Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Februar 2022.
Der Inhalt im Überblick
Datenschutzverstöße beim „Transparency & Consent Framework“ (TCF)
Aufgrund von mehreren Beschwerden entschied sich die belgische Datenschutzbehörde zu einer Überprüfung von IAB Europe (Interactive Advertising Bureau Europe). Die Beschwerden bezogen sich auf das „Transparency & Consent Framework“ (TCF) des Wirtschaftsverbandes. TCF ist ein von IAB Europe entwickelter Mechanismus, der beim Real-Time-Bidding (RTB) relevant wird. Werbetreibende haben die Möglichkeit, automatisiert und nach zuvor festgelegten Regeln auf bestimmte Werbeflächen zu bieten und diese zu erwerben. Um Werbung bei bestimmten Zielgruppen möglichst gewinnbringend platzieren zu können, werden Nutzerprofile erstellt. TCF erleichtert in diesem Zusammenhang die Verwaltung von Nutzerinteressen. Die Datenschutzbehörde kam zu dem Schluss, dass für Daten Verarbeitungen im Rahmen von TCF keine Rechtsgrundlage vorlag. Bei dem Verstoß blieb es jedoch nicht. Die Behörde kritisierte unter anderem auch, dass kein Verzeichnis seiner Verarbeitungstätigkeiten vorlag, die Durchführung einer Datenschutzfolgeabschätzung nicht erfolgte und die Ernennung eines Datenschutzbeauftragten ausblieb.
Behörde: Autorité de protection de données (Belgien)
Branche: Wirtschaftsverband der Onlinewerbebranche
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 5 Abs. 2 DSGVO, Art. 6 Abs. 1 DSGVO, Art. 9 Abs. 1 und 2 DSGVO, Art. 12 Abs. 1 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO, Art. 24 Abs. 1 DSGVO, Art. 30 DSGVO, Art. 31 DSGVO, Art. 32 Abs. 1 und 2 DSGVO, Art. 37 DSGVO
Bußgeld: 250.000 Euro
Anbieter von personalisierter Werbung greifen fast ausnahmslos auf das RTB Prinzip zurück und halten sich im Bereich der Online-Werbung häufig nicht so streng an datenschutzrechtliche Vorgaben. Selbst große Tech-Konzerne wie Amazon verzichten nicht auf Real-Time-Bidding. Das durch die belgische Aufsichtsbehörde verhängte Bußgeld macht jedoch Hoffnung und zeigt, dass die Datenschutzbehörden die Datenverarbeitung im Bereich der personalisierten Werbung durchaus auf dem Schirm haben. Im vorliegenden Fall wird außerdem deutlich, dass mehrere datenschutzrechtliche Verstöße Bußgelder schnell in die Höhe treiben können. Durch eine kompetente datenschutzrechtliche Beratung hätte ein derart hohes Bußgeld definitiv verhindert werden können!
Werbekampagne mit veralteten Kontaktdaten
Der Hörakustik Anbieter Progetto Udire S.r.l. versandte im Auftrag eines Partnerunternehmens Werbung an eine Vielzahl von Personen. Da die Listen veraltetet waren, erhielten auch Personen Werbung, die auf den aktuellen Listen nicht mehr zu finden waren. Einer der Betroffenen reichte aus diesem Grund eine Beschwerde bei der italienischen Aufsichtsbehörde ein. Die Behörde nahm das Unternehmen daraufhin genau unter die Lupe und stellte neben der Unrechtmäßigkeit der Datenverarbeitung noch weitere datenschutzrechtliche Verstöße fest. Da die Werbebriefe keine Informationen über die Verarbeitung der Daten des Betroffenen enthielten und Progetto Udire S.r.l. nicht auf eine diesbezügliche Auskunftsanfrage des Beschwerdeführers reagierte, verletzte das Unternehmen auch seine Informationspflicht. Zudem kritisierte die zuständige Behörde den Auftragsverarbeitungsvertrag zwischen Progetto Udire S.r.l. und dem Partnerunternehmen. Sie war der Meinung, dass Zuständigkeiten der Vertragsparteien nicht ordnungsgemäß geregelt worden seien.
Behörde: Garante per la protezione dei dati personali (Italien)
Branche: Hörakustik Anbieter
Verstoß: Art. 5 Abs. 2 DSGVO, Art. 6 Abs. 1 lit. a DSGVO, Art. 12 DSGVO, Art. 14 DSGVO, Art. 15 DSGVO, Art. 24 DSGVO, Art. 28 DSGVO
Bußgeld: 30.000 Euro
Datenpanne bei Gesundheitsunternehmen
Das italienische Gesundheitsunternehmen Azienda socio sanitaria territoriale Nord di Milano (ASST) verwendete auf seiner Webseite zur Buchung von Coronatests das unsichere http-Netzprotokoll anstatt die verschlüsselte Verbindung über https. Auch der Server entsprach nicht den gängigen Sicherheitsstandards. So war es möglich, Listen der Personen einzusehen, die sich zur Grippeimpfung für die 2020/21-Saision angemeldet hatten. Dritte konnten jedoch nicht nur die Namen von Betroffenen einsehen, sondern auch auf Steuer- und Telefonnummern sowie den Ort der Impfung zugreifen. Die italienische Behörde verhängte daraufhin ein Bußgeld i.H.v. 20.000 Euro, weil ASST durch die mangelhaften Sicherheitsstandards seine Pflicht technische und organisatorische Maßnahmen (TOMs) zu implementieren verletzte. Die Behörde betonte, dass ASST durch sein Verhalten die Schutzziele der Integrität und Vertraulichkeit verletzt habe. Da ASST die Datenpanne nicht meldete, verstieß es zusätzlich gegen seine Meldepflicht aus Art. 33 DSGVO.
