Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Januar 2024.
Der Inhalt im Überblick
- Unzulässige Videoüberwachung, Leistungs- und Verhaltenskontrollen
- Werbe-Cookies ohne ausdrückliche Einwilligung
- Mangelnde Mitwirkung bei Anfrage der Datenschutzbehörde
- Werbe-E-Mails ohne Zustimmung
- Unrechtmäßiger Einsatz von KI zur Analyse von öffentlichen Kamera- und Audioaufzeichnungen
- Bonus: Millionen-Bußgeld gegen Uber
Unzulässige Videoüberwachung, Leistungs- und Verhaltenskontrollen
„Wir wollen es nicht klimpern, sondern rascheln hören“, dachte sich wohl die die französische Datenschutzbehörde CNIL und hat Amazon France Logistique (AFL) zur Kasse gebeten: 32 Millionen! Oh là là!
Doch was war passiert, dass es gleich am Anfang des Jahres derart „gecnilt“ hat? Tja ganz einfach: Während im antiken Rom Trommelschläge und Peitschenhiebe eingesetzt wurden, um die Effizienz zu steigern, hat die AFL in ihren Lagern ein Überwachungssystem eingesetzt, das die Aktivitäten und Leistungen seiner Mitarbeiter detailliert überwacht hat. Jeder Lagermitarbeiter erhielt einen Scanner, um bestimmte Aufgaben in Echtzeit zu dokumentieren, wie z.B. das Ein- oder Auslagern von Artikeln. Jeder Scan führte zur Aufzeichnung von Daten, die zur Berechnung von Indikatoren verwendet wurden, welche wiederum Informationen über die Qualität, Produktivität und Inaktivitätszeiten jedes Mitarbeiters lieferten.
Und damit nicht genug: Es wurde zusätzlich ein System mit drei Alarmstufen eingesetzt, das ebenfalls die Mitarbeiteraktivitäten überwachte. Wenn beispielsweise ein Artikel zu schnell oder weniger als 1,25 Sekunden („Stow Machine Gun“-Indikator) nach dem Scannen eines anderen Artikels gescannt wurde, wurde ein Alarm ausgelöst. Ein anderer Alarm signalisierte Pausen von zehn Minuten oder mehr („Idle Time“-Indikator), während ein dritter Pausen zwischen einer und zehn Minuten („Latency under ten minutes“-Indkator) erfasste. Zudem wurden die Arbeitsbereiche mittels Videoüberwachung gesichert. Diese Daten wurden der Mitarbeiter wurden von Amazon zu Indikatoren für die Arbeitsproduktivität zusammengefasst und für 31 Tage gespeichert.
Behörde: Commission Nationale de l’Informatique et des Libertés
Branche: Unternehmen
Verstoß: Art. 5 Abs. 1 lit. c, Art. 6, Art. 12, Art. 13, Art. 32 DSGVO
Bußgeld: 32.000.000 EUR
Das Bußgeld klingt erstmal unfassbar hoch. Aber gemessen an dem weltweiten Umsatz von Amazon in Höhe von über 500 Milliarden USD ist dies im Hinblick auf Art. 83 DSGVO doch wieder etwas zu relativieren. Unter anderem wurde laut der CNIL gegen das Prinzip der Datenminimierung gem. Art. 5 DSGVO sowie die Informationspflichten nach Art. 12, 13 DSGVO verstoßen. Die CNIL kritisierte, dass das Unternehmen alle gesammelten Mitarbeiterdaten und die daraus resultierenden statistischen Indikatoren derart lang aufbewahrt hat. In diesem Zusammenhang wurde auch festgestellt, dass die Videoüberwachung ohne ordnungsgemäße vorherige Benachrichtigung und ohne ausreichende Sicherheitsmaßnahmen i.S.d. Art. 32 DSGVO durchgeführt wurde. Es gab Probleme beim Zugang zur Videoüberwachungssoftware, da das Zugangspasswort nicht stark genug war und mehrere Benutzer gemeinsam auf das Konto zugriffen.
Die CNIL sah bei der Abwägung nach Art. 6 Abs. 1 DSGVO die minutiöse Aufzeichnung jeder Arbeitsunterbrechung als nicht gerechtfertigt und nicht notwendig für die Unternehmensziele (hohe Produktivität, Arbeitsplanung und Mitarbeiterunterstützung) an. Der CNIL zufolge übte die permanente Überwachung einen hohen Druck auf die Lagermitarbeiter aus.
