Top 5 DSGVO-Bußgelder im Juli 2022

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Juli 2022.

Profilbildung zu Werbezwecken

Wenn bestehende Datensätze zu Werbezwecken ausgewertet, bedarf es in aller Regel einer Einwilligung der Betroffenen. Ein Kreditinstitut nahm es damit allerdings nicht so genau und berief sich hierfür auf Art. 6 lit. f DSGVO (berechtigtes Interesse). Das Unternehmen hatte Daten von aktuellen sowie ehemaligen Kunden ausgewertet mit dem Ziel, Kundinnen und Kunden mit einer höheren Affinität zu digitalen Medien zu identifizieren, um diese dann zu werblichen Zwecken überwiegend auf elektronischen Kommunikationswegen zu kontaktieren.

Mit Hilfe eines Dienstleisters wurde das digitale Nutzungsverhalten analysiert und zum Beispiel die Gesamthöhe von Überweisungen im Online-Banking im Vergleich zur Nutzung des Filialangebots sowie das Gesamtvolumen von Einkäufen in App-Stores ausgewertet. Diese Ergebnisse wurden darüber hinaus mit einer Wirtschaftsauskunftei abgeglichen. Viele Kundinnen und Kunden erhielten zwar vorab Informationen über die Auswertung, eine nach Ansicht der Behörde hier erforderliche Einwilligung wurde jedoch nicht erfragt.

Behörde: Landesbeauftragte für den Datenschutz (LfD) Niedersachsen
Branche: Finanzbranche
Verstoß: Art. 6 Abs. 1 lit. a) DSGVO
Bußgeld: 900.000 Euro

Werden Daten zu Werbezwecken verarbeitet ist besondere Vorsicht geboten. Es sind über den Datenschutz hinaus auch oft weitere rechtliche Vorgaben zu beachten. Insbesondere, wenn man sich man sich auf Art. 6 lit. f) DSGVO als Rechtsgrundlage beruft, muss genau hingeschaut werden. Die werbliche Kommunikation mit Kundinnen und Kunden liegt zwar regelmäßig im Interesse des Verantwortlichen, es überwiegen jedoch nicht selten die Interessen des Betroffenen. Es kommt hier unter anderem auf die vernünftigen Erwartungen der Betroffenen an. Nach Auffassung der Behörde erwarten die Betroffenen regelmäßig nicht, dass große Datensätze genutzt werden, um eine Affinität zu bestimmten Produktkategorien oder Kommunikationswegen zu identifizieren. Es sollte daher stets genau geprüft werden, ob nicht doch eine Einwilligung erforderlich ist.

Forschungsfahrt mit Kameras

Die Volkswagen AG führte mittels eines Dienstleisters Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von Verkehrsunfällen durch. Durch diese Fahrten sollte das System getestet und trainiert werden. An dem Fahrzeug waren zu diesem Zweck mehrere Kameras angebracht, welche zur Fehleranalyse das Verkehrsgeschehen um das Fahrzeug herum aufzeichneten.

Das Fahrzeug war jedoch nicht mit den nötigen datenschutzrechtlichen Informationen versehen. So fehlten etwa Magnetschilder mit Kamerasymbol zur Information der anderen Verkehrsteilnehmer. Eine nähere Prüfung ergab schließlich, dass Volkswagen keinen Auftragsverarbeitungsvertrag mit dem Dienstleister abgeschlossen und auch keine Datenschutz-Folgenabschätzung durchgeführt hatte, was beides erforderlich war. Darüber hinaus fehlte im Verzeichnis der Verarbeitungstätigkeiten eine Erläuterung der technischen und organisatorischen Schutzmaßnahmen.

