Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im August 2024.
Der Inhalt im Überblick
Datentransfer in die USA ohne angemessene Schutzmaßnahmen
Die niederländische Aufsichtsbehörde hat ein hohes Bußgeld gegen Uber Technologies und Uber BV verhängt. Das Problem war die Datenübermittlung in die USA. In einem Zeitraum von ca. zwei Jahren wurden Daten einer Vielzahl von Mitarbeitern an die Muttergesellschaft in die USA und an weitere US-amerikanische Unternehmen übermittelt, ohne dass dafür eine Sicherungsmaßnahme nach Art. 44 ff. DSGVO ergriffen worden war. 172 betroffene Uber-Fahrer aus Frankreich hatten sich zunächst an eine Menschenrechtsgesellschaft in ihrer Heimat gewandt, ehe der Fall über die französische Datenschutzaufsichtsbehörde an die zuständige Autoriteit Persoonsgegevens weitergespielt worden ist. Zu den unrechtmäßig übermittelten Daten zählten nicht nur Stammdaten und Führerscheine bzw. andere Formen von Fahrerlizenzen, sondern auch Standortdaten, Kontodaten und zum Teil sogar Vorstrafen sowie Gesundheitsdaten der Fahrer.
Uber war zunächst nach dem Privacy Shield zertifiziert. Nachdem das Abkommen unwirksam geworden war, hatte Uber es offenbar versäumt, weitere Schutzmaßnahmen zu ergreifen. Seit Ende des letzten Jahres ist Uber nach dem neuen Data Privacy Framework zwischen den EU und den USA zertifiziert.
Behörde: Autoriteit Persoonsgegevens (AP)
Branche: Dienstleistung/Personenbeförderung
Verstoß: Art. 44 DSGVO
Bußgeld: 290 Mio. Euro
Auch wenn die Datenübermittlung in die USA auf Grund des (relativ) neuen Data Privacy Frameworks zwischen der EU und den USA deutlich erleichtert worden ist, sollte man dennoch vorsichtig sein. Nicht jedes US-Unternehmen ist nach diesem Abkommen zertifiziert. Ohne Zertifizierung müssen Unternehmen in der EU in aller Regel auf die Standarddatenschutzklauseln zurückgreifen, um keine Angriffsflächen zu bieten. Hierzu hatte die EU-Kommission Mitte des Jahres 2021 aktualisierte Fassungen bereitgestellt. Vorherige Fassungen sind nicht mehr wirksam. Zusätzlich ist in der Regel weiterhin ein Transfer Impact Assessment notwendig, um mittels dieser Risikoanalyse die Rechte der Betroffenen bestmöglich zu schützen.
Auskunftsersuchen nicht beantwortet
Ein belgisches Telekommunikationsunternehmen hatte an Verträgen mit einer Privatkunden Änderungen vorgenommen, ohne die Kunden darüber zu informieren. Die Änderungen sind nach Angaben des Unternehmens auf menschliches Versagen zurückzuführen gewesen. Die Kundin verlangte – nachdem sie Kenntnis der Änderungen erlangt hatte – Auskunft nach Art. 15 DSGVO. Ihr Begehren hatte aber keinen Erfolg. Auch der Kontakt mit der Datenschutzbeauftragten kam trotz Aufforderung nicht zustande. Der mit dem Fall beschäftigte Support-Mitarbeiter sagte der Kundin zu, ihrer Anfrage nachzukommen. Nachdem aber trotz mehrfacher, weiterer Aufforderung und Fristsetzung keine Auskunft erfolgt war, wandte sich die Kundin an die belgische Aufsichtsbehörde.
Behörde: Autorité de protection des données/Gegevensbeschermingsautoriteit (APDD)
Branche: Telekommunikation
Verstoß: Art. 15 DSGVO
Bußgeld: 100.000 Euro
Wie Sie als fleißiger Leser unseres Blogs sicherlich auch schon festgestellt haben, beschäftigen Auskunftsersuchen und deren fehlerhafte Bearbeitung durch Unternehmen immer wieder die Gerichte und die Aufsichtsbehörden. Aber den Unternehmen drohen nicht nur Bußgelder! Daneben können Betroffene natürlich auch Schadensersatzansprüche geltend machen. Von lediglich 500 Euro bis hin zu 10.000 Euro – hier wegen einer verspätet erteilten Auskunft – ist dabei alles möglich. Diese zum Teil stark voneinander abweichenden Beträge liegen auch darin begründet, dass die Grenzen und der Umfang von Auskunftsersuchen nicht immer einfach zu ermitteln sind.
Videoüberwachung durch Privatperson
Die spanische Aufsichtsbehörde hatte sich mit einer Beschwerde gegen eine Privatperson zu beschäftigen, da diese eine Kameraüberwachung betrieben hat, welche nicht nur das eigene Grundstück gefilmt hat, sondern auch das Nachbarhaus sowie den umliegenden öffentlichen Raum. Die Beschwerde ging von einem Anwohner des Nachbarhauses aus, welcher sich in seinen Rechten verletzt fühlte. Für die Kameraüberwachung waren weder eine Genehmigung noch ausreichende Hinweisschilder vorhanden.
Die Ermittlungen der Behörde hatten zudem ergeben, dass die Speicherung der Daten deutlich zu lange vorgenommen worden ist. Die Daten wurden erst dann gelöscht, wenn die Kapazität der Kamera oder des Speichermediums erschöpft war. Die Behörde monierte auch, dass die Kameraüberwachung durch die nicht ausreichenden Hinweise – vor allem aus Sicht der betroffenen Personen im öffentlichen Raum – praktisch nicht erkennbar war. Dem Beschwerdegegner wurde zugutegehalten, dass dieser die erlangten Daten nicht missbräuchlich verwendet hat, sondern offenbar nur die Absicht hatte, sein Grundstück zu schützen.
