Top 5 DSGVO-Bußgelder im Dezember 2021

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Dezember 2021.

Daten von über 12 Mio. Schuldnern frei zugänglich

SLIMPAY ist ein französischer Zahlungsdienstleister, der für Händler Services für wiederkehrende SEPA-Zahlungen anbietet. Dafür verarbeitet das Unternehmen u. a. personenbezogene Daten der Schuldner seiner Kunden. Im Rahmen eines Forschungsprojektes zur Entwicklung eines Antibetrugsmechanismus hatte SLIMPAY die Daten der Schuldner zu Testzwecken verwendet und auf einem gesonderten Server gespeichert. Da SLIMPAY hier allerdings keinerlei Sicherheitsmaßnahmen ergriffen hatte, blieben die Daten ca. vier Jahre lang frei zugänglich. Das Leck wurde erst im Jahr 2020 durch einen Kunden von SLIMPAY entdeckt. Insgesamt waren mehr als 12 Mio. Schuldner betroffen. Nach Ansicht der französischen Aufsichtsbehörde lag hier eine Verletzung der Pflicht vor, ausreichende technische und organisatorische Maßnahmen zu treffen. Darüber hinaus hatte SLIMPAY die betroffenen Personen nicht über die Datenpanne informiert. Zudem seien einige Auftragsverarbeitungsverträge mit weiteren Dienstleistern nicht ausreichend im Sinne des Art. 28 DSGVO gewesen.

Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL)
Branche: Zahlungsdienstleister
Verstoß: Art. 28 DSGVO, Art. 32 DSGVO, Art. 34 DSGVO
Bußgeld: 180.000 EUR

Das Bußgeld fällt mit 180.000 EUR angesichts des grob fahrlässigen Umgangs mit sensiblen Daten vergleichsweise gering aus. Der Fall zeigt aber einmal mehr, wie wichtig es ist, ausreichende TOMs nach Art. 32 DSGVO zu implementieren. Dabei bietet die DSGVO eine breite Palette an Maßnahmen, da die Auswahl stets vom konkreten Einzelfall abhängt. Zudem hilft die richtige Auswahl an TOMs, unangenehme Datenschutzvorfälle zu vermeiden. Hier hätte das betroffene Unternehmen zwingend Datensicherungsmaßnahmen ergreifen müssen, um ein angemessenes Schutzniveau zu erreichen. Denn auf eine wohlwollende Betrachtung der Gerichte oder der Aufsichtsbehörden bei der Berechnung von Bußgeldern sollte man sich nicht verlassen.

Verspätete Meldung eines Angriffs auf Gesundheitsdaten

Gegen das Psykoterapiakeskus Vastaamo, eine finnische private Psychotherapieklinik, wurde ein Bußgeld verhängt, weil es einen Hackerangriff verspätet gemeldet hat. Ein Unbefugter hatte sich im Zeitraum Dezember 2018 bis März 2019 mindestens zwei Mal Zugang zur Patientendatenbank verschafft. Aufgrund einer unzureichenden Protokollierung konnte allerdings weder das genaue Datum der Attacken noch die vom Angreifer verwendeten Netzwerkadressen identifiziert werden. Die Ermittlungen der Aufsichtsbehörde hatten ergeben, dass der Server über ein Jahr lang ohne Firewall-Schutz zugänglich war. Hier kam erschwerend hinzu, dass der Bußgeldempfänger bereits seit März 2019 von den Attacken gewusst haben musste, die Meldung allerdings erst im September 2020 erfolgt ist. Bußgeldmildernd hatte sich ausgewirkt, dass die Klinik gut mit der Datenschutzaufsicht kooperiert hat und erkennbar bemüht war, den Schaden für die betroffenen Personen gering zu halten.

