Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im Februar 2024

Top 5 DSGVO-Bußgelder im Februar 2024

Artikel von Marc Ruiz García·4. März 2024

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Februar 2024.

Unzureichende technische und organisatorische Maßnahmen

Ein Bankkunde der Caixabank S.A., eine spanische Bank, hatte nach einer Aktualisierung seiner Daten Zugriff auf einen Zahlungsnachweis einer unbekannten Person an eine weitere ihm unbekannte Person erhalten. Darin konnte er die Namen des Senders und des Empfängers, die Wohnadresse, IBAN der Konten sowie Herkunfts- und Zielort der Überweisung sehen. Der Kunde setzte sich daraufhin mit dem Kundendienst der Caixabank S.A. in Kontakt, bekam allerdings von der Bank keine Erklärung für den Datenschutzvorfall, der zu einer Verletzung der Vertraulichkeit der personenbezogenen Daten von zwei Kunden geführt hatte. Aufgrund der mangelhaften Antwort der Bank meldete der Kunde den Vorfall bei der Datenschutzaufsichtsbehörde. Bei der Untersuchung des Sachverhalts stellte die Datenschutzbehörde fest, dass die Bank keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen hatte. Insbesondere gab es keine datenschutzfreundlichen Voreinstellungen der Technik im Sinne von Art. 25 DSGVO. Darüber hinaus bemängelte die Datenschutzaufsichtsbehörde, dass die Bank kein spezifisches Verfahren für die Bearbeitung von Kundenanfragen auf dem Gebiet des Datenschutzes eingerichtet hatte. Die Kundenbeschwerden im Datenschutz wurden im Rahmen eines allgemeinen Verfahrens für die Bearbeitung von Beschwerden in Finanz-, Versicherungs- und Verbraucherangelegenheiten bearbeitet, welches den Datenschutz nicht berücksichtigte. Dies führte zu einem Bußgeld in Höhe von 5.000.000 Euro.

Behörde: Agencia Española de Protección de Datos
Branche: Bankwesen
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 25 DSGVO, Art. 32 DSGVO
Bußgeld: 5.000.000 Euro

Die Entscheidung macht deutlich, dass Verantwortliche im Umgang mit personenbezogenen Daten geeignete technische und organisatorische Maßnahmen treffen müssen, um die Datenschutzgrundsätze wirksam umzusetzen, die Rechte der Betroffenen zu schützen und den Anforderungen der DSGVO zu genügen. Die Entscheidung der spanischen Datenschutzbehörde zeigt auch, warum Unternehmen den Schutz personenbezogener Daten und die Datensicherheit bei der Gestaltung von Unternehmensprozessen stets im Blick haben sollten.

Zu lange Aufbewahrungsfristen von Kundendaten

Die französische Aufsichtsbehörde (CNIL) führte im März und April 2022 Untersuchungen beim Unternehmen DE PARTICULIER A PARTICULIER – EDITIONS NERESSIS (PAP) durch. Dieses Unternehmen betrieb eine Website, auf der Einzelpersonen Immobilienanzeigen einsehen und veröffentlichen konnten. Im Rahmen ihrer Untersuchungen konstatierte die französische Datenschutzaufsichtsbehörde, dass die PAP eine Aufbewahrungsfrist von zehn Jahren für die Daten bestimmter Kunde ohne Rechtfertigung festgelegt hatte, welche ein kostenpflichtiges Abonnement mit ihr abgeschlossen hatten. Diese Speicherung konnte auf keine Rechtsgrundlage gestützt werden. Zu diesen Daten gehörten der Vor- und Nachname der Kunden, die Telefonnummer, die E-Mail-Adresse und der Inhalt der Anzeigen. Darüber hinaus hatte die PAP eine Aufbewahrungsfrist von fünf Jahren für die Daten von Nutzern festgelegt, welche kostenlose Dienste der Website nutzten. Diese Frist wurde jedoch nicht eingehalten, da die Daten über einen längeren Zeitraum gespeichert wurden.

Ferner monierte die französische Aufsichtsbehörde, dass die Datenschutzerklärung auf der Website des Unternehmens unvollständig und unklar war. Diese wies nicht auf das Beschwerderecht der Besucher hin, konkretisierte die Rechtsgrundlage der Datenverarbeitungen nicht, erwähnte die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten nicht und gab keine präzise Aufbewahrungsfristen an. Zudem stellte die Aufsichtsbehörde fest, dass kein Auftragsverarbeitungsvertrag im Sinne von Art. 28 DSGVO zwischen dem Unternehmer und den Auftragsverarbeitern abgeschlossen wurde. Schließlich bemängelte die französische Aufsichtsbehörde, dass die vom Unternehmen getroffenen technischen und organisatorischen Maßnahmen keine angemessene Datensicherheit gewährleisteten. Dies führte zu einem Bußgeld in Höhe von 100.000 Euro.

