Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Juni 2023.
Der Inhalt im Überblick
Unzureichende Auskunft: Millionen-Strafe für Spotify
Die schwedische Datenschutzbehörde hat als federführende Behörde nach mehreren Beschwerden von Privatpersonen Untersuchungen in die Wege geleitet und im Juni final entschieden, dass der Musikstreaminganbieter dem in der DSGVO verankerten Auskunftsrecht nicht hinreichend nachgekommen ist. Da Spotify AB als Unternehmen mit Niederlassungen und Nutzer:innen in vielen EU-Staaten agiert, wurden aufgrund des grenzüberschreitenden Charakters alle Datenschutzbehörden in der EU in den Fall mit einbezogen. Verhängt wurde das Bußgeld in Höhe von 4,99 Mio. € deshalb, weil Nutzer:innen, die Auskunftsansprüche gegenüber Spotify geltend machten, regelmäßig keine vollständige Auskunft erhielten. Es fehlten die Zwecke der Verarbeitung, die die Kategorien von personenbezogenen Daten, auf die sich die Verarbeitung bezieht, sowie die Kategorien von Empfängern der personenbezogenen Daten. Außerdem fehlten Informationen zu Sicherheitsvorkehrungen bei der Übermittlung personenbezogener Daten an Drittländer und der Zeitraum, in dem die personenbezogenen Daten erfasst wurden, war ungenau.
Behörde: Integritetsskydds myndigheten
Branche: Musikstreaminganbieter
Verstoß: Art. 12 Abs. 1 DSGVO, Art. 15 Abs. 1 lit. a)-d) DSGVO
Bußgeld: 4.992.038 Euro
Das Auskunftsrecht ist als eines der stärksten Betroffenenrechte zu bewerten. Dieses Beispiel aus der Praxis zeigt, wie empfindlich die Aufsichtsbehörden reagieren, wenn Auskunftsersuchen nicht hinreichend nachgekommen wird. Über das Auskunftsrecht im Detail informieren wir in unserem Fachbeitrag.
E-Mail-Newslettersystem ohne Möglichkeit zur Abmeldung
Die Landesbeauftragte für den Datenschutz in Niedersachen erließ ein DSGVO-Bußgeld in Höhe von 50.000 €, weil ein Versandhändler ein E-Mail-Newslettersystem betrieb, das über einen relevanten Zeitraum keine Abmeldungen zuließ. Grund dafür war eine technische Störung. Da das Unternehmen Newsletter in relativ hoher Frequenz versendet hatte, führte dies bei einzelnen datenschutzrechtlich Betroffenen zu einer erheblichen Zahl unerwünschter E-Mails. Einige Betroffene versuchten sich durch Geltendmachung ihrer Betroffenenrechte auf anderem Wege zu helfen. Abmeldungen vom Newsletter über Service-Mitarbeitende des Unternehmens waren allerdings ebenfalls erfolglos, sodass Werbewidersprüche im Ergebnis nicht beachtet wurden. In zumindest einem Fall wurde darüber hinaus auch die vom Betroffenen verlangte Auskunft nicht erteilt.
Behörde: Die Landesbeauftragte für den Datenschutz Niedersachsen
Branche: Versandhändler
Verstoß: Art. 15, 21 DSGVO
Bußgeld: 50.000 Euro
E-Mail-Marketing in Form von Newslettern erfreut sich nach wie vor großer Beliebtheit. Da es einige wettbewerbsrechtliche aber insbesondere datenschutzrechtliche Aspekte zu beachten gilt, verwundert es nicht, dass auch die deutschen Aufsichtsbehörden das Thema im Blick haben. Wenn aber die wichtigsten Aspekte umgesetzt sind, steht der Umsetzung des Datenschutzes beim E-Mail-Marketing nichts mehr entgegen.
Alexa, eine Geldstrafe für Amazon bitte
Kein Bußgeld nach der DSGVO, aber höchst aufsehenerregend: In einem umfangreichen Verfahren gegen Amazon sowie zwei seiner Tochterunternehmen haben die Federal Trade Commission (FTC) und das Justizministerium DOJ ein Bußgeld von 28,8 Mio. Euro verhängt. Das Bußgeld setzt sich aus zwei Fällen zusammen: Zunächst habe das von Amazon übernommene Sicherheitsunternehmen Ring Daten seiner Kunden nicht ausreichend geschützt und Sicherheitsmerkmale der Produkte unrichtig dargestellt. Durch Amazon wurde Mitarbeitern und Auftragnehmern erlaubt, über Ring gesammeltes Videomaterial anzusehen, was zu einer schwerwiegenden Verletzung der Privatsphäre der Kunden geführt habe. Weiter gefüttert wurde das Bußgeld durch Alexa, Amazons sprachaktivierte Assistentin. Alexa bewahrte Aufnahmen von Kinderstimmen auf unbestimmte Zeit auf, manchmal sogar, nachdem die Eltern ihre Löschung gewünscht hatten. Unter den Aufnahmen waren auch sensible Geolokalisierungsdaten. Außerdem wurde der Algorithmus anhand der Daten trainiert.
