Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Januar 2021.
Der Inhalt im Überblick
- Unrechtmäßige Videoüberwachung von Mitarbeitern und Kunden
- Unzulässige Weitergabe von (sensiblen) personenbezogenen Daten an Dritte
- Unzulässige Datenübermittlung an weitere Gesellschaften innerhalb einer Unternehmensgruppe
- Unerlaubte Telefonwerbung ohne Einwilligung der Betroffenen
- Unzureichende TOM trotz wiederholter Credential-Stuffing-Angriffe
Unrechtmäßige Videoüberwachung von Mitarbeitern und Kunden
Die niedersächsische Landesbeauftragte für den Datenschutz Barbara Thiel verhängte gegen die notebooksbilliger.de AG ein Bußgeld in Höhe von 10.400.000 EUR. Das Unternehmen habe Beschäftigte und Kunden in unzulässiger Weise und ohne eine wirksame Rechtsgrundlage mit Kameras überwacht, deren Aufzeichnungen mitunter 60 Tage gespeichert wurden. Notebooksbilliger.de rechtfertigte diese Überwachung damit, dass diese dem Schutz und der Aufklärung von Straftaten sowie der Nachverfolgung des Warenflusses in den Lagern diente.
Behörde: LfD Niedersachsen
Branche: Online-Versandhandel für Elektronik
Verstoß: Art. 5 DSGVO, Art. 6 DSGVO
Bußgeld: 10.400.000 Euro
Der Einsatz von Videoüberwachung ist in der Datenschutzwelt ein wahres Minenfeld. Leider gibt es allzu häufig noch Unternehmen, die Überwachungskameras unrechtmäßig installieren, um Mitarbeiter zu überwachen und kassieren dann – völlig überraschend – ein sattes Bußgeld wie es die französische Datenschutzbehörde gegen ein Pariser Unternehmen verhängt hat. Dies zeigt erneut, dass vor dem Einsatz von Videokameras eine eingehende Prüfung der Rechtsgrundlage, des zulässigen Umfangs und der Abwägung von Interessen notwendig ist. Dabei ist vor allem die Möglichkeit eines milderen Mittels zur Erreichung des Zwecks zu prüfen. In vielen Bereichen eines Unternehmen kann der Einsatz von Videokameras als unzulässig erachtet werden und sollte dementsprechend wohlüberlegt sein. Das Bußgeld scheint sich darüber hinaus an dem Umsatz des Unternehmens zu orientieren wie auch bei dem immens hohen Bußgeld i.H.v. 9,55 Mio. EUR gegen das Unternehmen 1&1. Ob notebooksbilliger.de es schaffen wird, das Bußgeld wie 1&1 um 90% zu kürzen, bleibt abzuwarten.
Unzulässige Weitergabe von (sensiblen) personenbezogenen Daten an Dritte
Die norwegische Datenschutzaufsichtsbehörde hat in einem Entscheidungsentwurf angekündigt, gegen Grindr LLC ein Bußgeld in Höhe von umgerechnet 10 Mio. EUR zu verhängen infolge der Weitergabe von Nutzerdaten an Dritte ohne eine wirksame Einwilligung der App-Nutzer. Die standortbasierte Dating-App für homo-, bisexuelle, transgender und queere Menschen hat bereits im vergangenen Jahr die Aufmerksamkeit des norwegischen Verbraucherrats eingenommen, der eine Beschwerde gegen Grindr einreichte, in der die Weitergabe von persönlichen Daten an Dritte zu Marketingzwecken beanstandet wurde. Zu den geteilten Daten gehören GPS-Daten, Benutzerprofildaten und die Tatsache, dass der betreffende Benutzer auf Grindr ist. Dies würde nach Ansicht der Behörde bereits Informationen über die sexuelle Orientierung des Nutzers preisgeben und somit ein besonders schützenswertes Datum nach Art. 9 Abs. 1 DSGVO darstellen. Für diese Weitergabe habe Grindr weder eine Einwilligungen der Nutzer eingeholt noch wurde die beabsichtigte Datenübermittlung hinreichend kommuniziert.
