Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Juni 2022.
Der Inhalt im Überblick
Verwendung von Corona-Daten
Der Besucher eines Bistros in Hessen verließ es, ohne seine Mahlzeit zu bezahlen. Zuvor hatte er sich über das kalte Essen beschwert. Zu diesem Zeitpunkt mussten im Wege der Corona-Kontaktverfolgung noch die Daten der Besuchenden festgehalten werden. Dies machte sich ein Mitarbeitender des Bistros zu Nutze, um den Besucher telefonisch zu kontaktieren. Dies stellt nach Ansicht der hessische Datenschutzbehörde einen Verstoß gegen den Grundsatz der Zweckbindung aufseiten des Gastronomen dar. Bei der Höhe des Bußgeldes wurde nach Aussagen der hessischen Datenschutzaufsicht berücksichtigt, dass die Pandemie negative Auswirkungen auf die wirtschaftliche Lage des Bistros hatte und sich der Inhaber einsichtig und kooperativ zeigte.
Behörde: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Branche: Gastronomie
Verstoß: Art. 5 Abs. 1 lit. b) DSGVO
Bußgeld: 170 Euro
Die Zweckbindung bei der Erbhebung von Daten rund um die gesetzlichen Pflichten im Rahmen der Pandemie war bereits in den entsprechenden Gesetzgebungsverfahren diskutiert und letztlich klargestellt wurden. Die Entscheidung der hessischen Behörde überrascht daher nicht. Vor diesem Hintergrund sei noch einmal daran erinnert, dass inzwischen der überwiegende Teil, der mit Corona im Zusammenhang stehenden Daten gelöscht sein sollte – insbesondere die zweckgebundenen Daten, wie zum Beispiel die Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle, stellte bereits am 19. April 2022 Landesbeauftragte für den Datenschutz Niedersachsen, Frau Thiel, fest. Mit dem Ende der gesetzlichen Verpflichtung entfalle regelmäßig auch die Rechtsgrundlage der Speicherung.
Pflicht des Uploads von Lebensläufen
Ein Äquivalent zur deutschen Arbeitsagentur ist in Norwegen die norwegische Arbeits- und Wohlfahrtsbehörde, die Arbeids- og Velferdsetaten. Um als Arbeitssuchende anerkannt zu werden und Leistungen beziehen zu können, wurden die Betroffenen verpflichtet, ihre Lebensläufe auf einer Plattform der Behörde (arbeidsplassen.nav.no) hochzuladen. Die hochgeladenen Lebensläufe könnten sodann von Arbeitgebenden, die auf der Plattform eingeloggt waren, angesehen werden. Der Anordnung zum Upload der Lebensläufe lag keine gesetzliche Verpflichtung zugrunde. Auch sonst gab es für ein solches Vorgehen keine rechtliche Grundlage – wie die Arbeids- og Velferdsetaten selbst feststellte und den Sachverhalt sodann selbst bei der norwegischen Datenschutzaufsicht anzeigte. Bei der Einschätzung des Sachverhalts kam die Behörde zum gleichen Ergebnis und setzte ein Bußgeld wegen der unrechtmäßigen Verarbeitung sowie wegen eines Verstoßes gegen den Grundsatz der Integrität und Vertraulichkeit fest.
Behörde: Datatilsynet (Norwegen)
Branche: Behörde
Verstoß: Art. 5 Abs. 1 lit. a und f DSGVO und Art. 6 Abs. 1 und 3 DSGVO
Bußgeld: 484.107 Euro
Die Kritik an der DSGVO, dass viele Rechtsfragen aufgrund zu offener Formulierungen, im Einzelfall nur schwierig zu beurteilen sind, ist in Teilen nachvollziehbar. Klarer kann der Wortlaut der DSGVO in diesem Fall aber kaum sein: In Art. 6 Abs. 1 Satz 1 DSGVO ist normiert, „die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist […]“. Die Verarbeitung von Daten bedarf einer Rechtsgrundlage. Dass diese primäre rechtliche Notwendigkeit von einer staatlichen Stelle übersehen, übergangen oder zunächst anders eingeschätzt wird, ist beachtenswert.
Zu lange Speicherung von Daten
Das dänischen Unternehmen Gyldendal betreibt einen Buchclub mit einer großen Anzahl mit Teilnehmenden. Über die Zeit haben sich 685.000 Personen von dem Buchclub angemeldet. Anstatt die Daten der Ausgetretenden zu löschen, hat der Buchclub diese in einer passiven Datenbank aufbewahrt. In mehr als der Hälfte der Fälle wurde die Daten der Betroffenen für mehr als 10 Jahre gespeichert. Ein Prozess zum Löschen von Daten hatte das Unternehmen nicht implementiert. Die Daten der 685.000 Betroffenen wurde im Rahmen des Ermittlungsverfahrens gelöscht und zumindest für diesen Bereich eine neue und angemessene Löschfrist festgesetzt.
Behörde: Datatilsynet (Dänemark)
Branche: Wirtschaftsunternehmen
Verstoß: Art. 5 Abs. 1 lit. e) DSGVO
Bußgeld: 134.432 Euro
Der Fall zeigt, welche Konsequenzen es haben kann, wenn kein prozessuales und gelebtes Löschkonzept implementiert ist. Das Löschkonzept kann ein müheseliges Unterfangen sein, doch die Normierung der Speicherbegrenzung in Art. 5 Abs. 1 lit. e) DSGVO, der die Grundsätze der Verarbeitung personenbezogener Daten normiert, zeigt dessen Bedeutung. Bei der rechtskonformen Erstellung des Löschkonzepts können Datenschutz-Berater:innen einen wesentlichen Beitrag leisten, die Umsetzung und Ausführung des Löschkonzept obliegt jedoch den Unternehmen selbst.
