Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im August 2022.
Der Inhalt im Überblick
Automatische Newsletter-Anmeldung
Newsletter sind praktisch, um Interessenten und Kunden auf Produkte und Angebote aufmerksam zu machen. Das dachte sich auch ein französisches Unternehmen für Luxushotels. Kunden, die über die Webseite des Unternehmens eine Buchung abschlossen, wurden automatisch für den Marketing-Newsletter angemeldet, der Produkte und Dienstleistungen Dritter bewarb. Grund war eine vorangekreuzte Checkbox. Nicht aufmerksame Kunden erhielten fortan regelmäßig diesen Newsletter und konnten ihn auch nicht so einfach wieder abbestellen. Technische Probleme, die im Machtbereich des Unternehmens lagen, machten es für viele Betroffene gar nicht erst möglich, ihrer Datenverarbeitung zu widersprechen. Den vielen Beschwerden der Betroffenen kam das Unternehmen nur schleppend und nicht fristgerecht nach.
Die französische Aufsichtsbehörde verhängte nun ein Bußgeld in Höhe von 600.000 € gegen das Unternehmen. Es habe gegen die Informationspflicht aus Artt. 12, 13 DSGVO verstoßen, indem es nicht hinreichend erkennen ließ, die Datenverarbeitung zur Zusendung eines Newsletters auf Grundlage einer Einwilligung vorzunehmen. Die fehlende Abmeldemöglichkeit für den Newsletter verstoße außerdem gegen das Widerspruchsrecht der Betroffenen (Art. 21 DSGVO). Da das Unternehmen die Betroffenenanfragen nicht fristgerecht bearbeitete, verstieß es gegen das ihnen zustehende Auskunftsrecht (Art. 15 DSGVO).
Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL)
Branche: Hotelbranche
Verstoß: Art. 12 DSGVO, Art. 13 DSGVO, Art. 15 DSGVO, Art. 21 DSGVO, Art. 32 DSGVO
Bußgeld: 600.000 €
Der Fall der französischen Aufsichtsbehörde verdeutlicht noch einmal, dass vorausgefüllte Checkboxen teuer werden können. Dort, wo die Datenverarbeitung aufgrund einer Einwilligung der Betroffenen erfolgt, muss diese auch freiwillig erteilt werden. Checkboxen, die vom Verarbeiter vorausgefüllt sind (sog. Opt-out-Verfahren), stellen nach Erwägungsgrund 32 keine freiwillige Einwilligung des Betroffenen dar.
Soll ein Newsletter rechtskonform versendet werden, empfiehlt sich daher das sog. Double-Opt-In Verfahren. Obwohl die DSGVO ein solches Verfahren nicht verpflichtend vorschreibt, dient der Nachweis zum einen der Rechenschaftspflicht des Verantwortlichen (Art. 5 Abs. 2 DSGVO), als auch der Absicherung gegen den Vorwurf der unzumutbaren Belästigung nach § 7 UWG. Nichtsdestotrotz sollte der Verantwortliche stets die Betroffenenrechte wahren und ihnen fristgerecht nachkommen. Anderenfalls kann es ihm teuer zu stehen kommen.
Fehlende Benachrichtigung des Betroffenen nach Datenpanne
Kommt es zu einem Datenschutzvorfall, hat der Verantwortliche die betroffene Person unverzüglich zu benachrichtigen, wenn der Vorfall für die Rechte und Freiheiten des Betroffenen voraussichtlich ein hohes Risiko darstellt (Art. 34 Abs. 1 DSGVO). Ein auf der Isle of Man ansässiges Gesundheitsunternehmen hat dies nach einem Datenschutzvorfall scheinbar anders gesehen und muss nun zahlen.
Im Oktober 2021 versendete das Gesundheitsunternehmen eine E-Mail an mehr als über 1870 Empfänger. Im Anhang befanden sich vertrauliche, unverschlüsselte Gesundheitsdaten eines Patienten, die eigentlich gar nicht an die Empfänger gerichtet waren. Als man die Datenpanne bemerkte, informierte man den betroffenen Patienten allerdings nicht. Bereits in der Vergangenheit versuchte die Aufsichtsbehörde der Isle of Man das Unternehmen dazu zu bewegen, die ihr anvertrauten Patientendaten angemessen zu schützen. Das anhaltende Versäumnis geeignete technische und organisatorischer Maßnahmen zu implementieren, führte nun schließlich zum Erlass des Bußgeldbescheides in Höhe von £170,500 (202,084 €).
