Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im Juni 2024

Top 5 DSGVO-Bußgelder im Juni 2024

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Juni 2024.

Bankdaten an Meta

Die schwedische Behörde für Datenschutz Integritetsskyddsmyndigheten (IMY) verhängte mit Beschluss vom 25. Juni 2024 eine Geldstrafe in Höhe von 15 Millionen SEK gegen die schwedische Avanza Bank AB (Avanza). Die Bank hatte in der Zeit vom 15. November 2019 bis einschließlich 2. Juni 2021 ein sogenanntes Facebook-Pixel (jetzt Meta-Pixel) verwendet, welches aufgrund falscher Einstellungen personenbezogene Daten von bis zu einer Million Kunden an Meta übermittelt hatte.

Avanza hatte das Analyse-Tool von Meta sowohl auf ihrer Website als auch in der App verwendet, um ihr Marketing auf Facebook zu optimieren. Durch die nachträgliche Aktivierung neuer Funktionen wurden unter anderem Kontaktdaten, Wertpapierbestände, Kontonummern und auch Darlehensbeträge der Kunden an Meta übermittelt. Die Bank gab an, dass diese Funktionen versehentlich aktiviert wurden und sie sich der Übermittlung der personenbezogenen Daten nicht bewusst war.

IMY ist der Ansicht, dass die Bank systematische Sicherheitsvorkehrungen hätte treffen müssen, um die Datenübermittlung zu verhindern oder jedenfalls schnell zu erkennen.

Nach Bekanntwerden des Vorfalls deaktivierte Avanza das Pixel und erklärt, dass auch Meta bestätigt habe, die über das Pixel gesammelten personenbezogenen Daten gelöscht zu haben.

Behörde: Integritetsskyddsmyndigheten
Branche: Bankwesen
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 Abs.1 DSGVO
Bußgeld: 15.000.000 SEK

Der Vorfall zeigt eindrücklich, wie wichtig es ist, das Verfahren zur datenschutzrechtlichen Überprüfung nicht nur bei der Einführung eines neuen Tools zu berücksichtigen sind. Auch bei Hinzukommen neuer Funktionen hat eine Prüfung der Risiken der Nutzung und eine entsprechende Anpassung der technischen und organisatorischen Maßnahmen zu erfolgen, um ein angemessenes Sicherheitsniveau für die personenbezogenen Daten von Website-Besuchern und App-Nutzern zu gewährleisten.

Unrechtmäßige Werbeanrufe

Die italienische Datenschutzbehörde Garante per la Protezione dei Dati Personali wurde auf das Unternehmen Eni Plenitude S.p.A. Società Benefit (Eni Plenitude) aufmerksam, nachdem 108 Meldungen und 7 Beschwerden über den Erhalt unerwünschter Telefonanrufe des Unternehmens eingegangen waren.

Eni Plenitude ist ein Unternehmen, welches unter anderem im Verkauf und Marketing von Gas und Stromverträgen für Haushalte und Unternehmen tätig ist. Nach den diversen Beschwerden stellte die Aufsichtsbehörde ein Auskunftsersuchen und erlangte so Kenntnis, dass aus dem Vertriebsnetz des Unternehmens diverse telefonische Kontaktaufnahmen an Personen stattfanden die entweder keine Zustimmung dazu gegeben hatten oder die sogar ihre Telefonnummer im öffentlichen Einspruchsregister hinterlegt hatten. Daten aus einer „Stichprobenwoche“ zeigten, dass von 747 Verträgen, die in dem ermittelten Zeitraum abgeschlossen wurden, 657 aus einem unzulässigen Kontakt stammten. Würden diese Zahlen, hypothetisch auf ein Jahr hochgerechnet, würde dies 32.850 unrechtmäßig aktivierte Vertragsabschlüsse ergeben.

Zusätzlich zum Bußgeld in Höhe von 6.419.631 Euro verhängte die Behörde gegenüber Eni Plenitude ein Verbot hinsichtlich jeglicher Weiterverarbeitung der Daten von Beschwerdeführern und Hinweisgebern.

Behörde: Garante per la Protezione dei Dati Personali
Branche: Telemarketing
Verstoß: Art. 5 Abs. 1 lit. a), d), f) und Abs. 2 DSGVO, Art. 24 und 25 DSGVO
Bußgeld: 6.419.631 Euro

Am Telefon durch einen unangekündigten Telefonanruf Produkte und Dienstleistungen angepriesen zu bekommen und zu einem Vertragsabschluss bewegt zu werden, empfinden viele Menschen als Belästigung und fühlen sich in ihrer Entscheidungsfindung überrumpelt. Telefonwerbung ist daher europaweit rechtlich eng reglementiert. Nur in bestimmten Fällen lassen wettbewerbs- und datenschutzrechtliche Regelungen Telefonwerbung zu.

Gesichtserkennung am Arbeitsplatz

Ein Autohändler im Süden Italiens mit insgesamt über 40 Beschäftigten hatte in seinen Werkseinrichtungen ein System zur Gesichtserkennung implementiert, um die Anwesenheit der Mitarbeiter festzustellen und die Arbeitsleistung zu messen. Die italienische Aufsichtsbehörde hatte nach der Beschwerde eines Mitarbeiters Kenntnis von dem Vorgehen erlangt. Der betroffene Mitarbeiter erklärte, dass neben der Zugangskontrolle mittels Gesichtserkennungssystem auch jeder Mitarbeiter die an den zugewiesenen Fahrzeugen durchgeführten Reparaturen, die Zeiten und Methoden der Durchführung der Arbeiten sowie die Ausfallzeiten mit konkreten Gründen protokollieren musste.