Immer wieder Videoüberwachung
Die Continental Automotive Romania SRL hat auf ihrem Firmengelände in einer westrumänischen Stadt ein offizielles Videoüberwachungssystem montiert. Daneben hat das Unternehmen 135 nicht genehmigte und nicht nach den Unternehmensrichtlinien konfigurierte Überwachungskameras entdeckt. Diese zeichneten außerhalb des offiziellen Videoüberwachungssystems ihre Umgebung auf und waren an nicht offiziell designierte Systeme angeschlossen. Problematisch hier ist vor allem, dass diese entdeckten Kameras überwiegend im Produktionsbereich angesiedelt waren, sodass eine starke Betroffenheit der Mitarbeitenden gegeben war.
Behörde: Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Rumänien)
Branche: Automobilfertigung
Verstoß: Art. 24 DSGVO, Art. 32 Abs. 1 lit. d DSGVO
Bußgeld: 2.000 Euro
Im Juni 2022 wurden mindestens 17 Verstöße, die im Zusammenhang mit Videoüberwachung stehen, sanktioniert. Dabei ist keinesfalls nur der öffentliche Raum betroffen. Auch unzulässige Videoüberwachung auf privatem Gelände beschäftigt die europäischen Datenschutzbehörden. Die Masse an Bußgeldern lässt sich auch damit erklären, dass eine Videoüberwachung regelmäßig von Dritten erkennbar ist und die Sensibilität der Bevölkerung diesbezüglich steigt. Hinzu kommt aber auch die Fortentwicklung der Technik, beispielsweise durch das Filmen von Drohnen einzelner (fremder) Personen ohne rechtliche Grundlage.
Nichtbefolgen der behördlichen Anordnung
Was passiert eigentlich, wenn ein Unternehmen einer Anordnung einer Aufsichtsbehörde nicht nachkommt? Genau, es wird ein Bußgeld wegen Nichtbefolgung der behördlichen Anordnung erlassen. So geschehen in durch die spanische Agencia española protección datos, dem ein denkbar kurzer Sachverhalt zugrunde liegt: Nach der Beschwerde eines Betroffenen hatte die spanische Datenschutzbehörde das Unternehmen AD735 Data Media Advertising S.L. verpflichtet, dem Auskunftsersuchen des Beschwerdeführers zu entsprechen bzw. darzulegen, weshalb die erbetene Auskunft nicht erteilt werden kann. Das Unternehmen ist der Anordnung allerdings nicht nachgekommen.
Behörde: Agencia española protección datos (Spanien)
Branche: Werbebranche
Verstoß: Art. 83 Abs. 6 DSGVO
Bußgeld: 15.000 Euro
Rechtliche Grundlage der Verhängung des Bußgeldes ist Art. 86 Abs. 6 DSGVO. Diese besagt, dass bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Art. 58 Absatz 2 DSGVO Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Die Absätze 4 – 6 des Art. 83 DSGVO nennen einen umfangreichen Katalog an Tatbeständen, die bei Verstößen mit hohen Sanktionen bewährt sind. Die Höhe der Geldbußen richtet sich nach dem verwirklichten Unrechtsgehalt der Verstöße. Zur Bestimmung der Höhe des Bußgeldes werden die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen. Interessant an diesem Bußgeld ist, dass eine Verhängung auf Grundlage des Art. 83 Abs. 6 DSGVO nicht allzu häufig vorkommt.
Fall 1 stimmt nachdenklich. Offenbar ist Datenschutz doch Täterschutz. Gibt es eine Lösung für dieses Problem? Denn das Ergebnis ist nicht nachvollziehbar. Da zahlt jemand die Rechnung nicht und beschwert sich dann auch noch beim LfDI, dass man ihn enttarnt hat. Was wäre der Weg gewesen? Anzeige gegen Unbekannt, Inhalt: wir haben die Kontaktdaten, dürfen sie aber nicht verwenden, erhebt und verwendet Ihr sie? Das wäre das eindeutig weniger milde Mittel. Oder brauchen wir eine Gesetzesänderung? Ausnahmen vom Bußgeld nach Ermessen der Aufsichtsbehörde bei nicht schutzwürdiger Inanspruchnahme des Datenschutzes ?
Ich sehe es ganz anders, das Bußgeld von 170 € ist viel zu gering und vermittelt die Botschaft, dass es okay ist, die zur Kontaktnachverfolgung massenhaft erhobenen Daten zu anderen Zwecken zu nutzen. Diese ganze Kontaktdatenerhebung war ein offiziell tolerierter Datenschutzsupergau. Wie viele offen ausliegende Kontaktlisten mit den Daten der anderen Restaurantgäste habe ich einsehen können? Darauf sollten die Aufsichtsbehörden sich mal einschießen, statt dieses unsäglichen Schrems-Unsinns.
Im Fall 1 geht es aber nicht um eine im Zuge einer Anzeige/Ermittlung erlangte/ermittelte Kontaktmöglichkeit (in welchem Fall der Bistro MA die Daten hätte herausgeben dürfen, siehe §24 BDSG oder gar StPO), sondern um den Missbrauch der Telefonnummer um den Gast per Anruf entsprechend zu belästigen. Der offizielle Weg über die Behörden wäre entsprechend zielführender (und günstiger) gewesen.