Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Juli 2021.
Der Inhalt im Überblick
- Datenschutzrechtliche Verstöße im Zusammenhang mit personalisierter Werbung und der Weitergabe von Daten an Dritte
- Verstoß gegen Speicherbegrenzung bei mehr als 2 Mio. Kunden- und Interessentendaten
- Unzulässiger Einsatz von Profiling im Rahmen der Fahrerverwaltung
- Umfangreiche Gesichtserkennungssysteme in über 40 Supermärkten
- Mangelnde Einbindung und Unabhängigkeit des Datenschutzbeauftragten
Datenschutzrechtliche Verstöße im Zusammenhang mit personalisierter Werbung und der Weitergabe von Daten an Dritte
Dieser Monat endete mit einem wahren Paukenschlag und Jubelrufen aus den Reihen der Datenschützer/innen. Der Versandhandel-Gigant Amazon erhielt am 16. Juli von der luxemburgischen Datenschutzbehörde ein Rekordbußgeld in Höhe von 746 Millionen Euro und somit auch das höchste Bußgeld seit Inkrafttreten der DSGVO. Laut Bloomberg ist das Bußgeld auf eine Beschwerde aus dem Jahr 2018 zurückzuführen, die von der französischen Bürgerrechtsorganisation „Le Quadrature du Net“ initiiert wurde. Die Amazon Europe Core S.à.r.l hat den Erhalt des Bußgeldes in ihrem Quartalsbericht angegeben, dementiert jedoch das Vorliegen eines Datenschutzverstoßes. Die luxemburgische Aufsichtsbehörde hat sich hierzu selbst nicht geäußert, da sie in Einzelfällen zur Verschwiegenheit verpflichtet ist.
Behörde: CNPD (Luxemburg)
Branche: Online-Versandhandel
Verstoß: bisher unbekannt
Bußgeld: 746.000.000 Euro
Obwohl über den Datenschutzverstoß von Amazon noch wenig bekannt ist, verwundert diese Konsequenz tatsächlich niemanden. Bei den ganzen Sorgen darüber, dass Alexa Gespräche mithören könnte oder bei den tiefgreifenden Leistungskontrollen der Amazon-Beschäftigten ist es wohl noch überraschender, dass Amazon bisher mit 35 Millionen Euro im letzten Jahr noch glimpflich davongekommen ist in Relation zu dem hohen weltweiten Jahresumsatz. Wir warten gespannt auf die weiteren Informationen über das Bußgeld und der einen oder anderen Lektion, die Amazon noch daraus ziehen wird… oder nicht.
Verstoß gegen Speicherbegrenzung bei mehr als 2 Mio. Kunden- und Interessentendaten
Die französische Aufsichtsbehörde führte 2019 Kontrollen bei der Unternehmensgruppe AG2R LA MONDIALE durch, die im Versicherungssektor angesiedelt ist. Dabei traf es vor allem die Konzerngesellschaft SGAM AG2R LA MONDIALE schwerer, welche für die Gruppe Tätigkeiten in Bezug auf die Koordinierung von Vorsorge-, Abhängigkeits-, Kranken-, Spar- und Zusatzrentenversicherungen erbringt. Das Unternehmen hatte Daten von fast 2.000 Interessenten mehrere Jahre nach dem letzten Kontakt noch aufbewahrt. In Bezug auf die Kundendaten wurde ebenfalls nicht die maximale Aufbewahrungsfrist eingehalten und Daten von mehr als 2 Mio. Kunden über 10 oder 30 Jahre lang gespeichert, zum Teil samt Gesundheitsdaten. Zwar hatte SGAM bereits Löschfristen für solche Archive definiert, jedoch wurden diese nicht in den Systemen und Anwendungen implementiert. Darüber hinaus hatte die französische Aufsichtsbehörde herausgefunden, dass zahlreiche Werbeanrufe nicht ordnungsgemäß durchgeführt wurden. Weder wurden die Betroffenen hinreichend nach Art. 13 DSGVO über die Datenverarbeitung informiert, noch wurden sie auf ihr Widerspruchsrecht hingewiesen.
