Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Dezember 2024.
Der Inhalt im Überblick
Verstöße gegen wesentliche Grundsätze der Datenverarbeitung
Der Dezember bescherte OpenAI zum Ende des Jahres noch ein erstes Bußgeld in Höhe von 15 Millionen Euro wegen gleich mehrerer Verstöße gegen die DSGVO beim Betrieb des Chatbots ChatGPT. Die italienische Behörde leitete das Verfahren nach Bekanntwerden einer Datenschutzverletzung ein, die nicht binnen 72 Stunden gemeldet wurde. Im Laufe der Ermittlungen stellte die Behörde weitere Verstöße gegen die Grundsätze der Rechtmäßigkeit, Transparenz und Richtigkeit fest. Nach Auffassung der Behörde versäumte es OpenAI u. a. vor Inbetriebnahme von ChatGPT eine Rechtsgrundlage für die Datenverarbeitung zu Trainingszwecken festzulegen. Die Datenschutzerklärung war zudem unzureichend. Insbesondere konnte OpenAI nicht überzeugend darlegen, wie Betroffene, die den Dienst nicht selbst nutzen, über eine Datenverarbeitung informiert werden. Das anfängliche Fehlen einer Altersverifikation und das nicht ausreichende Umsetzen einer Anordnung nach Art. 58 DSGVO schlug ebenfalls zu Buche.
Behörde: Il Garante per la protezione dei dati personali (Italien)
Branche: Technologieunternehmen
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 5 Abs. 2 DSGVO, Art. 6 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 24 DSGVO, Art. 25 Abs. 1 DSGVO, Art. 33 DSGVO, Art. 83 Abs. 5 lit. e DSGVO
Bußgeld: 15 Mio. Euro und Anordnung einer sechsmonatigen Informationskampagne
Die italienische Aufsichtsbehörde befasst sich im Bußgeldbeschluss mit einer Vielzahl datenschutzrechtlicher Fragen im Zusammenhang mit der Datenverarbeitung bei LLM-Modellen. Die Ausführungen zu den Transparenzanforderungen in der Datenschutzerklärung sind zunächst allgemeiner Natur und wenig überraschend. Spannender ist der Part, in dem die Behörde die von OpenAI veröffentlichten Info-Materialien (Pop-Ups, Artikel im Hilfecenter und im Internet veröffentlichte Forschungsberichte) im Lichte der Informationspflicht nach Art. 12 bzw. Art.13 DSGVO bewertet und für nicht ausreichend hält. (Noch) nicht eingeflossen in das Bußgeld ist die Frage, ob das berechtigte Interesse grundsätzlich als Rechtsgrundlage für die Datenverarbeitung zu Trainingszwecken geeignet ist und wie die Problematik des Halluzinierens als Verstoß gegen den Grundsatz der Richtigkeit einzuordnen ist. Hier hat die Behörde laufende Verstöße gegen die DSGVO festgestellt und diese daher an die mittlerweile zuständige irische Aufsichtsbehörde übergeben.
Lückenhafte Datenschutzhinweise bei Netflix
Machen wir weiter mit dem nächsten Verstoß gegen das Transparenzgebot, nun verursacht durch einen allseits bekannten Streaminganbieter. Nach Auffassung der niederländischen Aufsichtsbehörde hat Netflix im Zeitraum zwischen 2018 und 2020 nicht umfassend und übersichtlich über die Datenverarbeitung im Zusammenhang mit der Nutzung des Streamingdienstes informiert. Auch Auskunftsersuche sind nicht ausführlich genug beantwortet worden. Die Behörde beanstandet, dass in der Datenschutzerklärung und im Auskunftsersuchen Rechtsgrundlagen und Zwecke der Verarbeitung sowie Empfänger von Daten und Speicherfristen nur pauschal angegeben wurden. Ebenfalls fehlte es an der Nennung geeigneter Garantien für den Drittlandstransfer.
Behörde: Autoriteit Persoonsgegevens (Niederlande)
Branche: Streamingdienste
Verstoß: Art. 5 Abs. 1 li.a DSGVO, Art. 12 DSGVO, Art. 13 DSGVO und Art. 15 DSGVO
Bußgeld: 4.750.000 Euro
Das Verfahren beruht auf einer bereits vor fünf Jahren eingereichten Beschwerde der österreichischen Organisation noyb. noyb begrüßt in einer Pressemitteilung grundsätzlich die Entscheidung der Behörde, bemängelt allerdings die lange Verfahrensdauer für einen „sehr simplen Fall“. Netflix steht dabei nicht allein dar. Schon bei der Lektüre der allein in diesem Artikel besprochenen Bußgeldbeschlüsse fällt auf, dass nahezu alle Beteiligten in Hinblick auf die Informationspflichten vermeidbare „Anfängerfehler“ begangen haben, z. B. das Bereitstellen nur in englischer Sprache oder Mängel bei der Auffindbarkeit der Informationen auf der Webseite.