Behörde: Norwegian Data Protection Authority (Norwegen)
Branche: Social Media
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 9 Abs. 1 DSGVO
Bußgeld: 10 Mio. Euro
Die Tatsache, dass Social Media Apps umfangreiche Daten ihrer Nutzer verarbeiten, ist nichts Neues. Man schaue sich nur einmal die datenschutzrechtlichen Bedenken der neuen Trend-App Clubhouse oder die des Grindr-Gegenstücks Tinder mit seinem umfangreichen Datenzugriff an. Nichtsdestotrotz gibt die Datenschutzbehörde hier berechtigt an, dass solche Apps ein Geschäftsmodell nutzen, welches keine effektive Kontrolle der Nutzer über ihre Daten erlaubt. Stattdessen werden sie regelrecht unter Druck gesetzt, ihre Zustimmung zu geben und werden in den Datenschutzbestimmungen bei dem Download der App nicht transparent über ihre Datenverarbeitung und mögliche Übermittlungen an Dritte informiert. So könnte ein entsprechendes Urteil ein höheres Maß an Datensicherheit für die Nutzer von Social-Media-Apps gewährleisten, wenn es die erhoffte Abschreckungswirkung entfaltet. Die Voraussetzungen an eine wirksame Einwilligung müssen stets eingehalten werden, auch bei der Nutzung von Social-Media-Apps.
Unzulässige Datenübermittlung an weitere Gesellschaften innerhalb einer Unternehmensgruppe
Kunden der spanischen CaixaBank, S.A. wurden neue Datenschutzbestimmungen vorgelegt, welche die Bank dazu ermächtigten, die Daten ihrer Kunden an alle Unternehmen der zugehörigen Unternehmensgruppe Grupo CaixaBank zu übermitteln. Dieser Ermächtigung aus den Datenschutzbestimmungen konnten die Betroffenen jedoch nicht widersprechen. Stattdessen wurde den Kunden nur die Möglichkeit eingeräumt, dass sie der Datenübermittlung widersprechen können, indem sie ihren Widerspruch postalisch an alle Unternehmen der Grupo CaixaBank versenden. Die spanische Datenschutzbehörde AEPD verhängte wegen der unrechtmäßigen Datenübermittlung und intransparenten Datenschutzbestimmungen ein Bußgeld in Höhe von 6 Mio. EUR gegen die CaixaBank, S.A.
Behörde: Agencia española protección datos (Spanien)
Branche: Banken
Verstoß: Art. 6 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO
Bußgeld: 6 Mio. Euro
Das hohe Bußgeld gegen die CaixaBank ist ein klares Signal an Unternehmen, dass eine Übermittlung von personenbezogenen Daten innerhalb einer Unternehmensgruppe nicht ohne Weiteres möglich ist. Die DSGVO sieht kein Privileg für Konzerne per se vor, lässt aber im Einzelfall aufgrund überwiegender berechtigter Interessen eine Datenübermittlung zu (Erwägungsgrund 48). Insbesondere für interne Verwaltungszwecke sei dies vertretbar. Der Datenaustausch innerhalb eines Konzerns erfordert jedoch immer eine Interessenabwägung. Eine wirksame Einwilligung in die Datenübermittlung ist ebenfalls nicht ersichtlich, da diese freiwillig, informiert und zweckgebunden erfolgen muss. Die Datenschutzbestimmungen der CaixaBank genügten diesen Anforderungen nicht. Darüber hinaus wurde den Betroffenen kein angemessenes Widerspruchsrecht eingeräumt. Die Möglichkeit des Widerspruchs muss grundsätzlich so einfach erfolgen, wie die Einwilligung eingeholt wurde. Die Möglichkeit des Widerrufs per Brief an jede einzelne Unternehmensgruppe ist hingegen nicht zumutbar. Eine mangelhafte oder fehlende Widerrufsbelehrung kann oftmals weitreichende Folgen haben.
