Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen und Datenschutzbeauftragte einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Juni 2021.
Der Inhalt im Überblick
Zu umfassende Datenverarbeitung beim Einsatz von Bodycams
Die Stockholmer Nahverkehrsgesellschaft (Storstockholms Lokaltrafik, kurz: SL) hatte Fahrkartenkontrolleure mit Bodycams ausgestattet, welche kontinuierlich Video- und Tonaufzeichnungen der Fahrgäste angefertigt haben. Zwar wurden diese Aufnahmen nach einer Minute gelöscht, sofern der Kontrolleur nicht die Aufnahmetaste der Kamera betätigt hat. Allerdings waren die Kontrolleure angewiesen worden, die Kamera während ihrer gesamten Schicht eingeschaltet zu lassen. Täglich nutzen mehrere 100.000 Menschen die öffentlichen Verkehrsmittel in Stockholm. Der Zweck der Bodycams war es, bedrohliche Situationen zu verhindern, Vorfälle zu dokumentieren und sicherzustellen, dass die richtige Person mit einem Bußgeld belegt wird, wenn sie keinen gültigen Fahrschein besitzt. Die schwedische Datenschutzbehörde bemängelte, dass die mit dem Einsatz von Bodycams einhergehende Datenverarbeitung zu umfangreich und teilweise nicht erforderlich für die verfolgten Zwecke gewesen sei.
So hätte es ausgereicht, die Voraufnahmezeit beispielsweise auf 15 Sekunden zu begrenzen. Auch seien Tonaufzeichnungen nicht notwendig gewesen, um Schwarzfahrer zu identifizieren. Erschwerend kam hinzu, dass SL nicht ausreichend über die Datenverarbeitung informiert habe. Die Betroffenen müssten nicht damit rechnen, bei der Nutzung öffentlicher Verkehrsmittel abgehört zu werden.
Behörde: Integritetsskydds myndigheten (Schweden)
Branche: Verkehrsbetrieb
Verstoß: Art. 5 Abs. 1 lit. a und c DSGVO, Art. 6 Abs. 1 lit. f DSGVO, Art. 13 DSGVO
Bußgeld: 1.566.125 EUR (16 Mio. SEK)
Die schwedische Aufsichtsbehörde ist im Juni sehr aktiv gewesen. Auch ein staatlicher medizinischer Beratungsdienst bekam sein Fett weg, weil dieser Gesundheitsdaten rechtswidrig offengelegt hatte. Der Einsatz von Kameras im öffentlichen Raum ist generell hochgradig umstritten. Der Einsatz von Bodycams startete in Deutschland 2013 mit einem Pilotprojekt bei der hessischen Polizei, bei dem der zuständige Landesdatenschutzbeauftragten einbezogen wurde. Schon damals wurde von diesem insbesondere die Möglichkeit von Tonaufnahmen kritisch bewertet. Mittlerweile sind Bodycams hierzulande bei den Polizeibehörden fast flächendeckend im Einsatz. In einigen Polizeigesetzen finden sich mittlerweile auch explizite Rechtsgrundlagen zur Anfertigung von Tonaufnahmen mittels Bodycam. Zuletzt sorgte bei der Thematik die Bundespolizei für Schlagzeilen, da sie zum Speichern ihrer Bodycam-Aufnahmen eine externe Cloud-Lösung nutzt, die von Amazon-Web-Services (AWS) bereitgestellt wird. Dies bewertet der BfDI Ulrich Kelber als rechtswidrig.
Durch die weite Verbreitung von Bodycams bei der Polizei steigt bei privaten Sicherheitsunternehmen das Interesse an deren Einsatz. Daher hatten wir die Voraussetzungen dafür in dem Beitrag „Private Nutzung von Bodycams und der Datenschutz“ beschrieben. Insbesondere hatten wir auch darauf hingewiesen, dass Tonaufnahmen oftmals zu unterbinden sind, damit ein Einsatz von Bodycams verhältnismäßig ist. Eben dieses Versäumnis wurde der SL bei diesem Bußgeld mit zum Verhängnis.
Werbemaßnahmen ohne gültige Einwilligungen
Der italienische Energieversorger Iren Mercato S.p.A. hat personenbezogene Daten für Telemarketing-Aktivitäten ohne die erforderlichen Einwilligungen der betroffenen Personen über einen längeren Zeitraum verarbeitet. Betroffen waren ausweislich der Ermittlungen der italienischen Datenschutzaufsicht mehrere Millionen Menschen. Das Unternehmen hatte diese Daten dabei nicht selbst erhoben, sondern von zwei anderen Unternehmen erworben. Diese hatten zwar die Einwilligung der Betroffenen für das von ihnen und von weiteren Dritten durchgeführte Telefonmarketing eingeholt. Die Einwilligungen erstreckten sich allerdings nicht auf die Weitergabe von Kundendaten an Iren Mercato.