Sicherheitslücke bei Facebook führt zu Zugriff auf Nutzerdaten
Zum zweiten Mal im Jahr 2024 wird Meta zur Kasse gebeten. Auslöser war eine Sicherheitslücke bei der „View-As“ Funktion von Facebook aus dem Jahr 2017. Die Funktion sollte es Nutzern ermöglichen, die eigene Facebookseite als Video zu sehen. Bei Verwendung der Video-Upload-Funktion wurden Zugangstoken erstellt, die die Nutzer als berechtige Person identifizierten. Durch die Sicherheitslücke konnten sich auch unbefugte Dritte diese Zugangstoken erstellen und sich damit Zugriff auf die Facebook Profile von 3,3 Mio. Nutzern in der EU/im EWR verschaffen. Die irische Aufsichtsbehörde stellte hier einen Verstoß gegen den Grundsatz Datenschutz durch Technikgestaltung fest. Ein geringerer Teil des Bußgelds fiel darauf an, dass Meta bei der Meldung nach Art. 33 DSGVO formale Fehler begangen hat.
Behörde: An Coimisiún um Chosaint Sonraí (Irland)
Branche: Soziale Netzwerke
Verstoß: Art. 25 Abs. 1 und Abs. 2 DSGVO, Art. 33 Abs. 3 und Abs. 5 DSGVO
Bußgeld: 251 Mio. Euro
Durch die Sicherheitslücke konnten Angreifer auch auf sensible personenbezogene Daten, wie Informationen über religiöse oder politische Überzeugungen oder die sexuelle Orientierung, zugreifen. Das Datenleck hebt die Bedeutung von Art. 25 DSGVO hervor und zeigt auf, dass Datenschutzanforderungen im gesamten Design- und Entwicklungsprozess zu beachten sind.
Rechtswidrige Erfassung von Kontaktdaten aus LinkedIn Profilen
Die CNIL hat gegen das Unternehmen KASPR ein Bußgeld in Höhe von 240.000 Euro erlassen, nachdem sich mehrere Privatpersonen über die Praktiken des Unternehmens beschwert hatten. KASPR stellt Unternehmen beruflichen Kontaktdaten zur Verfügung, die u. a. aus LinkedIn Profilen stammten. Dabei hatten betroffene LinkedIn Nutzer teilweise die Sichtbarkeit ihrer Kontaktdaten eingeschränkt. Das Unternehmen stützte sich trotz eingeschränkter Sichtbarkeit auf das berechtigte Interesse und verzichtete auf das Einholen einer Einwilligung. Die CNIL erkannte zwar grundsätzlich ein berechtigtes Interesse an, gewichtete aber das Interesse der Betroffenen an der Achtung der gewählten Privatsphäre-Einstellung höher. Als weiterer Verstoß kam hinzu, dass auch hier die Informationspflichten nicht hinreichend erfüllt waren.
Behörde: Commission Nationale de l’Informatique et des Libertés (Frankreich)
Branche: Dienstleistungen
Verstoß: Art. 6 DSGVO, Art. 5 Abs. 1 lit. e DSGVO, Art. 14 DSGVO, Art. 15 DSGVO
Bußgeld: 240.000 Euro
Grundsätzlich gilt: Auch Daten aus berufsbezogenen Netzwerken gelten nicht zwingend als öffentlich zugängliche Daten. Auch hier sind die von Nutzern getroffene Einstellungen zu berücksichtigen und in die Interessensabwägung mit einzubeziehen.
Unzulässige Videoüberwachung
Zum Abschluss noch ein Blick nach Schweden. Hier hat die Behörde ein Bußgeld gegen ein Vermietungsunternehmen wegen unzulässiger Videoüberwachung eines Mehrfamilienhauses und – auch hier wieder – mangelhafte Erfüllung der Informationspflichten verhängt. Das Unternehmen hatte mehrere Kameras installiert, u. a. im Treppenhaus, Eingangsbereich, in Fluren, im Keller und in Wasch- und Betriebsräumen sowie in der Garage. Den Bewohnern war es kaum möglich gewesen, der Bewachung zu entgehen. Entgegen der Auffassung der Wohnungsvermietung konnte die Videoüberwachung zum Großteil nicht auf das berechtigte Interesse gestützt werden.
Behörde: Integritetsskydds myndigheten (Schweden)
Branche: Vermietung
Verstoß: Art. 6 DSGVO, Art. 13 DSGVO
Bußgeld: 17.366 Euro
Auch bei Miets- und Wohnhäusern kann es Fälle geben, beispielsweise Vandalismus oder andere Straftaten in Zusammenhang mit dem Mietobjekt, bei denen Videoüberwachung in einem bestimmten Maße zulässig sein kann. In jedem Fall hat der Verantwortliche eine ausführliche Interessenabwägung durchzuführen, bei der das Interesse der Mieter an der Wahrung ihrer Privatsphäre ausreichend berücksichtigt wird.