Top 5 DSGVO-Bußgelder im Februar 2023

News

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Februar 2023.

Inkassounternehmen nutzt Anlegerdaten zur Eigenwerbung

Ein Inkassounternehmen erfuhr von einem Mitarbeiter eines insolventen Unternehmens, personenbezogene Daten von Anlegern. Daraufhin kontaktierte das Inkassounternehmen diese, um anzubieten, Ansprüche der Anleger gegen das Unternehmen durchzusetzen. Die zuständige Baden-Württembergische Datenschutzbehörde stellte fest, dass diese Verarbeitung rechtgrundlos erfolgte. Auch versäumte das Inkassounternehmen den Betroffenen notwendige Informationen über die Herkunft ihrer Daten zur Verfügung zu stellen.

Behörde: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Branche: Inkassounternehmen
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 14 Abs. 1,2 DSGVO
Bußgeld: 3.500 Euro

Ein anschauliches Beispiel für die Zweckbindung bei der Verarbeitung von personenbezogenen Daten. Personenbezogene Daten, die Unternehmen im Rahmen ihrer Tätigkeit verarbeiten, sollten nur zu dem jeweiligen Zweck verarbeitet werden. Jedwede Zweckänderung, wie hier die Kundenwerbung, führt zu einer Rechtswidrigen Datenverarbeitung. Sollte die Datenerhebung nicht bei den Betroffenen selbst erfolgen, ist nach Art. 14 DSGVO der Betroffene über die Verarbeitung zu unterrichten.

Zustimmungsfreie aggressive Werbemaßnahmen

Die italienische Datenschutzbehörde reagierte auf eine Vielzahl von Beschwerden italienischer Bürger. Die Behörde stellte nach Nachforschungen fest, dass ein Energieunternehmen umfangreich Privatpersonen kontaktiert hatte, ohne sich die erforderliche Zustimmung hierzu zu holen. Auch reagierte das Unternehmen nachweislich nicht auf Aufforderungen Telefonwerbung zu unterlassen. Auch war es Kunden nicht möglich eine Einwilligung für verschiedene Zwecke der Datenverarbeitung auszuwählen. Der Verstoß gegen all diese grundlegenden datenschutzrechtlichen Vorgaben führte zu einem Empfindlichen Bußgeld in Höhe von ursprünglich 4,9 Millionen Euro. Dieses reduzierte sich auf 2,45 Millionen Euro, nachdem das Unternehmen sein Recht auf Streitbeilegung wahrnahm.

Behörde: Garante per la protezione dei dati personali (Italien)
Branche: Energiewirtschaft
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art 6 Abs. 1 DSGVO, Art 7 DSGVO
Bußgeld: 2.450.000 Euro

Hier wurde fast alles falsch gemacht, was im Umgang mit Kundendaten falsch gemacht werden kann, sodass ein Bußgeld in solch empfindlicher Höhe angemessen erscheint. Unternehmen müssen bereits bei Erhebung von Personenbezogenen Kundendaten genau die jeweiligen Verarbeitungsprozesse darstellen hinweisen und auch in transparenter Art und Weise auf die Zwecke der Datenverarbeitungen hinweisen. Tun sie das nicht, kann ein Kunde nicht ordnungsgemäß in die Datenverarbeitungen Einwilligen, sodass eine rechtsgrundlose Datenverarbeitung droht.

Unrechtmäßige Einsicht in Grundbuch

Ein Notar in Spanien erlangte Einsicht in Grundbucheinträge, ohne dass hierfür eine Anordnung zu Einsichtnahme vorlag. Die Betroffenen willigten zudem nicht in die Datenverarbeitung ein. Die spanische Aufsichtsbehörde ging davon aus, dass hier eine unrechtmäßige Verarbeitung vorlag, da für die Einsichtnahme keinerlei Anlass bestand. Weder die Betroffenen willigten in die Einsichtnahme ein, noch bestand eine rechtliche oder vertragliche Grundlage.

