Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Februar 2021.
Der Inhalt im Überblick
Unzureichender Schutz von Patientenakten
Die niederländische Datenschutzbehörde (Autoriteit Persoonsgegevens) gab bekannt, ein Bußgeld in Höhe von 440.000 Euro gegen das Amsterdamer Krankenhaus OLVG zu verhängen, da keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen worden seien, um den Zugriff auf Krankenakten durch unbefugtes Personal zu verhindern. Den Mitarbeitern des Krankenhauses war es zwischen 2018 und 2020 möglich, ohne große Schwierigkeiten die Patientenakten einzusehen, die neben den Krankengeschichten der Patienten auch die Sozialversicherungsnummern sowie Kontakt- und Adressdaten enthielten. Außerhalb des Krankenhauses konnten die Mitarbeiter mithilfe einer 2-Faktor-Authentifizierung die Akte einsehen, innerhalb des Krankenhauses reichte jedoch ein einfacher Login aus. Zudem wurden die Zugriffe auf die Patientenakten zwar dokumentiert, jedoch nicht mehr auf unautorisierte Zugriffe hin überprüft.
Behörde: Autoriteit Persoonsgegevens (Niederlande)
Branche: Krankenhaus
Verstoß: Art. 32 DSGVO
Bußgeld: 440.000 Euro
Datenlecks im Gesundheitswesen sind kein Einzelphänomen. So deckte auch ein YouTuber im vergangenen Jahr in einem nicht mehr genutzten Krankenhaus tausende frei zugängliche Krankenhausakten auf. Wie mit den vermeintlich sensiblen Daten mitunter umgegangen wird, ist erschreckend. Demnach ist es umso wichtiger, dass Unternehmen ihre technischen und organisatorischen Maßnahmen regelmäßig überprüfen, wenn Gesundheitsdaten im Spiel sind. Ob sich das datenschutzrechtliche Problem mit der elektronischen Patientenakte noch weiter ausbreiten wird, bleibt abzuwarten.
Unzulässige Verwendung einer Gesichtserkennungs-App
Die schwedische Datenschutzaufsichtsbehörde IMY leitete Untersuchungen gegen die schwedische Polizeibehörde ein, nachdem bekannt wurde, dass einige Mitarbeiter die Software ClearView AI zur Gesichtserkennung einsetzten. Nach Angaben der Polizei sei die App ohne eine vorherige Autorisierung verwendet und den Mitarbeitern auch nicht zur Verfügung gestellt worden. Die Aufsichtsbehörde stellte fest, dass die Polizeibehörde ihrer Rolle als Verantwortliche nicht nachgekommen ist. Die Verarbeitung biometrischer Daten durch ClearView AI wurde nicht im Einklang mit dem schwedischen Criminal Data Act durchgeführt. Darüber hinaus konnte die Polizeibehörde keine geeigneten organisatorischen Maßnahmen präsentieren, die eine rechtmäßige Datenverarbeitung hätten gewährleisten können. Schlussendlich wurde ebenfalls nicht die erforderliche Datenschutz-Folgenabschätzung durchgeführt.
Behörde: IMY (Schweden)
Branche: Polizei
Verstoß: 2 kap. 12 §, 3 kap. 2 § und 7 § Brottsdatalag (2018:11777)
Bußgeld: 250.000 Euro
Das US-amerikanische Unternehmen ClearView AI hat bereits mehrfach für Schlagzeilen gesorgt wegen seiner weitreichenden Missbrauchsmöglichkeiten. Besonders im Rahmen der Strafverfolgung könnte der Einsatz einer solchen Software rassistische Praktiken (Racial Profiling) unterstützen und einer Massenüberwachung gleichkommen. Als die Polizei Hamburg eine Gesichtserkennungssoftware nutzen wollte, um G20-Straftäter ausfindig zu machen, sah der Hamburgische Datenschutzbeauftragte den Datenschutz gefährdet und schritt ein. Auch das polnische Start-up PimEyes bereitete der Datenschutzwelt Sorgen und stellte Risiken und Nebenwirkungen in Aussicht. Von einem DSGVO-konformen Einsatz von Gesichtserkennungs-Apps sind wir wohl noch weit entfernt.
