Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im Juli 2023

Top 5 DSGVO-Bußgelder im Juli 2023

Artikel von Dr. Datenschutz·2. August 2023

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Juli 2023.

Millionenbußgeld wegen Google Analytics

Aufgrund von Beschwerden durch noyb untersuchte die schwedische Datainspektionen (IMY) bei vier schwedischen Unternehmen die Verwendung von Google Analytics auf der jeweiligen Unternehmenswebsite. Betroffen waren Tele 2, CDON (ein schwedischer Onlinehändler) sowie Coop und Dagens Industrie. Coop und Dagens Industrie wurden angewiesen (Art. 58 Abs. 2 lit. d DSGVO) ihren Einsatz von Google Analytics datenschutzkonform zu gestalten. Tele 2 und CDON hingegen wurden mit einem Bußgeld von 12 Millionen Schwedische Kronen sowie 300.000 Schwedische Kronen belegt. In allen Fällen wurde die Übermittlung personenbezogener Daten über Google Analytics in die USA auf Standardvertragsklauseln gestützt. Moniert wurde seitens der Aufsichtsbehörde allerdings, dass keine ausreichenden technischen Schutzmaßnahmen implementiert wurden, die einen Zugriff auf die personenbezogenen Daten durch US-Geheimdienste hätten verhindern können. Dies wäre aufgrund des Schrems II-Urteils nötig gewesen.

Behörde: Datainspektionen (IMY)
Branche: Telekommunikationsdienstleister und Online-Handel
Verstoß: Art. 44 DSGVO
Bußgeld: 1.017.156 Euro + 25.428 Euro

Die IMY verhängt als erste Datenschutzbehörde hohe Bußgelder wegen der Nutzung von Google Analytics. Inhaltlich liegt die Entscheidung auf der Linie auch anderer Datenschutzbehörden, wonach die Nutzung von Google Analytics gegen die DSGVO verstößt. Zwar ist die Problematik des Drittlandtransfers durch den Angemessenheitsbeschluss der EU-Kommission entschärft. Ebenfalls kritisiert wird aber weiterhin, dass zu intransparent ist, was Google mit den Daten selbst anstellt. Daher sollte Google Analytics auch zukünftig mit einer gewissen Vorsicht genutzt werden. Zu empfehlen ist jedenfalls die Vornahme datenschutzfreundlicher Grundeinstellungen.

Datenschutz auch für Mafia-Bosse

Mal ein ganz anderer Sachverhalt lag einem Bußgeld der italienischen Aufsichtsbehörde zugrunde. Dort hatte die Online-Zeitung PalermoToday einen Artikel veröffentlicht, in dem ausführlich über den gesundheitlichen Zustand eines Mafia-Bosses berichtet wird. Veröffentlicht wurde auch eine vollständige Kopie des Berichts über eine detaillierte Laboruntersuchung. In der Berichterstattung über den Gesundheitszustand sowie der Veröffentlichung der Laborergebnisse sah die Aufsichtsbehörde eine Datenschutzverletzung.

Behörde: Garante per la protezione dei dati personali
Branche: Online-Zeitung
Verstoß: Art. 5 Abs. 1 lit. a, c DSGVO, Art. 9 DSGVO, Art. 37 codice della privacy
Bußgeld: 15.000 Euro

Die Entscheidung zeigt, dass gerade bei der Verarbeitung besonderer Kategorien personenbezogener Daten auf ein datenschutzkonformes Handeln geachtet werden sollte. Bei der Bemessung des Bußgelds wirkte sich zugunsten des Verantwortlichen (Citynews S.p.A.) aus, dass der Verantwortliche den Artikel und die zugrundeliegenden Daten bereits gelöscht sowie eine Deindexierung bei Google beantragt hatte.

Übermittlung sensibler Daten über einfache E-Mail

Die spanische OPEN BANK forderte verschiedene Kunden per E-Mail auf, die Herkunft der auf den Bankkonten eingegangen Beträge nachzuweisen. Dies sollte, so die OPEN BANK, der Geldwäscheprävention dienen. Allerdings war eine Antwort auf die Nachfrage der Bank nur als einfache E-Mail-Antwort auf die Aufforderung der Bank möglich. Ein anderer und vor allem ausreichend sicherer Kommunikationskanal, über den die sensiblen Herkunftsnachweise hätten übermittelt werden können, wurde nicht eingerichtet. Aufgrund der Anzahl von 65.000 Betroffenen sah die spanische Aufsichtsbehörde einen schwerwiegenden Verstoß gegen Art. 25 und Art. 32 DSGVO und verhängte ein Bußgeld von 2,5 Millionen Euro.

Behörde: La Agencia Española de Protección de Datos (AEPD)
Branche: Banken
Verstoß: Art. 25 DSGVO, Art. 32 DSGVO
Bußgeld: 2.500.000 Euro

Verantwortliche müssen ihre Datenverarbeitungen durch geeignete technische und organisatorische Maßnahmen absichern. Dazu hätte im vorliegenden Fall auch gehört, dass ein sicherer Kommunikationskanal geschaffen wird, wenn sensible personenbezogene Daten angefordert werden.

