnummer eines Kunden zu nennen, um auf dessen Transaktionen des sogenannten „Affinity-Card-Kontos“ zugreifen zu können. Weitergehende Maßnahmen, um die Identität der anrufenden Person festzustellen, hatte die Bank nicht vorgesehen. Die Aufklärung dieses Sachverhalts wurde auf Grund einer Beschwerde eines Betroffenen bei der AEPD ins Rollen gebracht.
Nach Ansicht der spanischen Aufsichtsbehörde lag hier eine Verletzung der Pflicht vor, ausreichende technische und organisatorische Maßnahmen zu treffen. Da die Bank sich aber kooperativ gezeigt hatte, wurde die Bußgeldhöhe von ursprünglich 200.00 EUR auf 120.000 EUR reduziert.
Behörde: Agencia Española Protección Datos (AEPD)
Branche: Bank
Verstoß: Art. 32 DSGVO
Bußgeld: 120.000 EUR
Auch dieser Fall zeigt einmal mehr, wie wichtig es ist, ausreichende TOMs nach Art. 32 DSGVO zu implementieren. Dabei bietet die DSGVO eine breite Palette an Maßnahmen, da die Auswahl stets vom konkreten Einzelfall abhängt. Zudem hilft die richtige Auswahl an TOMs, unangenehme Datenschutzvorfälle zu vermeiden. Hier hätte die betroffene Bank zwingend weitere Authentisierungsmethoden einsetzen müssen, ggf. in Kombination miteinander. Einen solchen Fehler hatte auch schon der Telefon- und Internetriese 1&1 gemacht. Das Bußgeld wurde zwar später von 9,55 Mio. EUR auf 900.000 EUR gekürzt, aber auf eine solche wohlwollende Betrachtung der Gerichte oder der Aufsichtsbehörden bei der Berechnung von Bußgeldern sollte man sich nicht verlassen.
Unerlaubte Werbeanrufe trotz Widerspruchs
Gegen das britische Telekommunikationsunternehmen Yes Consumer Solutions Ltd (YCSL) wurde ein Bußgeld verhängt, weil es in einer Vielzahl von Fällen unerlaubte Werbeanrufe getätigt hatte. Die Untersuchungen der britischen Aufsichtsbehörde hatte ergeben, dass insgesamt fast 200.000 solcher Anrufe im Zeitraum Oktober 2018 bis Oktober 2019 ohne Rechtsgrundlage erfolgt sind. Ironischerweise war Ziel dieser Werbeanrufe, einen von YCSL vertriebenen Anrufschutz zu bewerben, welcher gerade das Blocken unerwünschter Anrufe ermöglichen sollte.
Hier kam erschwerend hinzu, dass sämtliche angerufenen Telefonnummern im britischen TPS-Register vermerkt waren. Der Eintrag in dieses Register soll generell den Schutz vor unerwünschten Anrufen, insbesondere im Telemarketing, gewährleisten. Bei der britischen Aufsichtsbehörde gingen insgesamt 13 Beschwerden betroffener Personen ein.
Behörde: Information Commissioner’s Office (ICO)
Branche: Telekommunikation
Verstoß: Art. 55A DPA, Art. 21 PECR
Bußgeld: 199.812 EUR (170.000 GBP)
Wie Sie als fleißiger Leser unserer Blogreihe sicherlich auch schon festgestellt haben, nehmen unzulässige Werbemaßnahmen ohne Einwilligung bzw. ohne andere Rechtsgrundlage mit Abstand den ersten Platz ein. Aber nicht nur beim Telefonmarketing lauern Gefahren. Selbst die Werbung per Post ist nicht unproblematisch. Ganz grundsätzlich ist hier immer das Zusammenspiel von Datenschutzrecht und Wettbewerbsrecht zu beachten. Im Regelfall ist sowohl nach Art. 7 DSGVO als auch nach § 7 UWG eine Einwilligung einzuholen. Auch das sogenannte Kopplungsverbot ist zu beachten, so vor allem bei Gewinnspielen. Zu der umstrittenen Frage, inwiefern man mit Daten bezahlen kann, hat sich kürzlich erst der BGH geäußert.
Massive Datenschutzverstöße beim Einsatz automatisierter Systeme zur Fahrerverwaltung
Bei Deliveroo Italy s.r.l. handelt es sich um einen italienischen Essenslieferdienst, welcher eine Tochter des irischen Unternehmens Roofoods Ltd. ist. Die Bußgeldempfängerin hatte sich eine ganze Reihe von schwerwiegenden Datenschutzverstößen gegenüber ca. 8.000 Personen geleistet. Die Betroffenen waren ausschließlich als Fahrer bzw. Lieferanten beschäftigt. Hauptkritikpunkt war der Einsatz einer App, worüber u.a. die Auftragsvergabe sowie die Buchung von Arbeitsschichten abgewickelt und verwaltet wurden.