Behörde: Garante per la protezione dei dati personali (Italien)
Branche: Gesundheitswesen
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 25 DSGVO, Art. 32 DSGVO, Art. 33 DSGVO
Bußgeld: 20.000 Euro
Dieser Fall macht deutlich, wie wichtig es ist, ausreichende TOMs nach Art. 32 DSGVO zu implementieren. Verantwortliche können sich so eine Menge Ärger ersparen, denn wer angemessene TOMs etabliert, spart sich nicht nur das Bußgeld, sondern kann auch das Risiko von Datenschutzvorfällen minimieren! Bei der Auswahl von entsprechenden Maßnahmen bietet die DSGVO eine Vielzahl von Möglichkeiten. Allerdings sollte man die Auswahl der Maßnahmen stets vom konkreten Einzelfall abhängig machen. Wenn es um die besonders schützenswerten Gesundheitsdaten geht, ist ein zusätzliches Maß an Achtsamkeit gefragt. Die wesentlichen Grundsätze der IT-Sicherheit Vertraulichkeit, Integrität und Verfügbarkeit sollten bei besonderen Kategorien personenbezogenen Daten aus Art. 9 DSGVO besonders gewissenhaft im Auge behalten werden.
Medienunternehmen kommt Auskunfts- und Löschanfragen nicht nach
Das niederländische Medienunternehmen DPG Media Magazines B.V. bearbeitete Auskunfts- und Löschanfragen von Kunden nur, wenn eine Kopie des Personalausweises hochgeladen oder postalisch an das Unternehmen gesendet wurde. Betroffene Personen wie zum Beispiel Abonnenten von Zeitschriften und Empfänger von Werbung, wurden jedoch nicht darüber aufgeklärt, dass Sie Daten, die nicht dem Identitätsnachweis dienen, unkenntlich machen können. Aufgrund dieser Praxis gingen bei der niederländischen Aufsichtsbehörde zahlreiche Beschwerden von Betroffenen ein. Die Behörde reagierte prompt und verhängte ein Bußgeld in Höhe von 525.000 Euro.
Behörde: Autoriteit Persoonsgegevens (Niederlande)
Branche: Medien
Verstoß: Art. 12 Abs. 2 DSGVO
Bußgeld: 525.000 Euro
Beim Thema Betroffenenrechte verstehen die Aufsichtsbehörden keinen Spaß. Die Rechte aus Art. 12 ff. DSGVO sollen betroffenen Personen als Steuerungs- und Kontrollelement bei der Verarbeitung ihrer Daten durch Dritte dienen. Bei der Verarbeitung von Anfragen müssen Verantwortliche besondere Vorgaben einhalten. Auf eine Überprüfung der Identität des Betroffenen kann das verantwortliche Unternehmen aber im Zweifelsfall durchaus bestehen. Wenn allerdings eine Kopie des Personalausweises angefordert wird, müssen irrelevante personenbezogene Daten unbedingt unkenntlich gemacht werden. Das geht aus dem Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO hervor. Alternative Identifikationsmöglichkeiten bieten weniger Risiken. Zum Beispiel können Betroffene nach ihrem Geburtsdatum und ihrer Anschrift gefragt werden. Außerdem kommt eine Identifizierung über ein Nutzerkonto in Betracht.
Aufzeichnung und Veröffentlichung einer Zoom-Videokonferenz
Der spanische Fußballverband REAL FEDERACION ESPAÑOLA DE FUTBOL (RFEF) veranstaltete im April 2020 eine Zoomkonferenz mit anderen Sportorganisationen. RFEF zeichnete die Videokonferenz, ohne dass die Teilnehmer davon Kenntnis hatten, auf. Eine Zustimmung der Konferenzteilnehmer fehlte dementsprechend. Anschließend gab der spanische Fußballverband die Mitschnitte an zwei Radiosender weiter. Die Betroffenen wurden allerdings weiterhin nicht über die Vorgänge informiert. Erst durch die Ausstrahlung erfuhren die Sportorganisationen von der Aufzeichnung und Veröffentlichung der Videokonferenz und legten eine Beschwerde bei der spanischen Datenschutzbehörde ein. Die Datenschutzbehörde untersuchte den Vorgang und stellte neben der Unrechtmäßigkeit der Einwilligung eine Verletzung der Informationspflichten fest.
Behörde: Agencia española protección datos (Spanien)
Branche: Fußballverband
Verstoß: Art. 6 Abs.1 DSGVO und 13 DSGVO
Bußgeld: 200.000 Euro
Wer Videokonferenz-Tools nutzt, sollte für eine datenschutzkonforme Nutzung sorgen. Eine Aufzeichnung der Konferenz ist nur rechtmäßig, wenn man sie auf eine Rechtsgrundlage stützen kann. In der Regel muss eine Einwilligung der Betroffenen eingeholt werden. Im vorliegenden Fall ist RFEF sogar noch einen Schritt weitergegangen und hat die Mitschnitte ohne Einwilligung der betroffenen Sportorganisationen an Radiosender weitergereicht. Eine Übermittlung von Daten an Dritte muss ebenfalls auf eine Rechtsgrundlage gestützt werden. Hier zeigt der RFEF also anschaulich, wie man es nicht machen sollte!