Behörde: Agencia española protección datos (Spanien)
Branche: Notar
Verstoß: Art 6 Abs. 1, 5 DSGVO
Bußgeld: 8.000 Euro

Im Rahmen der Notarischen Tätigkeit scheint die Einsicht in Grundbücher als absolutes Standardprozedere. Hier muss jedoch ebenfalls auf den Datenschutz geachtet werden. Die Einsicht in Grundbücher ist nur aufgrund einer Rechtsgrundlage zulässig. Idealerweise holt man sich hier die Einwilligung der jeweiligen Grundbesitzer.

Anwesenheitskontrollen mittels Videoüberwachung und biometrischen Daten

Eine italienische Behörde führte Anwesenheitskontrollen ihrer Mitarbeiter durch. So weit so gut. Jedoch wurde hier nicht die klassische Stechuhr genutzt, sondern eine Erfassung der Mitarbeiter per Videoüberwachung. Hinzu kommt, dass das zum Einsatz gebrachte Programm zur Anwesenheitskontrolle biometrische Daten der Mitarbeiter erfasste, um die Anwesenheiten zu kontrollieren. Mehr Datenverarbeitung geht in diesem Bereich kaum. Die italienische Datenschutzbehörde kam zu dem nachvollziehbaren Schluss, dass hier die Datenverarbeitung in solcher Intensität nicht erforderlich war.

Behörde: Garante per la protezione dei dati personali (Italien)
Branche: Behörde
Verstoß: Art 5 DSGVO, Art 9 DSGVO
Bußgeld: 5.000 Euro

Bei der Verarbeitung personenbezogener Daten ist immer der Grundsatz der Datenminimierung gemäß Art. 5 DSGVO zu beachten. Eine Datenverarbeitung zu einem bestimmten Zweckt, hier Anwesenheitskontrolle, muss immer auch erforderlich sein. Erforderlichkeit liegt vor, wenn der Zweck der Datenverarbeitung nicht auch mit milderen Mitteln, also einer weniger eingreifenden Datenverarbeitung, erreichbar ist. Hier war die Erforderlichkeit der Videoüberwachung inklusive Biometrie offensichtlich nicht erforderlich. Hinzu kommt, dass biometrische Daten eine sogenannte besondere Kategorie personenbezogener Daten gemäß Art. 9 DSGVO darstellt. An eine Verarbeitung solcher Daten stellt die DSGVO nochmals höhere Anforderungen.

Zu weitgehende Erteilung von Berechtigungen

Ein Unternehmen aus Rumänien erteilte seinen Beschäftigten zu weitreichenden Berechtigungen, die unter Anderem Zugriffe auf Bewerberdaten zuließen. Die Zugriffsberechtigungen wurden so umfangreich erteilt, dass Unbefugte Zugriff zu Daten hat und diese löschen konnten. Die Unbefugten hatten Zugriff auf Hobbies, Abschlüsse, Familienstand usw.

Behörde: Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Rumänien)
Branche: Medienunternehmen
Verstoß: Art. 32 Abs. 1 lit. b DSGVO, Art. 32 Abs. 2 DSGVO
Bußgeld: 5.000 Euro

Auch dieser Bereich des Datenschutzes ist nicht zu unterschätzen: die technischen und organisatorischen Maßnahmen kurz TOM. Unternehmen müssen im Rahmen ihrer Verarbeitungstätigkeiten darauf achten geeignete technische und organisatorische Vorkehrungen zu treffen, um die Datenverarbeitungen vor Zugriff unbefugter oder Veröffentlichung zu schützen. Vor allem im Bereich der Zugriffserteilung gilt besondere Vorsicht. Wenn Mitarbeiter verschiedene Abteilungen im Unternehmen durchlaufen und unterschiedliche Berechtigungen erhalten, muss darauf geachtet werden, dass die „alten“ Berechtigungen wieder entzogen werden. Anderenfalls droht, dass sich bei Mitarbeitern Zugangsberechtigungen häufen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.