Unerlaubte Telefonwerbung ohne Einwilligung der Betroffenen
Anfang des Monats verhängte die Bundesnetzagentur gegen den Callcenter-Betreiber Cell it! GmbH & Co. KG ein Bußgeld in Höhe von 145.000 EUR, da das Unternehmen unzulässige Werbeanrufe im Auftrag verschiedener Unternehmen durchführte. Für den Mobilfunkanbieter Mobilcom-debitel vertrieb Cell it! Beispielsweise verschiedene Produkte und stellte den Betroffenen Dienstleistungen in Rechnung, welche diese nicht bestellt hatten. Bei Werbeanrufen für Sky Deutschland Fernsehen sollten Neukunden akquiriert werden. Die Betroffenen wurden jedoch ohne eine Einwilligung und trotz expliziten Widerrufs kontaktiert. Die Kontaktdaten der Betroffenen habe Cell it! bei Adresshändlern erworben, auf deren Websites die Betroffenen im Rahmen von Gewinnspielen in die Werbung eingewilligt hätten. Die Bundesnetzagentur stellte fest, dass die vermeintlichen Einwilligungen nie erteilt wurden.
Behörde: Bundesnetzagentur
Branche: Callcenter
Verstoß: Art. 6 DSGVO, § 7 Abs. 2 Nr. 2 und 3 UWG
Bußgeld: 145.000 Euro
Grundsätzlich kann die Direktwerbung von dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f DSGVO gedeckt sein, wie es auch im Erwägungsgrund 47 heißt. Dieser setzt jedoch das Gesetz gegen den unlauteren Wettbewerb (UWG) klare Grenzen in § 7, die von Unternehmen oftmals missachtet werden und in einem hohen Bußgeld enden können. Demzufolge wird eine unzumutbare Belästigung angenommen nach § 7 Abs. 2 Nr. 2 UWG bei Werbung mit einem Telefonanruf gegenüber einem Verbraucher ohne dessen vorherige ausdrückliche Einwilligung. So sind Unternehmen bestens beraten, wenn sie Werbung per Telefon nur mittels einer ausdrücklichen Einwilligung des Betroffenen tätigen oder bei anderen Kommunikationsmitteln eine Interessenabwägung gem. Art. 6 Abs. 1 lit. f DSGVO vornehmen. Hier finden Sie eine Übersicht der Möglichkeiten zu Verarbeitung personenbezogener Daten für Werbezwecke.
Unzureichende TOM trotz wiederholter Credential-Stuffing-Angriffe
Die französische Datenschutzbehörde hatte über zwei Jahre hinweg wiederholte Meldungen über Datenvorfälle bei einem Online-Shop erhalten. Darafhin stellte die Datenschutzbehörde fest, dass die Website bereits immer wieder Zielscheibe von Credential-Stuffing-Angriffen geworden war, bei denen sich Angreifer Zugang zu Namen, E-Mail-Adressen, Geburtsdaten, Kundenkartennummern und Bestellinformationen zahlreicher Kunden verschafften. Nach Ansicht der französischen Datenschutzbehörde habe das Unternehmen seine Pflicht verletzt, geeignete technische und organisatorische Maßnahmen zu implementieren. Das Unternehmen habe zwar mit der Entwicklung eines Tools zur Bekämpfung von Credential-Stuffing begonnen, allerdings zog sich dieser Prozess über eine lange Zeit, sodass Daten von ca. 40.000 Kunden über längere Zeit ungeschützt waren. Weitere Sicherheitsmaßnahmen ergriff das Unternehmen nicht.
Behörde: CNIL (Frankreich)
Branche: Online-Versandhandel
Verstoß: Art. 32 DSGVO
Bußgeld: 150.000 Euro
Sog. Credential-Stuffing-Angriffe sind beliebt bei Angreifern, die auf profitable Daten von Nutzern aus sind. Bei dieser Vorgehensweise wird automatisch eine hohe Zahl verschiedener Loginkombinationen aus Passwort und Usernamen einer Liste, die bei anderen Online-Services erbeutet wurden, bei dem Login getestet. Dass Unternehmen nicht erst handeln sollten, wenn es zu spät ist, sollte klar sein. Nichtsdestotrotz bleiben viele Unternehmen untätig, haben kein angemessenes Schwachstellenmanagement und setzen sich somit weiteren Angriffen aus. Ein Prozess zur Anpassung und stetigen Verbesserung der IT-Sicherheitsmaßnahmen nach dem Stand der Technik sollte zwingend etabliert werden, um sich vor solch schweren Vorfällen zu schützen und kein Bußgeld riskieren zu müssen.
Eine weitere gute Quelle für DSGO-Bußgelder findet sich unter enforcementtracker.com. Die Site bietet viele Filtermöglichkeiten, Links zu den Entscheidungen sowie grafische Darstellungen.