Das Unternehmen begründete den Einsatz des Systems damit, die Verlässlichkeit der Mitarbeiter zu identifizieren und mutwilligen Arbeitsversäumnissen entgegenzuwirken. Die italienische Datenschutzbehörde sah hierin kein begründetes Interesse, welches die Rechte und Freiheiten der Betroffenen überwiegt. Somit war die mit der Gesichtserkennung einhergehende Verarbeitung biometrischer Daten ohne Rechtsgrundlage erfolgt und es wurde ein Bußgeld in Höhe von 120.000 Euro verhängt.

Behörde: Garante per la Protezione dei Dati Personali
Branche:Automobilindustrie
Verstoß: Art. 5 Abs. 1 lit. a), c), e) DSGVO, Art. 9 Abs. 2 lit. b) DSGVO, Art. 6 und Art. 13 DSGVO
Bußgeld:</strong >120.000 Euro

Biometrischen Daten kommt auch in der DSGVO ein gesonderter Schutz zu. Die Identifizierung mittels Gesichtserkennungssoftware ist deutlich eingriffsintensiver als eine Passwortabfrage und unterliegt wegen der Einordnung unter Art. 9 DSGVO datenschutzrechtlich strengeren Anforderungen.

Veröffentlichung von Bildern Minderjähriger

Die spanische Datenschutzbehörde ermittelte aufgrund einer Beschwerde eines Elternteils gegen den Handballverein von Gijón. Dem Elternteil war aufgefallen, dass der Verein Bilder von seinem im Verein spielenden Kind auf der Webseite des Vereins eingestellt hatte. Es stellte sich heraus, dass die Fotos auf der Webseite eingestellt wurden, ohne dass die gesetzlichen Vertreter zuvor informiert und deren entsprechende Einwilligungen eingeholt worden waren. Die Behörde verhängte ein Bußgeld in Höhe von 42.000 Euro gegen den Verein.

Behörde: Agencia española protección datos
Branche: Produktionsindustrie
Verstoß: Art. 5 Abs. 1 lit. f) DSGVO
Bußgeld: 42.000 Euro

Das Einstellen von Fotos, auf denen Personen der Fokus sind, hat in der Regel nur mit Einwilligung der Betroffenen zu erfolgen. Für minderjährige Kinder unter 16 Jahren regelt Art. 8 DSGVO, dass die Einwilligungserklärung in die Verarbeitung der personenbezogenen Daten des Kindes durch die sorgeberechtigten Eltern als Träger der elterlichen Verantwortung abzugeben ist.

Dokumentierte Abwesenheit am Arbeitsplatz

In der Nudelfabrik CUI ZSQ Food, S.L. (CUI ZSQ) südlich von Madrid hatte ein Mitarbeiter der Produktionsüberwachung Videoaufnahmen der in der Produktionsstätte angebrachten Videoüberwachung in eine Chatgruppe gestellt, in der sämtliche Mitarbeiter des Unternehmens Mitglied sind. In den geposteten Videos sollte gezeigt werden, dass eine Person, die in der Produktion am Fließband tätig war, über einen längeren Zeitraum von ihrem Posten abwesend war. Das Posting soll in der Absicht vorgenommen worden sein, die anderen Mitarbeiter zu warnen und zu verhindern, dass andere Personen ein ähnliches Verhalten an den Tag legen.
Nach Angaben des Unternehmens sei durch den Vorfall aber kein Mitarbeiter sanktioniert oder gemaßregelt worden.

Die spanische Datenschutzbehörde stellte fest, dass für die Verbreitung des Videos im Gruppenchat keine Rechtsgrundlage bestand. Sie bewertete den Vorfall als Verstoß gegen die Vertraulichkeit der personenbezogenen Daten des betroffenen Mitarbeiters sowie der übrigen in dem Video zu sehenden Mitarbeiter.

Die Geldbuße in Höhe von zunächst 70.000 € wurde nach Schuldeingeständnis seitens CUI ZSQ auf 42.000 € herabgesetzt.

Behörde: Agencia española protección datos
Branche: Produktionsindustrie
Verstoß: Art. 5 Abs. 1 lit. f) DSGVO
Bußgeld: 42.000 Euro

Gründe für das Interesse an einer Arbeitnehmerüberwachung gibt es viele. Doch das Verhalten am Arbeitsplatz mittels Videoüberwachung zu kontrollieren ist nicht einfach immer erlaubt. Gegenüber dem Interesse des Arbeitgebers an Überwachung seiner Mitarbeiter steht auch das Interesse Arbeitnehmers, sich vor Überwachung am Arbeitsplatz zu schützen. Es bedarf hier immer einer Abwägung der gegenüberstehenden Interessen im Einzelfall.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Meiner Meinung nach ist im Fall der Bildveröffentlichung Art. 8 DSGVO nicht anzuwenden, dieser betrifft ausdrücklich nur „Angebot(e) von Diensten der Informationsgesellschaft“, darum geht es hier nicht. Die Frage der Einwilligungsfähigkeit Minderjähriger / Vertretungsfähigkeit (in manchen Ländern als unvertretbares Recht angesehen) ist national unterschiedlich bislang.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.