Behörde: Tietosuojavaltuutetun toimisto (Finnland)
Branche: Gesundheitswesen
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 33 Abs. 1 DSGVO, Art. 34 Abs. 1 DSGVO
Bußgeld: 608.000 EUR

Die fehlerhafte Verarbeitung von Gesundheitsdaten ist stets heikel, da es sich hierbei um eine besondere Datenkategorie nach Art. 9 DSGVO handelt. Erst kürzlich wurde in Schweden ein Bußgeld wegen der unbefugten Offenlegung von Gesundheitsdaten verhängt. Auch ein italienisches Gesundheitsunternehmen kann ein Lied davon singen. Ok, solch sensible Daten ohne jeglichen Schutz auf dem Server zu speichern, ist wirklich nicht besonders clever. Damit war ein Datenschutzvorfall quasi vorprogrammiert. Natürlich lassen sich solche Pannen nicht immer vermeiden, erst recht nicht bei Angriffen von außen. Bei Hackerangriffen ist das Risikomanagement besonders wichtig. Zumindest aber die rechtzeitige Meldung und die Information der betroffenen Personen sollte man immer im Blick haben.

Fehlerhafte Informationen und unwirksame Einwilligungen bei Datenweitergabe

Die Grindr LLC betreibt eine Dating-App, bei welcher die LGBTQ-Community die Hauptzielgruppe ist. Die norwegische Verbraucherzentrale hatte eine Beschwerde gegen Grindr eingereicht, weil diese nach Ansicht der Verbraucherzentrale personenbezogene Daten, insbesondere Profilinformationen, unrechtmäßig an Dritte zu Werbezwecke weitergegeben habe. Betroffen waren hier auch Angaben zur sexuellen Orientierung der Nutzer. Die Betroffenen konnten die App nur verwenden, wenn sie in die Datenschutzbestimmungen von Grindr eingewilligt hatten. Diese setzten auch die Übermittlung der Daten an Dritte voraus. Eine Möglichkeit dies abzulehnen, gab es nicht, so dass die erteilten Einwilligungen unwirksam waren. Darüber hinaus hatte Grindr die Nutzer nicht ausreichend darüber informiert, welche Daten zu welchem Zweck an Dritte weitergegeben werden sollten. Nach Ansicht der norwegischen Aufsichtsbehörde handelte es sich hierbei um einen relativ schweren Verstoß, da vorliegend besonders sensible Daten intransparent und damit unrechtmäßig verarbeitet worden sind.

Behörde: Datatilsynet (Norwegen)
Branche: Dating-Plattform
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 9 Abs. 1 DSGVO
Bußgeld: 6.397.763 EUR (65.000.000 NOK)

Kommt Ihnen dieser Sachverhalt vielleicht bekannt vor? Wenn ja, liegen Sie richtig. Die Vorgehensweise von Grindr sorgte schon in den vergangenen Jahren für Aufsehen in der Datenschutzwelt. Man munkelte über ein noch höheres Bußgeld. Aber auch so wurde es das bisher höchste Bußgeld, welches die norwegische Aufsicht je verhängt hat. Vor allem beim Verstoß gegen Informationspflichten verstehen Aufsichtsbehörden meist keinen Spaß, da gerade sie doch die Basis für transparente Datenverarbeitung bilden. Bei der Bereitstellung von Websites oder Apps ist einiges zu beachten. Dies gilt vor allem bei der Datenweitergabe an Dritte, oftmals zu Werbezwecken. Hierfür ist in aller Regel eine ausdrückliche Einwilligung notwendig.

Unrechtmäßige Verarbeitung von Daten zur doppelten Staatsbürgerschaft

Bußgeldempfänger war hier das niederländische Finanzministerium, zu dessen Ressort die Steuer- und Sozialhilfeverwaltung (Belastingdienst/Toeslagen, kurz: Toeslagen) gehört. Die Datenschutzaufsicht hatte Ermittlungen aufgenommen, da ihr die Verarbeitung personenbezogener Daten im Zusammenhang mit Kinderbetreuungsgeldanträgen ein Dorn im Auge war. Die Ermittlungen hatten ergeben, dass die Toeslagen unrechtmäßig Daten zur doppelten Staatsangehörigkeit der Antragsteller verarbeitet hatte. Diese Daten hätten bereits im Jahr 2014 nach den Vorgaben des niederländischen Datenschutzgesetzes gelöscht werden müssen. Noch im Jahr 2018 hatte die Toeslagen allerdings Angaben zur doppelten Staatsbürgerschaft von ca. 1.4 Millionen Betroffenen gespeichert. Nach Angaben der Toeslagen sind diese Daten zur Antragsbeurteilung, zur Bekämpfung organisierten Betrugs und zur automatischen Einstufung im Risikosystem der Behörde verwendet worden. Dies habe nach Angaben der Datenschutzaufsicht allerdings gegen geltendes Recht verstoßen, weil die Staatsangehörigkeit insbesondere beim Anspruch auf Kinderbetreuungsgeld keine Rolle spiele. Es komme nur darauf an, ob sich der Antragsteller rechtmäßig in den Niederlanden aufhalte. Die Datenschutzaufsicht sah hier einen gewichtigen Verstoß gegen das Recht auf Nichtdiskriminierung. Dem Ministerium kam bei der Bußgeldbemessung zugute, dass die Behörde bereits 2018 begonnen hatte, die unrechtmäßig erhobenen Daten nicht mehr zu verwenden.