Unerlaubte Werbeanrufe
Die Bundesnetzagentur verhängte gegen das Call-Center KiKxxl GmbH ein Bußgeld in Höhe von 260.000 Euro. Nach Prüfung der Behörde hatte das Call-Center im Auftrag verschiedener einflussreicher Unternehmen aus der Telekommunikations-, Energie- und Versicherungsbranche unerlaubte Werbeanrufe durchgeführt. Dabei lag in vielen Fällen keine oder keine wirksame Einwilligung der kontaktierten Personen vor. Insbesondere stellte die Bundesnetzagentur fest, dass KiKxxl das Vorliegen einer wirksamen Werbeeinwilligung nicht oder nicht ausreichend geprüft hat. Somit führe das Unternehmen seine Werbetätigkeit auf Grundlage veralteter, fehlerhafter oder nicht authentischer Einwilligungen fort. Dies beendete das Unternehmen auch nicht nach zahlreichen Beschwerden von Verbrauchern, die der Werbung widersprachen und diese als massive Belästigung empfanden. Der Bußgeldbescheid ist noch nicht rechtskräftig. Die KiKxxl GmbH legte bereits Einspruch gegen die Entscheidung der Bundesnetzagentur ein.
Behörde: Bundesnetzagentur
Branche: Callcenter
Verstoß: § 7 Abs. 2 Nr. 2 und 3 UWG
Bußgeld: 260.000 Euro
Datenschutz und Werbung. Diese beiden Themen scheinen sich nicht vertragen zu können. Insbesondere im Rahmen der Telefonwerbung herrscht Unsicherheit und die Bußgelder gegen Callcenter und ihre Kunden scheinen nicht abzunehmen. In einem Beitrag berichteten wir bereits, wie sie dennoch personenbezogene Daten für Werbezwecke datenschutzkonform verarbeiten können.
Keine Wahrnehmung der Rechte eines Betroffenen
Die spanische Datenschutzaufsichtsbehörde verhängte gegen den Energieversorger Iberdrola Clientes, S.A.U. ein Bußgeld in Höhe von 100.000 Euro, da dieser über einen Zeitraum mehrerer Monate der wiederholten Aufforderungen eines Betroffenen nicht nachkam, dessen Daten zu berichtigen bzw. zu löschen. Der Betroffene war Kunde des Energieversorgers, kündigte aufgrund eines Umzugs jedoch den bestehenden Vertrag. Der Beklagte sendete dem Betroffenen ausstehende Rechnungen an die alte Adresse, die nicht zugestellt werden konnten. Das Unternehmen hatte es versäumt, die Adresse des Betroffenen zu aktualisieren, meldete aber dennoch die Zahlungsunfähigkeit des Betroffenen einem Finanzinstitut. Der Betroffene beantragte daraufhin die Löschung seiner Altdaten und Berichtigung seiner Kontaktdaten. Iberdrola Clientes verwendete abermals die alte Adresse als Kontaktadresse des Betroffenen und kam dem Löschanspruch mit Verweis auf die offenen Zahlungsbeträge nicht nach, die dem Betroffenen jedoch nie zugestellt werden konnten.
Behörde: AEPD
Branche: Energieversorgung
Verstoß: Art. 5 Abs. 1 lit. d DSGVO, Art. 16 DSGVO, Art. 17 DSGVO
Bußgeld: 100.000 Euro
Es vermag von vielen Unternehmen unterschätzt werden – das Recht auf Berichtigung und der damit verbundene Grundsatz der Richtigkeit von personenbezogenen Daten nach Art. 5 Abs. 1 lit. d DSGVO. Der Fall verdeutlicht, welche weitreichenden Folgen eine Missachtung der Datenänderungen mit sich bringen kann. Umso wichtiger ist es, dass Unternehmen einen entsprechenden Prozess etablieren, um angemessen und rechtzeitig auf ein Auskunftsersuchen, ein Löschbegehren oder einen Antrag auf Berichtigung der Daten reagieren zu können.