Behörde: Agencia Española Protección Datos (AEPD)
Branche: Privatperson
Verstoß: Art. 5 Abs. 1 lit. c DSGVO
Bußgeld: 300 Euro
Dieser Fall ist vor allem deswegen interessant, weil hier ausnahmsweise nicht ein Unternehmen oder eine öffentliche Stelle Adressat des Bußgelds war, sondern eine Privatperson. Normalerweise greift bei Privatpersonen die sogenannte Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO ein, so dass die DSGVO gar nicht erst zur Anwendung kommt. Manchmal ist es gar nicht so zu entscheiden, ob man als Privatperson datenschutzrechtliche Vorschriften beachten muss oder nicht. Nicht nur die Überwachung von (Miet-)Wohnungen spielt in der Praxis eine große Rolle. Auch bei der Anzeige von Ordnungswidrigkeiten auf eigene Faust sollte man sich als Privatperson genau überlegen, wie man vorgeht.
Gestohlene Computer waren nicht verschlüsselt
In diesem Fall stand eine kleine Gemeinde in Dänemark (Gemeinde Vejen) im Fokus. Die Gemeinde hatte selbst Meldung an die dänische Aufsichtsbehörde erstattet, nachdem insgesamt fünf Laptops aus einer Schule, welche von der Gemeinde betrieben wird, gestohlen worden waren. Das Problem lag hier vor allem darin, dass die Hardware nicht verschlüsselt war. Daten zu Schülern und Lehrern, einschließlich Beurteilungen, Klassenarbeiten und Zeugnisnoten, waren damit ohne größeren Aufwand einsehbar. Bei der anschließenden Untersuchung des Falles durch die dänische Datenschutzbehörde stellte sich heraus, dass es in der Gemeinde bis zu 300 Computer gab, welche genauso wenig geschützt waren wie die gestohlenen Laptops.
An der Gemeinde Vejen wurde mit der Verhängung des Bußgelds quasi ein Exempel statuiert. Nach Angaben der dänischen Aufsichtsbehörde hatte es in der Vergangenheit mehrmals Meldungen zu Datenpannen ähnlicher Art durch Gemeinden und andere Behörden gegeben. Da entsprechende Appelle durch die Datenschutzaufsicht offenbar nicht gefruchtet hatten, wurde nun dieses Bußgeld ausgesprochen.
Behörde: Datatilsynet
Branche: Behörde
Verstoß: Art. 32 DSGVO
Bußgeld: 26.803 Euro (200.000 DKK)
Der Fall zeigt deutlich auf, wie wichtig es ist, ausreichende technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu implementieren. Dabei bietet die DSGVO eine breite Palette an Maßnahmen, da die Auswahl stets vom konkreten Einzelfall abhängt. Zudem hilft die richtige Auswahl an TOMs, unangenehme Datenschutzvorfälle zu vermeiden. Die Verschlüsselung von Daten bzw. von Datenträgern sollte aber auf jeden Fall im Repertoire sein.
Fehlerhafter Versand von Gehaltsabrechnungen
Auch im August war die spanische Aufsichtsbehörde – wie man es von ihr seit Jahren gewohnt ist – sehr aktiv! In diesem Fall hat es mit Uniqlo eine bekannte Modemarke erwischt. Dem Bußgeldverfahren ging eine Beschwerde eines ehemaligen Dienstleisters von Uniqlo am Standort in Spanien voraus. Der Dienstleister hatte die Herausgabe seiner Gehaltsabrechnungen von Uniqlo verlangt. Unglücklicherweise hatte er daraufhin nicht nur seine Gehaltsabrechnungen erhalten, sondern zusätzlich auch die von 446 anderen Personen. Natürlich wurde damit eine Vielzahl von vertraulichen Informationen unbefugt offengelegt. Nach Ansicht der Aufsichtsbehörde war dies auf mangelnde technische und organisatorische Maßnahmen hinsichtlich der internen Prozesse in der Personalabteilung bei Uniqlo zurückzuführen.
Das Bußgeld wurde zunächst auf 450.000 Euro festgesetzt. Nach einem „Schuldeingeständnis“ durch Uniqlo einschließlich der kurzfristigen Umsetzung diverser organisatorischer Maßnahmen sowie einer freiwilligen Zahlung hat die Aufsichtsbehörde das Bußgeld auf 270.000 Euro herabgesetzt.
Behörde: Agencia Española Protección Datos (AEPD)
Branche: Einzelhandel
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 DSGVO
Bußgeld: 270.000 Euro
Auch dieser Fall zeigt, dass geeignete technische und organisatorische Maßnahmen praktisch unverzichtbar in der Datenschutzwelt sind. Während technische Maßnahmen in aller Regel den „IT-lastigen“ Teil betreffen, geht es bei organisatorischen Maßnahmen um die Umsetzung an sich, also um Arbeitsanweisungen und Zuständigkeiten, aber auch Maßnahmen zur Sensibilisierung der Beschäftigten. Im Optimalfall werden die entsprechenden Grundlagen gleich beim Onboarding neuer Mitarbeiter gelegt. Dies verringert die Gefahr von schwerwiegenden Datenschutz-Verletzungen. Wenn Personaldaten im Spiel sind, handelt es sich fast immer um einen meldepflichtigen Vorfall.