Behörde: CNIL (Frankreich)
Branche: Versicherung
Verstoß: Art. 5 Abs. 1 lit. e DSGVO, Art. 13 DSGVO, Art. 14 DSGVO
Bußgeld: 1.750.000 Euro
Die Missachtung des datenschutzrechtlichen Grundprinzips der Speicherbegrenzung kommt in der Unternehmenslandschaft leider nicht selten vor. Insbesondere die Umsetzung von automatischen Löschfristen seitens jeder genutzten Software entgeht sogar dem wachsamsten Auge. Umso wichtiger ist es, ein Löschkonzept im Unternehmen zu implementieren und auch fortlaufend auf die Vollständigkeit hin zu überprüfen. Zwar scheint das Löschkonzept auf den ersten Blick ein unlösbares Rätsel zu sein, aber mit ein paar Tipps meistern Sie selbst diese Hürden.
Unzulässiger Einsatz von Profiling im Rahmen der Fahrerverwaltung
Der italienische Essenslieferant Foodinho s.r.l. hat sich direkt mehrere datenschutzrechtliche Fettnäpfchen geleistet und musste dementsprechend auch tief in die Tasche greifen. Die GPDP verhängte gegen das Unternehmen ein Bußgeld in Höhe von 2,6 Mio. Euro, da es für die Einsätze von insgesamt 19.000 Fahrer und Fahrerinnen ein datenschutzrechtlich bedenkliches System einsetzte. Mithilfe eines sehr genauen Algorithmus wurden die Beschäftigten bewertet und ihre Aufträge entsprechend dieser Datenauswertung automatisch verwaltet. Diese Form der Datenverarbeitung stellt ein Profiling nach Art. 22 DSGVO dar, welches grundsätzlich einer umfassenden datenschutzrechtlichen Vorprüfung unterliegen muss sowie von schützenden Maßnahmen begleitet werden sollte. Foodinho hatte weder eine Datenschutz-Folgenabschätzung durchgeführt, noch wurden die Beschäftigten angemessen nach Art. 13 DSGVO über die Verarbeitung ihrer Daten informiert. Insgesamt wurden bei den Datenverarbeitungen auch nicht die Grundsätze der Datenminimierung und der Speicherbegrenzung gewahrt.
Behörde: GPDP (Italien)
Branche: Lieferdienst
Verstoß: Art. 5 Abs. 1 lit. a, c, e DSGVO, Art. 13 DSGVO, Art. 22 Abs. 3 DSGVO, Art. 25 DSGVO, Art. 30 Abs. 1 lit. a, b, c, f, g DSGVO, Art. 32 DSGVO, Art. 35 DSGVO, Art. 37 Abs. 7 DSGVO
Bußgeld: 2.600.000 Euro
Unternehmen, die ihre Beschäftigten überwachen wollen, sind keine Seltenheit. Vor allem bei Lebensmittellieferanten scheint es ein vielgesehener Trend zu sein, die Beschäftigten der Totalüberwachung zu unterziehen, damit die Kunden ihr Essen unterwegs genau lokalisieren können. Insbesondere bei umfangreichen Datenverarbeitungen, die Tracking oder Profiling einsetzen, ist jedoch besondere Vorsicht geboten. Dies bedeutet nicht, dass Profiling per se verboten ist. Unter besonderen Voraussetzungen, mit angemessenen technischen und organisatorischen Maßnahmen und einer wirksamen Rechtsgrundlage kann auch das Profiling datenschutzrechtlich sicher durchgeführt werden. Was man leider in diesem Fall nicht sagen kann.