Behörde: Isle of Man Information Commissioner (IOM)
Branche: Gesundheitswesen
Verstoß: Art. 5 Abs. 1 lit. c und f DSGVO, Art. 5 Abs. 2 DSGVO, Art. 24 DSGVO, Art. 25 DSGVO, Art. 32 DSGVO, Art. 34 DSGVO
Bußgeld: 202.084 € (£170.500)
Bei einer Datenschutzverletzung, die gem. Art. 33 DSGVO gegenüber der Aufsichtsbehörde gemeldet werden muss, sollte nicht vergessen werden, dass unter Umständen auch eine Benachrichtigung des Betroffenen nach Art. 34 DSGVO notwendig ist. Bezüglich des Risikos für die Rechte und Freiheiten der betroffenen Person ist Art. 34 DSGVO nämlich enger gefasst als Art. 33 DSGVO. Es bedarf daher einer hinreichenden Prüfung, ob von der Benachrichtig nicht ausnahmsweise deshalb abzusehen ist, weil der Verantwortliche durch nachfolgende Maßnahmen bereits in der Lage war das hohe Risiko einzudämmen. Gerade technische Maßnahmen können bei einer Datenpanne größere Schäden verhindern.
Gestohlenes Diensthandy ohne Passwort
Einem Mitarbeiter der dänischen Gemeinde Lolland wurde im Dezember vergangenen Jahres das Diensthandy gestohlen. Darauf befand sich der dienstliche E-Mail Account des Beschäftigten, der zahlreiche sensible Informationen über Bürger enthielt. Die Täter konnten auf diese Inhalte ohne jegliche Mühe zugreifen, als sie das Telefon an sich nahmen. Wie die Aufsichtsbehörde nämlich feststellte, wurde der Passwortschutz des gestohlenen Gerätes durch den Beschäftigten deaktiviert. Dessen Dienstherr, die Gemeinde, gab zu, dass es den Beschäftigten seit einigen Jahren möglich war, ihre Diensthandys ohne jegliche Passwortanforderungen zu benutzen. So erhielten die Täter Zugriff auf Informationen der Bürger, wie Namen, Sozialversicherungsnummern, gesundheitliche Daten sowie Informationen über etwaige Missbrauchsfälle. Der Gemeinde Lolland wurde wegen Versäumnis der Einführung erforderlicher Sicherheitsmaßnahmen nach Art. 32 DSGVO nun ein Bußgeld in Höhe von 50.000 DKK (6.721 €) auferlegt.
Behörde: Datatilsynet
Branche: Öffentlicher Dienst
Verstoß: Art. 32 DSGVO
Bußgeld: 6.721 €
Diensthandys sind in der heutigen Arbeitswelt nicht wegzudenken. So praktisch sie auch sind, stellen sie bzw. der Umgang mit Ihnen immer ein gewisses Risiko dar. Verantwortliche Arbeitgeber sind verpflichtet, für die angemessene Sicherheit auf den Diensthandys zu sorgen. Dazu zählt bspw., dass es Beschäftigten technisch nicht möglich ist die Passwortvorgabe zu deaktivieren. Darüber hinaus ist eine interne Passwortrichtlinie empfehlenswert, welche die Mindestanforderungen von Passwörtern regelt, um Sicherheitslücken zu verhindern. Das Diensthandy kann potenziell nämlich jedem einmal abhandenkommen. Wenn dieses dann auch noch durch Passwörter wie „1234“ oder „hallo“ geschützt ist, sieht der Fall nicht anders als, als der der dänischen Gemeinde.
Fehlende DSFA und DSE
Nachdem sich ein Betroffener an die zuständige belgische Aufsichtsbehörde wandte, stellte diese etliche Datenschutzverstöße eines belgischen Labors fest. Die Webseite des Labors war nicht nur unverschlüsselt, bzw. ungesichert, sondern enthielt darüber hinaus keine Datenschutzerklärung. Eine erforderliche Datenschutzfolgenabschätzung (DSFA) hatte das Labor ebenfalls versäumt durchzuführen. Die zuständige Behörde verhängte daraufhin zunächst ein Bußgeld in Höhe von 25.000 €, welches schließlich auf 20.000 € reduziert wurde. Im Laufe des Verfahrens beseitigte nämlich das Labor alle festgestellten Mängel.