Behörde: Commission Nationale de l´Informatique et des Libertés
Branche: Immobilienbranche
Verstoß: Art. 5 Abs. 1 lit. e DSGVO, Art. 13 DSGVO, Art. 28 DSGVO und Art. 32 DSGVO
Bußgeld: 100.000 Euro

Die Entscheidung der französischen Aufsichtsbehörde erinnert daran, dass personenbezogene Daten gemäß Art. 5 Abs. 1 lit. e DSGVO nur in einer Form gespeichert werden dürfen, die die Identifizierung der Person nur so lange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Nach Art. 17 Abs. 1 lit. a DSGVO sind die personenbezogenen Daten folglich zu löschen, sobald die Speicherung für die festgelegten Zwecke der Verarbeitung nicht mehr erforderlich ist. Darüber hinaus verdeutlicht die Entscheidung, dass ein Mangel an Transparenz schwerwiegende Folgen für die Verantwortlichen haben kann. Nicht zuletzt zeigt die Entscheidung, dass der Datenschutz ohne geeignete technische und organisatorische Maßnahmen nicht gewährleisten werden kann.

Unbefugter Zugriff auf Millionen von Kundendaten

Das spanische Energieversorgungsunternehmen ENDESA ENERGÍA, S.A.U. wurde im August 2021 intern darauf hingewiesen, dass in einer Facebook-Anzeige Zugangsdaten zu seiner Plattform zum Kauf angeboten wurden. Am 17. Januar 2022 wurde eine weitere Anzeige auf Facebook entdeckt, die eine Datenbank mit Kundendaten von Energieunternehmen zum Kauf anbot. Einen Monat später stellte ENDESA fest, dass auch seine Kunden von diesem Vorfall betroffen waren. Zu den kompromittierten Daten gehörten Name, Vorname, Geburtsdatum, Ausweis-Identifikationsnummer, Reisepass, Bankdaten und Kontaktdaten. Nach Kenntnisnahme des Vorfalls durch das Energieunternehmen wurde die spanische Datenschutzbehörde darüber informiert. Bei ihren Untersuchungen stellte die spanische Datenschutzbehörde fest, dass ENDESA nach Bekanntwerden des Vorfalls mangelhafte Sicherheitsmaßnahmen getroffen hatte. In diesem Sinne wurden die Zugangsdaten erst einen Monat nach dem Vorfall durch ENDESA zurückgesetzt und ein Nutzer konnte weiterhin von mehreren Personen gleichzeitig auf der Plattform verwendet werden. Dies führte dazu, dass unbefugte Dritte monatelang auf die Daten zugreifen konnten. Im Ergebnis wurde die Vertraulichkeit der personenbezogenen Daten von 4,8 Millionen Strom und 1,2 Millionen Gaskunden kompromittiert. Obwohl das Unternehmen sich darüber bewusst war, dass Betrüger Verträge im Namen von Betroffenen bereits abgeschlossen hatten, wurden die Betroffenen nicht darüber informiert. Schließlich kritisierte die spanische Datenschutzaufsichtsbehörde, dass ENDESA keinen Nachweis für die Weiterleitung seines Löschungsantrages an die Facebook Ireland Limited liefern konnte. Infolgedessen verhängte die spanische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 6.100.000 Euro gegen ENDESA ENERGÍA, S.A.U.

Behörde: Agencia Española de Protección de Datos
Branche: Energieversorgungsunternehmen
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 DSGVO, Art. 33 DSGVO, Art. 34 DSGVO, Art. 44 DSGVO
Bußgeld: 6.100.000 Euro

Die Entscheidung der spanischen Datenschutzbehörde zeigt die schwerwiegenden Folgen, die ein unzureichender Schutz personenbezogener Daten und eine unangemessene Reaktion des Verantwortlichen für die Betroffenen haben kann. Im vorliegenden Fall stellte sich heraus, dass die personenbezogenen Daten durch Mitarbeiter eines durch ENDESA eingesetzten Subunternehmens auf Facebook verkauft wurden. In diesem Sinne wird anhand dieser Entscheidung auch deutlich, wie wichtig technische und organisatorische Maßnahmen beim Einsatz von Auftragsverarbeitern sind. Die Entscheidung zeigt auch, dass es für die Abmilderung von den nachteiligen Auswirkungen eines Datenschutzvorfalles äußerst wichtig ist, dass der für die Verarbeitung Verantwortliche angemessen und schnell reagiert.