Die italienische Aufsichtsbehörde machte deutlich, dass die Einwilligung, die ein Kunde einem Unternehmen für Werbemaßnahmen Dritter erteilt, ihre Wirksamkeit nicht für spätere Übertragungen an andere Werbetreibende gelten kann. Eine Einwilligung müsse stets für einen konkreten Zweck erteilt werden. Der Sachverhalt kam ans Licht, als Beschwerden mehrerer Personen bei der italienischen Aufsichtsbehörde eingegangen sind. Das relativ hohe Bußgeld kam auch deswegen zustande, da die Datenschutzverletzungen aus grober Fahrlässigkeit begangen worden sind. Die Verantwortliche hätte klar erkennen müsste, dass diese Form der Datenverarbeitung unrechtmäßig gewesen ist.
Behörde: Garante per la protezione dei dati personali (Italien)
Branche: Energieversorgung
Verstoß: Art. 5 Abs. 1 und 2 DSGVO, Art. 6 Abs. 1 DSGVO, Art. 7 Abs. 1 DSGVO
Bußgeld: 2.856.169 EUR
Ein Blick auf aktuelle Bußgeld-Fälle zeigt regelmäßig, dass unzulässige Werbemaßnahmen ohne Einwilligung mit Abstand den ersten Platz einnehmen. Kein Wunder – nicht umsonst werden (personenbezogene) Daten als DER Rohstoff des 21. Jahrhunderts bezeichnet. Die Verarbeitung zu Marketingzwecken ohne Einwilligung stellt im Regelfall einen Datenschutzverstoß bzw. eine Datenschutzverletzung dar. Aber nicht nur bei Werbung per Telefon oder per E-Mail lauern Gefahren. Selbst bei postalischer Werbung sind datenschutz- und wettbewerbsrechtliche Vorschriften zu beachten. Im Rahmen der Einwilligung ist zudem zu beachten, dass diese zwar auch mündlich erteilt werden kann, aber gemäß Art. 7 Abs. 1 DSGVO immer dokumentiert werden muss.
Keine Löschfristen und andere Datenschutzverstöße
BRICO PRIVÉ betreibt einen Online-Shop für die Bereiche Gartenarbeit und Heimwerken, u. a. in Frankreich und Spanien. Eine Überprüfung bereits im November 2018 hatte ergeben, dass BRICO PRIVÉ überhaupt keine Aufbewahrungsfristen für gespeicherte Nutzerdaten definiert und damit einhergehend keine regelmäßige Löschung oder Archivierung nicht länger benötigter Daten vorgenommen hatte. So waren in der aktiven Datenbank 16.653 Einträge von Personen enthalten, welche seit über fünf Jahren keine Bestellungen mehr aufgegeben hatten. Nach der Überprüfung hatte das Unternehmen zwar neue, datenschutzkonforme Richtlinien für die Aufbewahrung von Nutzerdaten eingeführt. Allerdings hatten weitere Untersuchungen ergeben, dass diese nicht ordnungsgemäß angewendet worden sind. Im März 2020 waren Daten von mehr als 130.000 Personen gespeichert, welche sich über fünf Jahre nicht mehr in ihrem Account angemeldet hatten.
Erschwerend kam hinzu, dass das Unternehmen auch Löschbegehren betroffener Personen nicht ordnungsgemäß nachgekommen ist. So wurden Accounts zum Teil nur deaktiviert, aber nicht vollständig gelöscht. Die Ermittlungen hatten zudem ergeben, dass das Unternehmen die Informationspflichten nach Art. 13 DSGVO nicht ausreichend erfüllt und keine angemessenen technischen und organisatorischen Maßnahmen getroffen hatte. Insbesondere der Umgang mit Passwörtern habe nicht den gängigen Sicherheitsstandards entsprochen.
Behörde: Commission Nationale de l’Informatique et des Libertés (Frankreich)
Branche: Online-Shop
Verstoß: Art. 5 Abs. 1 lit. e DSGVO, Art. 13 DSGVO, Art. 17 DSGVO, Art. 32 DSGVO, Art. L. 34-5 CPCE, Art. 82 La loi Informatique et Libertés
Bußgeld: 500.000 Euro
Das Recht auf Löschung – auch bekannt als „Recht auf Vergessenwerden“ – ist ein zentrales Thema der DSGVO. Nach Art. 17 DSGVO sind personenbezogene Daten zu löschen, wenn sie nicht mehr benötigt werden. Die Deutsche Wohnen SE aus Berlin hat es mit einem besonders hohen Bußgeld erwischt, weil auch hier über viele Jahre Löschvorschriften missachtet worden sind. Umso wichtiger ist ein funktionierendes Löschkonzept. Einen Grundstein können hier bereits datenschutzfreundliche Voreinstellungen legen.