Behörde: Autoriteit Persoonsgegevens
Branche: Behörde (Steuer- und Sozialhilfeverwaltung)
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 6 Abs. 1 lit. e DSGVO, Art. 6 in Verbindung mit Art. 8 Wbp
Bußgeld: 2.750.000 EUR

Das Recht auf Löschung nach Art. 17 DSGVO ist eines der wesentlichen Themen im Datenschutz. Hier kann man als Verantwortlicher schnell in Fettnäpfchen treten. Hiervon kann beispielsweise die Deutsche Wohnen SE aus Berlin ein Liedchen singen, welche ein hohes Bußgeld kassiert hat, weil die eingesetzte Software unzureichend war. Was hierbei zu beachten ist, hat der Bundesdatenschutzbeauftragte in einem Positionspapier dargestellt. Ein gutes Löschkonzept ist auf jeden Fall zu empfehlen. Auch ist wichtig, stets das Zweckbindungsprinzip einzuhalten, da anderenfalls die Rechtmäßigkeit der Verarbeitung schnell in Frage steht.

Interessenkollision eines Abteilungsleiters als Datenschutzbeauftragter

Der Datenschutzbeauftragte einer Bank in Belgien war gleichzeitig Leiter einer Abteilung, in welcher personenbezogene Daten verarbeitet werden. Die belgische Aufsichtsbehörde war der Ansicht, dass dies gegen Art. 38 Abs. 6 DSGVO verstoßen hat, da der Datenschutzbeauftragte seine Aufgaben aus Art. 39 DSGVO so nicht mehr unabhängig erfüllen konnte. Die Doppelrolle des Abteilungsleiters stellt nach Ansicht der Aufsicht eine nicht hinnehmbare Interessenkollision dar. Dagegen wandte die Bank ein, dass der Abteilungsleiter selbst gar keine Daten verarbeite, sondern nur diese beaufsichtige. Diesen Einwand ließ die Behörde nicht gelten, da weiterhin eine Doppelfunktion gegeben sei. Bei der Zumessung des Bußgeldes wurde die Vorhersehbarkeit, Dauer und Vielzahl der datenschutzrechtlichen Verstöße mit einbezogen. Der bemängelte Zustand bei der Bank hatte mehrere Jahre angedauert.

Behörde: Autorité de protection des données
Branche: Bank
Verstoß: Art. 38 Abs. 6 DSGVO
Bußgeld: 75.000 EUR

Die Rolle des Datenschutzbeauftragten steht immer wieder im Fokus. Dessen Aufgaben und Pflichten sind in Art. 39 DSGVO näher beschrieben. Daneben verpflichtet die DSGVO wiederum den Verantwortlichen und den Auftragsverarbeiter, den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben zu unterstützen. Daher ist die Auswahl einer geeigneten Person sehr bedeutend. Dies gilt umso mehr, da der Verantwortliche und der Auftragsverarbeiter sicherstellen müssen, dass kein Interessenkonflikt besteht. Dabei stellt sich stets auch die Frage nach der Haftung des Datenschutzbeauftragten bei Datenschutzverstößen. Da der Datenschutzbeauftragte kein Verantwortlicher ist, kommt dessen Haftung im Regelfall nicht nach Art. 82 DSGVO, sondern nur nach anderen deliktische Vorschriften in Betracht.