Deliveroo setzte hier Algorithmen ein, welche die Arbeitsweise der Fahrer systematisch bewertet haben. Die Aufsichtsbehörde stellte fest, dass es sich dabei um ein unzulässiges Profiling im Sinne des Art. 22 DSGVO gehandelt hat. Diesbezüglich hatte Deliveroo auch gegen seine Informationspflichten nach Art. 13 DSGVO verstoßen, da die betroffenen Fahrer nicht ausreichend über die Datenverarbeitung aufgeklärt worden sind. Darüber hinaus stellt die Behörde Verletzungen der Prinzipien der Datenminimierung sowie der Speicherbegrenzung fest. So waren die Standortdaten der Fahrer alle 12 Sekunden erfasst und mit einer großen Menge an persönlichen Daten, die während der Ausführung der Bestellungen erhoben wurden, gespeichert worden. Zudem hatte das Unternehmen nur eine pauschale Aufbewahrungsfrist von sechs Jahren definiert.
Behörde: Garante per la protezione dei dati personali (GPDP)
Branche: Lieferdienst
Verstoß: Art. 5 Abs. 1 lit. a, c und e DSGVO, Art. 13 DSGVO, Art. 22 Abs. 3 DSGVO, Art. 25 DSGVO, Art. 30 Abs. 1 lit. c, f und g DSGVO, Art. 32 DSGVO, Art. 35 DSGVO, Art. 37 Abs. 7 DSGVO
Bußgeld: 2.500.000 Euro
Kommt Ihnen dieser Sachverhalt vielleicht bekannt vor? Wenn ja, liegen Sie richtig. Bereits im vergangenen Monat hat die italienische Aufsichtsbehörde den Essenslieferant Foodinho s.r.l mit insgesamt 2,6 Mio. EUR Bußgeld abgestraft – wegen eines praktisch identischen Sachverhalts. Das ist leider kein Einzelfall. Auch beim deutschen Branchenführer Lieferando wurden ganz ähnliche Vergehen festgestellt. Dabei ist eine Überwachung der Mitarbeiter aus datenschutzrechtlicher Sicht sogar möglich, wenn die richtigen Maßstäbe gewahrt werden. In diesem Zusammenhang ist auch die Videoüberwachung immer ein Thema. Dies gilt vor allem für die verdeckte Videoüberwachung, um Straftaten von Mitarbeitern aufzuklären. Aber selbst eine abgeschaltete Kamera kann aus datenschutzrechtlicher Sicht zu Problemen führen.
Verstoß gegen Pflicht zur Datenlöschung
Vodafone España, S.A.U. hat erneut ein empfindliches Bußgeld kassiert. Dieses Mal stand eine nicht erfolgte Datenlöschung im Vordergrund. Die Betroffene hatte durch einen von Vodafone beauftragten Inkassodienstleister die Aufforderung erhalten, angeblich ausstehende Verbindlichkeiten zu begleichen. Allerdings hatte nicht die Betroffene den entsprechenden Vertrag geschlossen, sondern eine dritte Person, welche den Namen und die ID-Nummer der Betroffenen unrechtmäßig erlangt hatte, um den Vertrag auf deren Person abzuschließen. Die Betroffene verlangte von Vodafone die Annullierung dieses Vertrages und forderte das Unternehmen auf, ihre Daten zu löschen. Da Vodafone darauf nicht reagiert hatte, wandte sich die Betroffene an die spanische Aufsichtsbehörde.
Das ursprünglich veranschlagte Bußgeld in Höhe von 120.000 EUR wurde auf Grund des kooperativen Verhaltens von Vodafone auf 96.000 EUR reduziert.
Behörde: Agencia Española Protección Datos (AEPD)
Branche: Telekommunikation
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 17 Abs. 1 DSGVO
Bußgeld: 96.000 EUR
Das Recht auf Löschung nach Art. 17 DSGVO ist eines der wesentlichen Themen im Datenschutz. Hier kann man als Verantwortlicher schnell in Fettnäpfchen treten. Hiervon kann beispielsweise die Deutsche Wohnen SE aus Berlin ein Liedchen singen. Diese kassierte ein hohes Bußgeld, weil ihre Software zum Archivieren keine Möglichkeit zur Löschung von Daten bot. Dabei ist zu erwähnen, dass sich eine korrekte Datenlöschung auch durch Anonymisierung erreichen lässt. Was hierbei zu beachten ist, hat der Bundesdatenschutzbeauftragte in einem Positionspapier dargestellt. Ein gutes Löschkonzept ist auf jeden Fall zu empfehlen.