Unzulässige Speicherung von Daten
Im Herbst 2019 verhängte die Berliner Datenschutzbeauftragte gegen die Deutsche Wohnen SE das bisher höchste Bußgeld in Deutschland seit Einführung der DSGVO: 14,5 Mio. Euro. Gegenstand des Bußgeldbescheides waren über mehrere Jahre hinweg gespeicherte Daten von ehemaligen Mietern gewesen, die u.a. Informationen zu Sozial- und Krankenversicherungsdaten, Arbeitsverträgen oder Informationen über finanziellen Verhältnisse enthielten und im Archiv des Unternehmens noch immer eingesehen und verarbeitet werden konnten. Die 26. Große Strafkammer des LG Berlin stellte das Verfahren mit Beschluss vom 18. Februar 2021 wegen eines Verfahrenshindernisses ein. Der Bescheid habe keinen Vortrag zu konkreten Tathandlungen eines Organs enthalten, für welche die juristische Person haften soll. Der Bescheid sei somit unwirksam.
Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit
Branche: Immobilienbranche
Verstoß: Art. 5 DSGVO, Art. 25 Abs. 1 DSGVO
Bußgeld: 0 Euro
Kein (Nicht-)Bußgeld war in diesem Monat so überraschend wie die Einstellung des Bußgeldverfahrens gegen die Deutsche Wohnen SE. Wir berichteten bereits im Herbst 2019 über den eklatanten Verstoß der Deutsche Wohnen SE und die fehlende Löschmöglichkeit ihrer eingesetzten Software. Die 26. Große Strafkammer des LG Berlin widerspricht mit dem Beschluss der Auffassung der deutschen Datenschutzaufsichtsbehörden und der des LG Bonn. Mit dem Verfahren gegen die 1&1 Telecom GmbH wurde zwar das Bußgeld von 9,55 Mio. Euro auf 900.000 Euro gekürzt, die Wirksamkeit des Bußgeldbescheides von dem LG Bonn aber dennoch nicht angezweifelt. Das LG Bonn und die Datenschutzbehörden nahmen dabei eine europarechtliche Auslegung an. Treten Sie dennoch lieber nicht in die Fußstapfen der Deutsche Wohnen SE und lernen Sie rechtzeitig, wie die Hürden eines Löschkonzepts zu meistern sind.
Hallo liebe Dr. Datenschützler,
hatte die Datenpanne, die der You Tuber bei seiner Lost Places Tour entdeckt hat, eine datenschutzrechtliche Konsequenz? Hat die zuständige Behörde überhaupt reagiert?
Sonnige Grüße
Bea Burk
Ja, die zuständige Behörde hatte reagiert. Aber der Fall hat keine Konsequenzen, da der ursprüngliche Verantwortliche für die Aufsichtsbehörde aufgrund einer Insolvenz wohl nicht mehr zu „fassen“ war. Der neuen Besitzer des Grundstücks, auf dem die Akten gefunden wurden, wehrte sich erfolgreich vor Gericht gegen eine Anordnung des HmbBfDI, die Krankenakten datenschutzgerecht zu lagern. Dieses sah in der reinen Lagerung von Patientenakten keine Verarbeitung iSd Art. 4 Nr. 2 DSGVO und deshalb auch keine Möglichkeit für den HmbBfDI die Anordnung gegen den neuen Grundstücksbesitzer zu verhängen. Ausführlich können Sie den Fall im aktuellen Tätigkeitsbericht des HmbBfDI auf Seite 111 nachlesen.
Hallo,
der Beschluss des LG Berlins zum Bußgeldbescheid Deutsche Wohnen ist noch nicht rechtskräftig. Staatsanwaltschaft Berlin hat Beschwerde eingelegt.
datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2021/20210303-PM-Deutsche_Wohnen.pdf
Viele Grüße
David Sanne
Sie haben Recht, dies haben wir nicht explizit in dem Beitrag erwähnt, da zu dem Zeitpunkt keine Beschwerde seitens der Staatsanwaltschaft Berlin bekannt war. Vielen Dank für den ergänzenden Hinweis. Wir sind gespannt, welche Auswirkungen dieser Fall für das Spannungsfeld zwischen Ordnungswidrigkeitenrecht und Datenschutzrecht haben wird.