Es ist nicht das erste Mal, dass Amazon wegen unverhältnismäßiger Leistungskontrollen und Überwachung seiner Beschäftigten negativ auffällt. Das VG Hannover (Urteil vom 09.02.2023, Az.: 10 A 6199/20) hob in dem sehr ähnlichen Fall aber die Verfügung der Aufsichtsbehörde, durch die Amazon das System zur Leistungsüberwachung untersagt wurde, letztendlich auf und gab somit Amazon Recht. Nach Auffassung des Gerichts sei die Datenverarbeitung von der Rechtsgrundlage aus § 26 Abs. 1 BDSG erfasst und somit rechtmäßig. Es wurde also angenommen, dass diese Überwachung für die Durchführung des Beschäftigungsverhältnisses erforderlich sei. Es bleibt also höchst spannend, wie es in dieser Angelegenheit weitergeht.
Werbe-Cookies ohne ausdrückliche Einwilligung
Der Januar war offenbar für die CNIL der Monat der Abrechnung: Bei der französischen Aufsichtsbehörde waren insgesamt 27 Beschwerden gegen Yahoo EMEA Ltd. eingegangen. Im Wesentlichen bezogen sich diese auf den (unzureichenden) Vorgang der Einwilligungserteilung und -widerrufs bezüglich des Setzens von Cookies. Die CNIL führte in den Jahren 2020 und 2021 Ermittlungen durch und stellte Verstöße gegen Art. 82 des französischen Datenschutzgesetzes (Pendant zu § 25 TTDSG) fest: Etwa 20 Werbe-Cookies wurden gesetzt, ohne dass eine ausdrückliche Zustimmung der Webseiten-Besucher eingeholt wurde. Außerdem konnten Nutzer des E-Mail-Service von Yahoo ihr Recht auf Widerruf nicht zwangslos ausüben. Wollten sie ihre Einwilligung zur Verwendung von Cookies widerrufen, führte dies dazu, dass sie den E-Mail-Dienst nicht mehr benutzen konnten. Das Bußgeld wurde hier aber „nur“ auf 10 Millionen EUR festgesetzt.
Behörde: Commission Nationale de l’Informatique et des Libertés
Branche: Unternehmen
Verstoß: Art. 82 La loi Informatique et Libertés
Bußgeld: 10.000.000 EUR
Die Ausführungen der Behörde und erhebliche Höhe des Bußgeldes verdeutlichen nochmal die hohe Bedeutung rechtskonformer Cookie Banner und strengen Anforderungen an die Freiwilligkeit einer Einwilligung. Der Ausschluss des Zugangs zu einem bereits bestehenden E-Maildienst nach dem ausgeübten Widerruf stellt einen unzulässigen Nachteil dar. Die Behörde betonte dabei die besondere Bedeutung von E-Maildiensten im Alltag und den Umstand, dass der nachträgliche Wechsel nicht ohne weiteres möglich ist. Auch wenn Consent-Banner womöglich bald der Vergangenheit angehören, die Anforderungen an die Informationspflichten und die Einwilligung werden sicher nicht geringer.
Mangelnde Mitwirkung bei Anfrage der Datenschutzbehörde
Mit drei Nullen weniger sanktionierte vergangenen Monat die österreichische Datenschutzbehörde („DSB“) ein Unternehmen, welches trotz mehrfacher Aufforderungen über sechs Monate nicht auf die Anfragen der DSB reagierte. Diese zeigte sich zunächst geduldig, leitete jedoch nach dem Ausbleiben der Reaktion nach entsprechender Androhung ein Verwaltungsverfahren ein. Erst nach Einleitung des Verwaltungsstrafverfahrens reagierte der Verantwortliche und versprach, in Bezug auf Datenschutzmanagement umfassende „Verbesserungsmaßnahmen“ im Unternehmen vorzunehmen. Offenbar zu spät. Ohne eine vorherige Verwarnung i.S.d. § 11 DSG verhängte die DSG eine Strafe i.H.v. 10.000 EUR.