Umfangreiche Gesichtserkennungssysteme in über 40 Supermärkten
Die spanische Supermarktkette MERCADONA, S.A. hatte in 40 ihrer Supermärkte ein System mit Gesichtserkennung angebracht und diese dazu verwendet, Personen aufzuspüren, die verurteilt wurden oder denen eine einstweilige Verfügung anhing. Das System erfasste jede Person beim Betreten der besagten Filialen, einschließlich Minderjähriger und Beschäftigte der Supermärkte. Nachdem die Medien diesen Umstand aufgedeckt hatten, ermittelte auch die spanische Datenschutzbehörde und verhängte gegen das Unternehmen ein Bußgeld in Höhe von 2,5 Mio. Euro. Somit hat das Unternehmen gegen den Grundsatz der Datenminimierung verstoßen, seine Informationspflicht nach Art. 13 DSGVO verletzt und es unterlassen, eine Datenschutz-Folgenabschätzung durchzuführen. Angesichts der umfangreichen und systematischen Überwachung hätte der Verantwortliche zu dem Schluss kommen sollen, dass eine vorherige Konsultation der Datenschutzbehörde notwendig gewesen wäre.
Behörde: AEPD (Spanien)
Branche: Einzelhandel
Verstoß: Art. 5 Abs. 1 lit. c DSGVO, Art. 6 DSGVO, Art. 9 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 25 Abs. 1 DSGVO, Art. 35 DSGVO
Bußgeld: 2.520.000 Euro
Gesichtserkennungssoftwares sind Datenschützern schon immer ein Dorn im Auge gewesen, wie beispielsweise die Gesichtserkennungs-App ClearView. Dabei ist insbesondere ausschlaggebend, dass sensible biometrische Daten der Betroffenen verarbeitet werden und einer besonderen Schutzwürdigkeit unterliegen. Diesem Umstand hätte MERCADONA mithilfe von datenschutzfreundlichen Voreinstellungen der Gesichtserkennungssysteme sowie einer eingehenden Beurteilung der Risiken für die Rechte und Freiheiten der Betroffenen Rechnung tragen müssen.
Mangelnde Einbindung und Unabhängigkeit des Datenschutzbeauftragten
Die luxemburgische Datenschutzbehörde führe eine Kontrolle bei einem namentlich nicht genannten Unternehmen durch und stellte Unzulänglichkeiten bei der Einbindung des internen Datenschutzbeauftragten fest. Das Unternehmen hatte den Datenschutzbeauftragten nicht angemessen in alle Prozesse in Bezug auf die Verarbeitung von personenbezogenen Daten eingebunden, verfolgte keinen standardisierten Kontrollplan zur Einhaltung der Vorgaben aus der DSGVO und der Datenschutzbeauftragte berichtete ebenfalls nicht direkt an die höchste Managementebene. Darüber hinaus konnte keine ordnungsgemäße und unabhängige Beratung durch den Datenschutzbeauftragten gewährleistet werden. Berichte hinsichtlich datenschutzrechtlicher Belange wurden zuvor mit dem Verwaltungs- und Finanzdirektor inhaltlich abgestimmt, was nach Ansicht der Datenschutzbehörde die Unabhängigkeit des Datenschutzbeauftragten beeinträchtige. Zudem konnte der Datenschutzbeauftragte keine ausreichenden datenschutzrechtlichen Kenntnisse vorweisen, die mit einem ausreichenden Training hätten vertieft werden können.
Behörde: CNPD (Luxemburg)
Branche: Unternehmen unbekannt
Verstoß: Art. 38 Abs. 1 und 3 DSGVO, Art. 39 Abs. 1 lit. a und b DSGVO
Bußgeld: 15.000 Euro
Hier zeigt sich abermals, dass die Bestellung eines internen Datenschutzbeauftragten allein nicht ausreicht. Der Datenschutzbeauftragte sollte stets bei allen Datenverarbeitungsprozessen vorab konsultiert werden und sich selbstständig fortbilden, um in Sachen Datenschutz auf dem neuesten Stand zu sein. Insbesondere die Unabhängigkeit ist bei internen Datenschutzbeauftragten oftmals eine Hürde, da in vielen Fällen die Position des Datenschutzbeauftragten als „Nebentätigkeit“ zur eigentlichen Rolle besetzt wird, sodass die unabhängige Beratung selten erfüllt werden kann. Ein formaler Prozess zur Einbindung des Datenschutzbeauftragten ist empfehlenswert und sollte im Unternehmen auch kommuniziert und gelebt werden.