Veröffentlichung von Gesundheitsdaten

Ein medizinisches Zentrum für ästhetische Medizin in Italien veröffentlichte ein Video auf seiner Unternehmensseite bei Instagram, in dem das Gesicht eines Patienten 30 Sekunden lang erkannt werden konnte, ohne dass der Betroffene seine Einwilligung zur Verbreitung dieser Videoaufzeichnung wirksam erteilt hätte. Im Video wurde der Beschwerdeführer während eines durchgeführten Eingriffs (Nasenkorrektur) gezeigt. Nach Kenntnisnahme der Videoverbreitung durch den Patienten stellte er einen Löschungsantrag beim Unternehmen und meldete den Fall bei der italienischen Datenschutzaufsichtsbehörde. Erst 45 Tage nach der Stellung des Löschungsantrags wurde das Video aus dem Netzwerkprofil des Unternehmens entfernt. Die italienische Datenschutzaufsichtsbehörde stellte fest, dass die Einwilligung des Patienten nicht als gültig angesehen werden konnte, da diese mit Bezug auf den fraglichen Zweck nicht ausdrücklich, spezifisch und in informierter Weise erfolgte. Die Aufsichtsbehörde kritisierte, dass die in diesem Zusammenhang verwendeten Informationen lediglich einen Verweis auf die Veröffentlichung von Artikeln in sozialen Medien und Zeitschriften enthielten, sodass diese die Anforderungen aus Art. 13 DSGVO nicht erfüllten. Für den Betroffenen war es darüber hinaus nicht ersichtlich, dass sich seine Einwilligung auf die Veröffentlichung von Daten über seinen Gesundheitszustand auf dem Netzwerkprofil des Unternehmens bei Instagram erstreckte. Aus diesem Grund fehlte eine Rechtsgrundlage für die Datenverarbeitung und verstieß die Datenverarbeitung auch gegen Art. 13 DSGVO. Die italienische Datenschutzbehörde verhängte folglich ein Bußgeld in Höhe von 8.000 Euro gegen das Unternehmen.

Behörde: Garante per la protezione dei dati personali
Branche: Gesundheitswesen
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 6 DSGVO, Art. 9 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO
Bußgeld: 8.000 Euro

Angesichts der sensiblen Natur der betroffenen Daten erscheint das Bußgeld gering. Gemäß Art. 7 DSGVO muss die Einwilligung freiwillig, informiert, spezifisch und eindeutig erteilt werden. Die italienische Datenschutzaufsichtsbehörde weist darauf hin, dass der Betroffene ausdrücklich in die Verarbeitung von besonderen Kategorien personenbezogener Daten einwilligen muss, damit eine solche Datenverarbeitung auf das Rechtsinstrument der Einwilligung gestützt werden kann. Aus diesem Grund muss das Transparenzgebot beim Umgang mit personenbezogenen Daten stets beachtet werden.

Biometrische Daten im Fitnessstudio

Das Fitnessstudio METROPOLITAN CLUB führte im Mai 2021 einen verpflichtenden Zugang zu den Fitness-Anlagen per Fingerabdruck ein. Nachdem sich eine Kundin geweigert hatte, ihre biometrischen Daten an das Unternehmen weiterzugeben, teilte das Fitnessstudio der Kundin mit, dass es ihre Mitgliedschaft kündigen würde, ohne ihr eine Alternative anzubieten. Infolgedessen legte die Kundin Beschwerde bei der Datenschutzbehörde ein. Bei ihrer Untersuchung stellte die spanische Datenschutzbehörde fest, dass die Informationspflichten aus Art. 13 DSGVO in diesem Zusammenhang nicht erfüllt wurden. Die Kundin erhielt keine Informationen über die Rechtsgrundlage der beabsichtigten Verarbeitung ihrer biometrischen Daten, die Zwecke der Datenverarbeitung, die Empfänger der Daten und die Kriterien für die Festlegung der Speicherfristen. Darüber hinaus wurde sie nicht darüber informiert, ob eine automatisierte Entscheidungsfindung einschließlich Profiling stattfindet und ob die Kundin vertraglich oder gesetzlich verpflichtet ist, die Daten zur Verfügung zu stellen. Zudem wurde auch nicht klargestellt, ob die Datenverarbeitung für den Abschluss des Vertrages erforderlich ist. Die spanische Aufsichtsbehörde verhängte ein Bußgeld in Höhe von 27.000 Euro gegen das Fitnessstudio.

Behörde: Agencia Española de Protección de Datos
Branche: Fitnessstudio
Verstoß: Art. 13 DSGVO, Art. 9 DSGVO, Art. 6 Abs.1 DSGVO
Bußgeld: 27.000 Euro

Dieses Beispiel macht deutlich, dass der Grundsatz der Transparenz beim Umgang mit personenbezogenen Daten von großer Bedeutung ist. Insofern ist es ratsam, bei der Durchführung von Maßnahmen, die mit intensiven Eingriffen in den Datenschutz verbunden sind, von vornherein einen Datenschutzbeauftragten einzuschalten.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.