Zu Begründung führte sie im Wesentlichen aus, dass im konkreten Fall die Rechtsbehelfe von Betroffenen bzw. das Recht auf eine Beschwerde bei einer Aufsichtsbehörde betroffen sei. Die mangelnde Mitwirkung der Verantwortlichen am Verfahren habe insbesondere das Beschwerdeverfahren verzögert und schränke damit die Betroffenen in ihren Rechten ein. Es handele sich hierbei um ein hochrangiges geschütztes Rechtsgut. Das zeige sich daran, dass der Unionsgesetzgeber aufgrund der Bedeutung der Mitwirkung von Verantwortlichen in Zusammenschau mit der Systematik der DSGVO (Art. 5 Abs. 2 DSGVO) die Verpflichtung nach Art. 31 DSGVO in den Katalog der strafbewehrten Bestimmungen gemäß Art. 83 Abs. 4 lit. a DSGVO aufgenommen hat.
Behörde: Österreichische Datenschutzbehörde
Branche: Unternehmen
Verstoß: Art. 31 i.V.m. Art. 58 Abs. 1 lit. a und e DSGVO
Bußgeld: 10.000 EUR
Bei einem ganz ähnlich gelagerten Fall verhängte kürzlich auch die italienische Bußgeldbehörde Techno Security s.r.l. wegen fehlender Kooperation ein Bußgeld i.H.v. 1.000 EUR sowie die polnische Aufsichtsbehörde UODO wegen mangelnder Zusammenarbeit ein Bußgelder i.H.v. 5.406 EUR.
An diesen Fällen zeigt sich, dass bei mangelnder Mitwirkung nicht mit den Aufsichtsbehörden zu spaßen ist. Hausinterne Problem des Datenschutzbeauftragten bzw. den Datenschutzkoordinators bei der E-Mail-Weiterleitung an die Rechtsabteilung ließ die österreichische Aufsichtsbehörde bei dem hier sehr langen Zeitraum von über sechs Monaten jedenfalls nicht mehr gelten. Es wird einmal mehr deutlich, dass sich trotz aller gebotenen Vorsicht bei der Einlassung gegenüber der Aufsichtsbehörde eine zeitnahe Reaktion auf die Anfrage empfiehlt. Essentiell hierfür ist ein gut geöltes Datenschutzmanagement, was die rechtzeitige Einbindung von Datenschutzbeauftragten und Rechtsabteilung ermöglicht.
Werbe-E-Mails ohne Zustimmung
Wer kennt sie nicht: HelloFresh Gutscheine, die einem als Beilage von Onlinebestellung oder beim Öffnen des Briefkastens in den Schoss flattern und im besten Fall einige Monate mit einem Magnet am Kühlschrank überdauern bis sie schließlich doch den Weg in den Papiermüll finden. In Anbetracht dieser Papierverschwendung hat es HelloFresh wohl einfach mal mit der Versendung von 79 Millionen Werbe-E-Mails und einer Million Textnachrichten versucht, ohne allerdings die entsprechende Einwilligung seiner Kunden einzuholen.
Die über ein Jahr andauernde Untersuchung der britischen Aufsichtsbehörde ICO ergab außerdem, dass die Opt-in-Prozesse von HelloFresh verwirrend und irreführend gestaltet waren. Kunden wurden anscheinend oft ohne ihr Wissen vorab in Marketinglisten eingetragen und der Wortlaut der Opt-in-Boxen war unklar. Dies machte es für Kunden schwierig , zu verstehen, womit sie eigentlich einverstanden waren. Der ganze Spaß kostete HelloFresh jetzt am Ende 140.000 GBP.
Behörde: Information Commissioner’s Office
Branche: Unternehmen
Verstoß: Art. 22 PECR
Bußgeld: 140.000 GBP
Das Ganze ist natürlich eine alter Hut, nur diesmal eben in Form einer Kochmütze: Zur Vermeidung einer E-Mail-Flut an belästigender Werbung i.S.d. § 7 UWG muss vor dem Versand einer Werbe-E-Mail eine Einwilligung des Empfängers gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO eingeholt werden. Um eine Einwilligung rechtssicher zu generieren, muss diese im Double-Opt-in eingeholt werden und die Anforderungen an eine informierte Einwilligung gewahrt werden.