Unzureichende Maßnahmen bei einer Whistleblowing-Anwendung
Die Betreibergesellschaft des Flughafens von Bologna (Aeroporto Guglielmo Marconi di Bologna S.p.a.) kassierte ein Bußgeld von 40.000 EUR, da sie eine Whistleblowing-Software des Unternehmens aiComply S.r.l. eingesetzt hatte, ohne ausreichende technische und organisatorische Maßnahmen getroffen zu haben. Bei den Ermittlungen stellte die italienische Aufsichtsbehörde fest, dass weder ein sicheres Netzwerkprotokoll verwenden worden, noch eine Verschlüsselung der Daten des Meldenden, der gemeldeten Informationen oder der beigefügten Unterlagen vorgesehen war. Auch wenn hier ein Dienstleister eingesetzt wurde, machte die Behörde deutlich, dass die Betreibergesellschaft die datenschutzrechtliche Verantwortlichkeit treffe. aiComply S.r.l. wurde in einem parallelen Verfahren ein Bußgeld von 20.000 EUR auferlegt. Das Software-Unternehmen hatte es zudem unterlassen, mit zwei Auftraggebern die jeweils notwendige Auftragsverarbeitungsvereinbarung zu schließen.
Behörde: Garante per la protezione dei dati personali (GPDP)
Branche: Flughafenbetreiber
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 25 DSGVO, Art. 28 DSGVO, Art. 32 DSGVO, Art. 35 DSGVO
Bußgeld: insgesamt 60.000 EUR
Whistleblowing ist ein ernstes Thema. Gerade in größeren Unternehmen sollen dadurch Hinweise auf Straftaten, Korruption oder Verhaltensverstöße einfacher von Mitarbeitern an die oberste Geschäftsebene getragen werden können und so Vorfälle wie der VW-Abgas Skandal verhindert werden. Ende 2019 verabschiedete die EU eine Whistleblowing-Richtlinie. Deren Vorgaben müssten eigentlich bis zum 17. Dezember 2021 in deutsches Recht umgesetzt werden. Bisher konnte sich die große Koalition aber noch nicht auf ein entsprechendes Gesetz einigen. Dennoch dürfte die Einrichtung von Meldekanälen wie z.B. einer Whistleblowing-Hotline oder Whistleblowing-Software für die Umsetzung der künftigen Vorgaben oftmals der erste Schritt sein. Hier kommt es ganz besonders auf angemessene technische und organisatorische Maßnahmen und den Schutz der Anonymität der Hinweisgeber an. Wenn dann noch – wie im Bußgeldfall – ein Auftragsverarbeiter ins Spiel kommt, ist dessen richtige Auswahl wichtig. Meist setzt der Auftragsverarbeiter selbst noch Subunternehmer ein, welche geprüft werden müssen. Zudem stellt sich im Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter oft die Frage, wie deren Haftung bei DSGVO-Verstößen untereinander aussieht.
Sehr geehrter Herr Schewior,
Im Abschnitt zur den Cold-Calls schreiben Sie: „Selbst die Werbung per Post ist nicht unproblematisch. Ganz grundsätzlich ist hier immer das Zusammenspiel von Datenschutzrecht und Wettbewerbsrecht zu beachten. Im Regelfall ist sowohl nach Art. 7 DSGVO als auch nach § 7 UWG eine Einwilligung einzuholen.“ Dies steht aber im Widerspruch zu Ihren Angaben in dem verlinkten Artikel zur Postwerbung (dort: keine Einwilligung erforderlich, Art. 6 Abs. 1 lit. f DSGVO trägt) und das Einwilligungserfordernis findet sich so zur Postwerbung auch in § 7 UWG nicht wieder. Hier von der Einwilligung als Regelfall zu sprechen, erscheint mir daher recht verwegen.
Ansonsten vielen Dank für die wie immer gelungene Zusammenstellung und viele Grüße vom Besserwisser :-)
Vielen Dank für Ihren Kommentar. Wir freuen uns, dass Ihnen unsere Blogreihe gefällt.
Die Einwilligung als Regelfall bezog sich in dem Artikel auf die in der Praxis wohl deutlich häufigeren Fälle von Telefon- und E-Mail-Werbung. Auch postalische Werbung ist nicht unproblematisch, hier kann man sich tatsächlich normalerweise auf das berechtigte Interesse stützen bzw. hier dürfte im Regelfall auch keine Unzumutbarkeit der Werbung vorliegen.