Dauerhafte Videoüberwachung von Feuerwehrleuten
Der schwedische Rettungsdienst Östra Skaraborg hat in insgesamt acht Feuerwachen eine Videoüberwachung seiner Mitarbeiter durchgeführt. Die Ermittlungen der Datenschutzaufsicht hatten ergeben, dass die Überwachung rund um die Uhr stattgefunden habe, obwohl der Rettungsdienst selbst angab, dass eine Videoüberwachung nur bei ausgelöstem Alarm erforderlich sei. Teilweise wurden sogar Umkleidekabinen – ohne Rechtsgrundlage – überwacht. Auch hatten insgesamt 29 Personen Zugriff auf die Aufnahmen, was in diesem Fall deutlich gegen das „Need-to-know-Prinzip“ verstoßen hatte.
Behörde: Integritetsskydds myndigheten (Schweden)
Branche: Öffentliche Einrichtung (Rettungsdienst)
Verstoß: Art. 5 Abs. 1 lit. a und c DSGVO, Art. 32 Abs. 1 und 4 DSGVO
Bußgeld: 34.723 EUR (350.000 SEK)
Die Überwachung von Arbeitnehmern ist stets ein sehr heikles Thema. Vor allem eine verdeckte Videoüberwachung darf ein Arbeitgeber nur als Ultima Ratio verwenden. Eine offene Videoüberwachung ist im Regelfall einfacher möglich. Dies gilt zumindest dann, wenn diese dazu dienen soll, Straftaten zu verhindern und dabei keinen übermäßigen Überwachungsdruck auf die Belegschaft ausübt. Keinesfalls dürfen aber Rückzugsräume wie beispielsweise Umkleidekabinen überwacht werden. Mit diesen Themen muss sich nicht nur der Europäische Gerichtshof für Menschenrechte immer wieder beschäftigen. Auch der Europäische Datenschutzausschuss hat sich zu der Problematik in der jüngeren Vergangenheit schon mehrfach geäußert.
Fehlende Autorisierungsprüfung beim Kunden-Login
Der norwegischen BRAbank ASA war eine schwere Datenpanne unterlaufen, da mehrere Kunden in ihrem jeweiligen Account die Daten anderer Kunden einsehen konnten. Der Abschnitt war kurz zuvor für 500 ausgewählte Kunden freigeschaltet worden und sollte unter anderem einen Überblick über bei der Bank aufgenommene Kredite ermöglichen. Die Bank hatte vor Implementierung der neuen Funktionen der Website weder eine Analyse möglicher Risiken für die Betroffenen vorgenommen. Auch sind die technischen und organisatorischen Maßnahmen nach Ansicht der Datenschutzaufsicht nicht ausreichend gewesen.
Behörde: Datatilsynet (Norwegen)
Branche: Bank
Verstoß: Art. 24 Abs. 1 DSGVO, Art. 32 Abs. 1 und 2 DSGVO
Bußgeld: 39.297 Euro (400.000 NOK)
Kontoinformationen und andere Bankdaten sind zwar keine besonderen Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO, allerdings handelt es dabei trotzdem in aller Regel um sehr sensible Daten. Daher kommt es hier ganz besonders auf angemessene technische und organisatorische Maßnahmen (TOM) an. Eine andere spannende Frage in diesem Zusammenhang ist, ob TOMs abdingbar sind oder nicht. Jedenfalls sollte bei umfangreichen oder besonders sensiblen Daten immer geprüft werden, ob möglicherweise eine Datenschutzfolgeabschätzung notwendig ist.
Liebes Team von Dr. Datenschutz,
vielen Dank für den wie immer sehr informativen Artikel. Nach welchen Kriterien suchen Sie Bußgelder für die Berichte aus?
Es freut uns sehr, dass Ihnen unsere neue Blogreihe gefällt. Bei der Auswahl spielt z. B. die Bußgeldhöhe eine Rolle. Noch wichtiger ist aber sicherlich die thematische Relevanz für unsere Leser und für unsere Kunden. Dabei decken wir eine möglichst weite Bandbreite ab. Hier lassen sich gewisse Trends erkennen. So werden sehr häufig Bußgelder wegen unzulässiger Werbemaßnahmen verhängt. Auch werden relativ häufig Verstöße gegen Informationspflichten nach Art. 13 DSGVO oder nicht ausreichende technische und organisatorische Maßnahmen sanktioniert.