Behörde: Landesbeauftragte für den Datenschutz (LfD) Niedersachsen
Branche: Automobilbranche
Verstoß: Art. 13 DSGVO, Art. 28 DSGVO, Art. 35 DSGVO, Art. 30 DSGVO
Bußgeld: 1.100.000 Euro

Der Automobilhersteller hat hier gleich mehrfach formale Anforderungen der DSGVO missachtet. Gem. Art. 13 DSGVO besteht eine Informationspflicht darüber, wer die Verarbeitung zu welchem Zweck durchführt und wie lange die Daten gespeichert werden (Wie das bei einem fahrenden Auto genau umgesetzt werden soll bleibt indes fraglich). Die weiteren Anforderungen wie der Abschluss eines Auftragsverarbeitungsvertrages, die Durchführung einer Datenschutz-Folgenabschätzung und die Erläuterung der technischen und organisatorischen Schutzmaßnahmen im Verzeichnis der Verarbeitungstätigkeiten sollte ohne weiteres möglich gewesen sein. Das Bußgeld zeigt, dass die Behörden auch bei den formalen Anforderungen der DSGVO keinen Spaß verstehen. Gegen die Durchführung der Forschungsfahrten an sich erhob die Behörde hingegen keine Einwände.

Verarbeitung der Standortdaten von Mietfahrzeugen

Die französische Datenschutzbehörde (CNIL) hat gegen die Ubeeqo International, einen Anbieter von Mietfahrzeugen, ein Bußgeld verhängt, da diese den Standort seiner vermieteten Fahrzeuge fast permanent überwachte. Es wurden ca. alle 500 Meter Daten über den Standort des Mietfahrzeugs erhoben. Dabei wurden unter anderem auch überwacht, wann das Fahrzeug in Bewegung war, wann der Motor ein- und ausgeschaltet wurde oder wann die Türen geöffnet und geschlossen wurden. Diese Daten wurden für die Dauer der Geschäftsbeziehung und im Anschluss daran für drei Jahre aufbewahrt. Darin sah die CNIL einen Verstoß gegen die Grundsätze der Datenminimierung und der Speicherbegrenzung. Zudem wurden die Nutzer nicht ausreichend über die Datenverarbeitung informiert.

Behörde: CNIL (FR)
Branche: Fahrzeugvermietung
Verstoß: Art. 5 Abs. 1 lit. c), e) DSGVO, Art. 12 DSGVO
Bußgeld: 175.000 Euro

Das Erfassen von Standortdaten stellt regelmäßig einen empfindlichen Eingriff in die Privatsphäre von Einzelpersonen dar, da dadurch ihre Bewegungen und Aufenthaltsorte aufgedeckt werden können. Der Anbieter gab an, dass dies notwendig sei, um die Fahrzeugflotte zu verwalten (etwa um sicherzustellen, dass das Fahrzeug an den richtigen Ort zurückgebracht wird), um das Fahrzeug im Falle eines Diebstahls zu lokalisieren und um den Kunden im Falle eines Unfalls zu unterstützen. Hier war jedoch die CNIL der Ansicht, dass all diese Zwecke auch durch geringfügigere Datenerhebungen erfüllt werden könnten. Eine ständige Standortbestimmung sei in jedem Fall zu viel. Eine Speicherung für die Dauer von drei Jahren hält sie im Falle von Standortdaten für übertrieben, da bei dieser Zeitspanne kaum damit gerechnet werden kann, dass noch Bedarf besteht, diese Daten zur Verwaltung der Fahrzeugflotte, um einem Kunden Hilfe zu leisten oder um ein Fahrzeug im Diebstahlsfall wiederaufzufinden zu verwenden.