Fehlerhafte Angaben zur Verantwortlichkeit

In Italien besteht die Möglichkeit, über die App „Free to X“ Mautgebühren zurückzuverlangen, wenn es zu baustellenbedingten Verspätungen gekommen ist. Größter Betreiber mautpflichtiger Straßen in Italien ist die Autostrade per l’Italia S.p.A. Die italienische Aufsichtsbehörde stellte fest, dass die Autostrade per l’Italia die Daten von 100.000 Nutzern der Mauterstattungsapp als Verantwortlicher verarbeitet hatte. Die vertraglichen Beziehungen zwischen Autostrade per l’Italia und Free to X sowie die den betroffenen Personen bereitgestellten Informationen (Art. 13 DSGVO) sahen jedoch vor, dass die Autostrade per l’Italia lediglich Auftragsverarbeiter ist. Die falsche Einordnung der datenschutzrechtlichen Rollen führte dazu, dass die Informationspflichten nicht ordnungsgemäß erfüllt worden waren.

Behörde: Garante per la protezione dei dati personali
Branche: App-Betreiber
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 13 DSGVO
Bußgeld: 1.000.000 Euro

Diese Entscheidung zeigt einmal mehr, dass die datenschutzrechtliche Rollenverteilung zwischen Verantwortlichen und Auftragsverarbeitern gründlich geprüft werden sollte. Die DSGVO gibt in Art. 4 Nr. 7 und 8 zwar Definitionen des Verantwortlichen und Auftragsverarbeiters zur Hand, allerdings kann die Bestimmung der Verantwortlichkeit im Sinne der DSGVO im Einzelfall schwierig sein.

Unzulässige Mitarbeiterüberwachung durch GPS und Kamera

Für das letzte Bußgeld des Monats bleiben wir in Italien. Dort hatte ein Unternehmen, die Ew Business Machines S.p.A., ein Alarmsystem installiert, für dessen Aktivierung und Deaktivierung die Verwendung von Fingerabdrücken der Mitarbeiter notwendig war. Außerdem verwendete das Unternehmen eine App, bei deren Nutzung kontinuierlich GPS-Daten der Mitarbeiter erfasst wurden. In den Räumlichkeiten des Unternehmens lief ferner durchgehend ein Videoüberwachungssystem, erfasste hierbei Mitarbeiter und zeichnete die Aufnahmen auf. Auch der Ton wurde mit übertragen bzw. aufgezeichnet. Führungskräfte hatten auf das Videoüberwachungssystem über ein Smartphone Zugriff und konnten die Mitarbeiter des Unternehmens über ebenfalls installierte Lautsprecher ermahnen und zur Arbeit anhalten. Die italienische Aufsichtsbehörde stellte fest, dass die Nutzung von Fingerabdrücken und damit die Verarbeitung biometrischer Daten nicht erforderlich ist. Die Mitarbeiter wurden auf die Videoüberwachung nicht hingewiesen und auch die in Italien erforderliche Einbindung einer Gewerkschaft war unterblieben.

Behörde: Garante per la protezione dei dati personali
Branche: Büroausstatter
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 5 Abs. 1 lit. c DSGVO, Art. 9 DSGVO, Art. 13 DSGVO, Art. 88 DSGVO, Art. 114 codice della privacy
Bußgeld: 20.000 Euro

Angesichts der gravierenden Verstöße fällt das Bußgeld von 20.000 Euro niedrig aus. Die Entscheidung der italienischen Aufsichtsbehörde behandelt immer wieder auftretende datenschutzrechtliche Fragen. Vor dem Hintergrund des in der Regel bestehenden Machtgefälles von Arbeitgeber und Arbeitnehmer sind GPS-Überwachung sowie offene oder gar verdeckte Videoüberwachung von Arbeitnehmern nur unter strengen Voraussetzungen zulässig.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.

  • Liebes Dr.Datenschutz-Team, zum Bußgeld 4 App „Free to X“ und Autostrada als ADV erschließt sich mir das Vergehen des Rollenverstosses nicht. Aus meiner Sicht müsste Autostrada unabhängig vom Vertrag Verantwortlicher für die Erstattung von Mautgebühren per App sein und der App-Betreiber ADV, so dass die Informationspflichten nach Art. 13 bei Autostrada liegen. Hat Dr.Datenschutz die Rollen verwechselt oder hat gar keine Information nach Art.13 stattgefunden? Kann ich Nachrichtenquelle zur Prüfung bekommen? Beste Grüße Rechtsanwalt Oliver Niederjohann

  • Die italienische Quelle rettet mich nicht ;-) Hat Dr. Datenschutz geprüft, ob möglicherweise im Bericht die Rollen vertauscht wurden? Aus meiner Sicht kann nur der App-Betreiber ADV sein und die Informationspflichten müssten bei der Autobahngesellschaft liegen.

    • Wie Sie schreiben liegen die Informationspflichten bei der Autobahngesellschaft als verantwortliche Stelle. Da diese aber fehlerhaft davon ausgegangen war, lediglich Auftragsverarbeiter zu sein, hatte sie ihre Informationspflichten nicht ordnungsgemäß erfüllt. Auf der Website der Italienischen Aufsichtsbehörde findet sich eine Pressemitteilung zu dem Fall. Diese ist leider ebenfalls nur in italienischer Sprache, kann aber leichter als der Bescheid selbst ins Deutsche übersetzt werden. Hierfür muss der relevante Text markiert werden und dann auf „Traduzione“ geklickt werden.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.