Behörde: Autorité de protection des données
Branche: Gesundheitswesen
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO, Art. 32 DSGVO, Art. 35 Abs. 3 DSGVO
Bußgeld 20.000 €
Neben der mittlerweile doch selbstverständlich gewordenen Datenschutzerklärung einer Webseite erinnert der Fall an eine weniger geläufige, teils unliebsame Verpflichtung aus der DSGVO: Die Durchführung einer Datenschutz-Folgenabschätzung. Wer Formen von Verarbeitungsvorgängen durchführt, die nach Art. 35 DSGVO voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben könnten, ist nämlich verpflichtet eine solche DSFA durchzuführen. Gerade, wenn es sich um Vorgänge handelt, die unter Abs. 3 der Norm fallen oder auf eine der sogenannten Positiv- oder Black-Lists der Aufsichtsbehörde stehen. Kommt der Verantwortliche nach einer Risikoanalyse zu dem Ergebnis, dass die zuständige Aufsichtsbehörde nicht nach Art. 36 DSGVO zu konsultieren ist, befreit es ihn dennoch nicht von der Pflicht eine DSFA durchzuführen. Neben der DSGVO sieht übrigens auch die Norm ISO 27701 für bestimmte Fälle die Durchführung einer DSFA vor.
Verlust von Patientendaten
Ein Patient einer griechischen Polyklinik machte gegenüber dem Diagnosezentrum von seinem Auskunftsrecht (Art. 15 DSGVO) Gebrauch. Als dieses dem Gesuch nicht hinreichend nachkam, beschwerte sich der Patient bei der zuständigen Aufsichtsbehörde. Im Rahmen der Untersuchungen wurde festgestellt, dass das Diagnosezentrum nicht über die ausreichenden technischen und organisatorischen Maßnahmen verfügte, die ein angemessenes Schutz- und Sicherheitsniveau der personenbezogenen Daten gem. Art. 32 DSGVO gewährleisten. Das Diagnosezentrum besaß schlichtweg keine Möglichkeit, um die verarbeiteten Daten langfristig und sicher zu speichern. Da die fehlende Speichermöglichkeit gegen den Grundsatz der Verfügbarkeit von Daten (Art. 32 Abs. 1 lit. c DSGVO) verstoße, wurde zugleich ein Verstoß gegen Art. 33 DSGVO festgestellt, da die Meldung an die Aufsichtsbehörde über die Datenpanne nicht innerhalb der vorgeschriebenen 72 Stunden erfolgte. Gleiches galt der versäumten Meldung gegenüber dem Betroffenen nach Art. 34 DSGVO.
Behörde: Datenschutzaufsichtsbehörde Griechenland
Branche: Gesundheitswesen
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 15 DSGVO, Art. 32 DSGVO, Art. 33 DSGVO
Bußgeld: 30.000 €
Verantwortliche haben die Pflicht, die Datenverarbeitung durch technisch und organisatorische Maßnahmen (TOMs) abzusichern. Das umfasst nicht nur die Sicherung vor dem Zugriff Dritter, sondern auch vor dem Verlust der Daten (Grundsatz der Verfügbarkeit von Daten, Art. 32 Abs. 1 lit. c DSGVO). Dieser Fall verdeutlicht die Wichtigkeit der Implementierung ausreichender und dem konkreten Einzelfall angemessener TOMs. Gerade, wenn es um die Verarbeitung besonders sensibler Daten nach Art. 9 DSGVO geht, wie es hier bei den Gesundheitsdaten des Patienten der Fall war, sollten Verantwortliche die Grundsätze der IT-Sicherheit beachten, um sich im Fall der Fälle vor einem dicken Bußgeld zu bewahren.
Danke für die interessante Auflistung! Was mich etwas verwundert ist die Strafe der CNIL bzgl. Newsletteranmeldung. Es ist doch möglich, Bestandskunden für ähnliche/gleiche Produkte nach einer Interessensabwägung Informationsmaterial zukommen zu lassen – natürlich immer mit der Möglichkeit sich jederzeit einfach abzumelden. Somit wurde einfach nur die falsche Rechtsgrundlage gewählt. Ging es hier also nur um die schwierige Abmeldung bzw. dass sich der Gast überhaupt nicht mehr abmelden konnte? Ein schöner Gruß
Das Zusenden eines Newsletters an Bestandskunden unterliegt mehreren Voraussetzungen, u.a. der, dass er Werbung nur für eigene ähnliche Produkte oder Dienstleistungen des Verantwortlichen enthält und der Kunde bei der Datenerhebung auch darüber informiert wurde, dass seine E-Mail Adresse zu diesem Zweck verwendet wird. Beides hat das französische Hotelunternehmen ignoriert:
Das Unternehmen bewarb in den Newslettern die Produkte und Dienstleistungen Dritter und informierte die Kunden auch nicht darüber, die angegebene E-Mail Adresse für das Zusenden von Newslettern zu nutzen. Da dies im Artikel nicht deutlich herüberkam, haben wir dies kurzerhand etwas korrigiert und klar gestellt, vielen Dank für die darauf aufmerksam machende Nachfrage!