Unrechtmäßiger Einsatz von KI zur Analyse von öffentlichen Kamera- und Audioaufzeichnungen
Auch in Italien ist das Thema rechtswidrige Videoüberwachung ein echter Dauerbrenner, wie die beiden Anfang Januar gegen zwei italienische Gemeinden verhängten Bußgelder zeigen, weil Audio-Video-Aufnahmen eines stellvertretenden Kommissars der örtlichen Polizei weitergeleitet wurden. Zum Ende des Monats veröffentlichte die italienische GPDP nun eine Meldung zu einem weiteren Bußgeld, was gegen die Gemeinde Trient verhängt wurde. Nach Berichten in der Presse wurde die Datenschutzbehörde offenbar auf den Einsatz von Künstlicher Intelligenz durch die Gemeindeverwaltung von Trient aufmerksam und beschloss, eine Untersuchung durchzuführen.
Die Verwaltung von Trient nutzte im Rahmen verschiedener EU-finanzierter Forschungsprojekte zu „Smart Cities“ und der Verbesserung der städtischen Sicherheit KI-Technologie. Diese wurde verwendet, um Aufzeichnungen von Videoüberwachungskameras und Mikrofonen im öffentlichen Raum zu analysieren und potenzielle Gefahrensituationen zu erkennen. Im Projekt „PROTECTOR“ wurden auch Daten von Twitter und YouTube gesammelt, um Hasskommentare zu filtern und Bedrohungen gegenüber religiösen Einrichtungen zu identifizieren.
Die Datenschutzbehörde kritisierte, dass die Gemeindeverwaltung keine rechtliche Grundlage für den erheblichen Eingriff in die Grundrechte der einzelnen Bürger vorweisen könne, welcher mit der Datenverarbeitung einherging. Sie betonte, dass die Gemeinde keine wissenschaftliche Forschungseinrichtung sei und dass die Daten an Dritte weitergegeben wurden. Außerdem stellte die Behörde fest, dass die eingesetzten Anonymisierungstechniken nicht ausreichend waren, um den Datenschutz zu gewährleisten. Es konnte auch nicht nachgewiesen werden, dass eine angemessene Risikobewertung und transparente Kommunikation stattgefunden hatten.
Behörde: Garante per la protezione dei dati personali
Branche: Gemeinde
Verstoß: Art. 5 Abs. 1 lit. a, Art. 6, Art. 9, Art. 10, Art. 13 Abs. 1 lit. c,e, Art. 14, Art. 35 DSGVO
Bußgeld: 50.000 EUR
Die Kombination von KI und Videoüberwachung steckt zwar noch in den Kinderschuhen, ist aber gerade im Bereich der öffentlichen Gefahrenprävention und Kriminalitätsbekämpfung ein ganz heißes Eisen. Auch in Deutschland gibt es bereits Projekte, wo KI-Software die „konventionelle“ Videoüberwachung unterstützt. Dabei werden bestimmte Verhaltensmuster, die auf Straftaten hindeuten – wie etwa Schlagen, Rennen, Treten oder Hinfallen – über entsprechende Algorithmen erkannt und sofort im Lagezentrum der Polizei gemeldet.
Die EU hat sich im Dezember letzten Jahres auf die weltweit ersten Regeln für den Einsatz von Künstlicher Intelligenz geeinigt – den AI Act. Während die Mitgliedsstaaten des EU-Rats versucht hatten, insbesondere bei der Videoüberwachung, möglichst weitgehende Überwachungsmechanismen durchzusetzen, hielt das EU-Parlament lange an seiner bürgerrechtsfreundlicheren Position fest. Wie so oft ist dabei ein Kompromiss herausgekommen, bei dem sich der EU-Rat zumindest in einigen Bereichen durchgesetzt hat. Deutschland will nun trotz des anfänglichen Widerstands auch dem AI Act zustimmen. Es bleibt abzuwarten, ob der AI Act letzten Endes tatsächlich zu einer angemessenen und einheitlichen Balance zwischen Sicherheit, Innovation und Grundrechten sowie der Stärkung von Betroffenenrechten beiträgt.
Bonus: Millionen-Bußgeld gegen Uber
Kurz vor Redaktionsschluss wurde gemeldet, dass sich die niederländische Aufsichtsbehörde Autoriteit Persoonsgegevens dem Januar-Trend der CNIL angeschlossen und gegenüber dem Fahrdienstleister Uber ebenfalls ein Bußgeld in Höhe von 10.000.000 EUR verhängt hat, weil das Unternehmen seine europäischen Fahrer nicht ausreichend darüber informiert habe, wie lange es ihre Daten aufbewahrt und in welche Länder außerhalb Europas diese übermittelt wurden. Zudem habe es man den Fahrern auch schwer gemacht, ihre Betroffenenrechte wahrzunehmen.