Behörde: Federal Trade Commission
Branche: Onlineversandhändler
Verstoß: Sec. 5 FTC Act
Bußgeld: 28.802.378 Euro
Dass Amazon beim Thema Datenschutz wenig Ehrgeiz zeigt, dürfte bekannt sein. Auch nach unzähligen Verfahren und Skandalen rund um das Thema Datenschutz lernt der Konzern, der mit Nutzerdaten seine Prozesse optimiert und Umsätze steigert, offenbar nicht dazu. Mehr Wissen über die Sprachassistentin Alexa und den Datenschutz finden Sie in unserem Fachbeitrag.
Vorsicht beim Einsatz von Google Analytics
Und wieder die Schweden: Basierend auf einer Beschwerde leitete die schwedische Datenschutzbehörde IMY Ermittlungen wegen der Übermittlung personenbezogener Daten in die USA ein. Dies mündete in einem Bußgeld in Höhe von 1.016.475 Euro. Grund dafür war, dass das betreffende Telekommunikationsunternehmen das Statistik-Tool Google Analytics auf seiner Website eingesetzt hatte. Die Übermittlung und Speicherung personenbezogener Daten durch Google Analytics in ein Drittland war auf die Standardvertragsklauseln gestützt worden. Jedoch bemängelte die Behörde zusätzliche von Google oder dem Unternehmen implementierte, ausreichende technische Schutzmaßnahmen, welche einen Zugriff auf die personenbezogenen Daten durch US-Geheimdienste verhindern könnten.
Behörde: Integritetsskydds myndigheten
Branche: Telekommunikationsunternehmen
Verstoß: Art. 44 DSGVO
Bußgeld: 1.016.475 Euro
Die schwedische Aufsichtsbehörde hat sich in seiner Begründung des Bußgelds auf das allseits bekannte Schrems II-Urteil des EuGH gestützt. Wie wir bereits berichteten, prüfen auch die deutschen Aufsichtsbehörden seitdem koordiniert Datentransfers von Unternehmen in Drittländer. Gerade im Hinblick auf Google Analytics ist große Vorsicht geboten, da mehrere europäische Aufsichtsbehörden den Einsatz von Google Analytics bereits als unzulässig erklärt haben. Wer auf Nummer sicher gehen möchte, schaut sich wohl besser nach Alternativen um. Falls Sie das Tool trotzdem einsetzen wollen, muss dies zumindest datenschutzkonform geschehen.
Mangelnde Sicherheit aufgrund fehlender Multifaktor-Authentifizierung
Die isländische Aufsichtsbehörde verhängte gegen ein im Gesundheitssektor agierendes Unternehmen ein Bußgeld nach der DSGVO. Dem lag eine fehlende Multifaktor-Authentifizierung für den Zugang von Mitarbeitern und Anbietern von Gesundheitsdienstleistungen zu Informationssystemen mit Gesundheitsinformationen zugrunde. Hinzu kam, dass das Unternehmen reale Daten in einem Testlauf für ein Sicherheitssystem verwendet hatte.
Behörde: Persónuvernd
Branche: Gesundheitsunternehmen
Verstoß: Art. 5 Abs. 1 lit. f) DSGVO, Art. 25 DSGVO, Art. 32 DSGVO
Bußgeld: 13.468 Euro
Dieser Fall aus der Praxis zeigt, dass Verstöße gegen die Sicherheit der Datenverarbeitung nach Art. 32 DSGVO immer mehr in den Fokus rücken. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen ist ein unumgängliches Thema. Um Daten zu schützen und diese gegen Zugriffe abzusichern, gibt es verschiedene Möglichkeiten der Authentifizierung. Insbesondere wenn auch Gesundheitsdaten als besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO betroffen sind, ist dies umso wichtiger. Es ist daher gut und richtig, dass Aufsichtsbehörden europaweit Verstöße dieser Art sanktionieren.