Unrechtmäßige Erstellung biometrischer Profile

Bereits im März und Mai diesen Jahres befand sich das US-Unternehmen Clearview AI Inc., dass mittels Gesichtserkennungssoftware biometrische Profile anfertigt, in unseren Top 5 der DSGVO-Bußgelder. Dabei hatten die italienische und die britische Aufsichtsbehörde jeweils ein hohes Bußgeld im Millionenbereich verhängt. Nun hat auch die griechische Datenschutzbehörde nachgezogen und gegen Clearview AI Inc. ein Bußgeld in Höhe von 20.000.000 EUR verhängt. Ausgangspunkt war eine Beschwerde eines Betroffenen, der sich darüber beklagte, dass seinem Auskunftsrecht nicht in ausreichendem Maße entsprochen worden sei. Dies nahm die Behörde zum Anlass, die Praktiken des Unternehmens genauer zu untersuchen. Und wie schon die europäischen Kollegen, kommt auch die griechische Behörde zu keinem erfreulichen Ergebnis. Clearview AI verstößt nach Ansicht der Behörde gegen die Grundsätze der Rechtmäßigkeit und Transparenz.

Neben dem Bußgeld ordnete die Behörde an, dass es dem Auskunftsanspruch des Beschwerdeführers nachkommen muss und untersagte die Erhebung und Verarbeitung personenbezogener Daten von Personen, die sich im griechischen Hoheitsgebiet aufhalten, mittels Gesichtserkennungssoftware. Außerdem wurde angeordnet, dass Clearview AI Inc. die Daten der in Griechenland ansässigen Personen, die das Unternehmen mittels Gesichtserkennung erhebt und verarbeitet, zu löschen hat.

Behörde: Hellenic Data Protection Authority (GR)
Branche: Künstliche Intelligenz/Softwareentwicklung
Verstoß: Art. 5 Abs. 1 lit. a, b und e DSGVO, Art. 6 DSGVO, Art. 9 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO, Art. 15 DSGVO, Art. 27 DSGVO
Bußgeld: 20.000.000 Euro

Die Gründe für das Bußgeld decken sich weitestgehend mit denen der vorangegangenen Bußgelder anderer europäischer Aufsichtsbehörden. Für die Datenverarbeitung besteht nach Ansicht der Behörde keine Rechtsgrundlage und die Betroffenen wurden nicht ordnungsgemäß über die Verarbeitung ihrer Daten informiert. Zudem hat das Unternehmen nach wie vor keinen Vertreter in der EU benannt.

Gesichtserkennungs-Softwares sind grundsätzlich eine datenschutzrechtlich bedenkliche Technologie, die wir bereits mehrfach thematisiert haben. Es bleibt abzuwarten inwieweit die Aufsichtsbehörden anderer EU-Länder hier nachziehen und ob die bisherigen Bußgelder einen spürbaren Eindruck auf die Praktiken der Clearview AI Inc. haben werden.

Versand eines Vertrages an alte Adresse

Die comercializadora regulada, gas & power, s.a., ein spanisches Energieunternehmen, hatte es versäumt, die Kontaktdaten eines Kunden zu aktualisieren, nachdem dieser umgezogen war. Dieser Umstand führte dazu, dass ein neu geschlossener Stromvertrag an die alte Adresse des Kunden versandt wurde. Dadurch wurden personenbezogene Daten des Kunden, einschließlich seiner neuen Adresse gegenüber dem Bewohner offengelegt, der nun an der ehemaligen Adresse des Kunden wohnt. Zu allem Überfluss hatte der Betroffene gegenüber diesem eine einstweilige Verfügung. Hierin sah die Behörde einen Verstoß gegen den Grundsatz der Datenrichtigkeit. Aufgrund der Kooperationsbereitschaft des Unternehmens wurde das Bußgeld von ursprünglich 100.000 EUR auf 60.000 EUR reduziert.

Behörde: AEPD (ES)
Branche: Energiebranche
Verstoß: Art. 5 Abs. 1 lit. d)
Bußgeld: 60.000 Euro

Auch solch banal wirkende Dinge wie die Aktualisierung einer Adresse können die Quelle von bußgeldbewährten Datenschutzverstößen sein und sollten daher von Unternehmen nicht unterschätzt werden. Es gilt daher seine Prozesse so weit zu optimieren, dass solche Fehler weitmöglichst verhindert werden können und auch um auf etwaige Berichtigungsansprüche (Art. 16 DSGVO) von Betroffenen angemessen und zeitnah reagieren zu können.