Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im März 2021.
Der Inhalt im Überblick
Fahrlässige Verletzung der datenschutzrechtlichen Rechenschaftspflicht
Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Stefan Brink hat gegen die VfB Stuttgart 1893 AG ein Bußgeld in Höhe von 300.000 Euro wegen fahrlässiger Verletzung der datenschutzrechtlichen Rechenschaftspflicht gemäß Art. 5 Abs. 2 DSGVO verhängt. Die Ermittlungen hatten ergeben, dass leitende Mitarbeiter der Verantwortlichen wiederholt Mitgliederdaten an Dritte geschickt hatten, darunter auch Festnetz- und Handynummern, E-Mail-Adressen oder Angaben zu Teilnahmen an zurückliegenden Mitgliederversammlungen. Auf der Mitgliederversammlung 2017 wurde darüber entschieden, die Fußballabteilung des Vereins in eine AG auszugliedern. In der Folgezeit kam es nach den Ermittlungen des LfDI zu erheblichen Verstößen gegen Art. 5 Abs. 2 DSGVO. So hatte der Verein mit einer externen PR-Agentur zusammengearbeitet und in großem Umfang Mitgliederdaten an diese weitergegeben, um für die geplante Ausgliederung zu werben.
Behörde: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg
Branche: Sport-/Fußballbetrieb
Verstoß: Art. 5 Abs. 2 DSGVO
Bußgeld: 300.000 Euro
Allgemein gehören Verstöße gegen die datenschutzrechtlichen Dokumentationspflichten nach Art. 5 Abs. 2 DSGVO zu denen, die am häufigsten mit einem Bußgeld durch die Aufsichtsbehörden sanktioniert werden. Schließlich gehören diese Pflichten zu den elementaren Grundsätzen der DSGVO. Der LfDI hat bei der Entscheidung auch berücksichtigt, dass die Verantwortliche bei der Aufklärung in erheblichem Maße mitgewirkt und ein vernünftiges Nachtatverhalten gezeigt habe. Die Entscheidung des LfDI macht deutlich, dass die Kooperation mit den Behörden ein Bußgeld und einen Schaden durch einen Datenschutzverstoß zwar nicht verhindern, aber dafür stark mindern kann. Da der Landesdatenschutzbeauftragte in seiner Stellungnahme selbst darauf hingewiesen hat, dass das Verfahren auf Grund des öffentlichen und medialen Interesses ungewöhnlich gewesen sei, bleibt ein „Geschmäckle“ dahingehend, inwiefern der LfDI auf einen möglichen Imageschaden des Gesamtvereins Rücksicht genommen hat. Auch dürfte diese Bußgeldentscheidung ein Fingerzeig dahingehend sein, dass das Bußgeld-Modell der DSK offenbar nicht immer konsequent angewendet wird.
Verspätete Meldung einer schweren Datenschutzverletzung
Beim Online-Reiseportal booking.com kam es im Dezember 2018 zu einem schwerwiegenden Datenschutzvorfall. Einer Gruppe von Kriminellen war es gelungen, eine Vielzahl von Datensätzen zu stehlen. Insgesamt waren 4.109 Kunden betroffen. Zu den abgegriffenen Daten gehörten neben Namen, Adressen, Telefonnummern und Angaben zu den Buchungen der Kunden auch Kreditkarteninformationen von 283 betroffenen Personen. Unter den Kontodaten befanden sich in 97 Fällen auch der verwendete Sicherheitscode. Im Rahmen ihrer Ermittlungen hat die niederländische Datenschutzbehörde ein sehr hohes Risiko für die Rechte und Freiheiten der Betroffenen festgestellt. Dies galt auch für die Fälle, in welchen keine Kreditkarteninformationen abgeschöpft werden konnten. Denn die Hacker setzten sich mittels der Kontaktdaten mit den Kunden in Verbindung und versuchten, diese zu Zahlungen an die Betrüger zu veranlassen. Booking.com hatte am 13.01.2019 von diesen Vorfällen erfahren, diese jedoch erst am 07.02.2019 an die Datenschutzbehörde gemeldet. Die betroffenen Kunden waren am 04.02.2019 über die Datenschutzverletzungen informiert worden. Das Bußgeldverfahren wurde im Dezember 2020 abgeschlossen.
Behörde: Autoriteit Persoonsgegevens
Branche: Reisebranche
Verstoß: Art. 33 Abs. 1 DSGVO
Bußgeld: 475.000 Euro
Die gesetzlichen Vorgaben zur Meldung von Verletzungen des Schutzes personenbezogener Daten sind umfangreich und die Meldefrist ist knapp bemessen. Verantwortliche sollten sich daher unbedingt vorab auf den Ernstfall vorbereiten, etwa mit einem Reaktionsplan und entsprechenden Schulungen der Mitarbeiter. Zudem sollte beachtet werden, dass es umstritten ist, wie die Frist für die Meldung eines Datenschutzvorfalls sich berechnet, wenn sie sich über Sonn- und Feiertage erstreckt. Verantwortlichen kann in solchen Fällen weniger Zeit zur Verfügung stehen, als eingangs vermutet. Wie im vorliegenden Fall ist stets auch zu beachten, dass Bußgelder für die Verspätung neben dem Bußgeld für die eigentliche Datenschutzverletzung verhängt werden können, da es sich bei der Nichtmeldung oder bei der Nichtbenachrichtigung um einen weiteren, eigenständigen Datenschutzverstoß handelt.
Identifizierbarkeit von Fahrzeughaltern wegen fehlerhafter QR-Codes
In der italienischen Hauptstadt Rom darf man mit einer Sondergenehmigung auch in sogenannten Verkehrsbeschränkungszonen parken, z. B. für die Anlieferung von Waren. Die Genehmigungen, welche eine QR-Code enthalten, sind an der Windschutzscheibe des jeweiligen Fahrzeugs anzubringen. Dadurch ist es den Mitarbeitern der Stadtverwaltung möglich, in Echtzeit zu kontrollieren, ob das Fahrzeug innerhalb des erlaubten Bereichs geparkt war und für welche Person die Erlaubnis ausgestellt worden ist. Problematisch war hier, dass die Daten praktisch für jedermann einsehbar waren, da hierfür lediglich ein klassischer QR-Code-Scanner erforderlich war, wie er auf den meisten Smartphones zu finden ist. Es waren keinerlei weitere Zugangsbeschränkungen vorhanden. Neben dem KFZ-Kennzeichen waren weitere Daten des Fahrzeughalters wie der Name oder die Zugehörigkeit zu einer Berufsgruppe oder dem Arbeitgeber möglich. Hierin sah die Aufsichtsbehörde einen offensichtlichen Verstoß gegen die Pflicht, geeignete technische und organisatorische Maßnahmen zu treffen. Auch hatte es die Stadtverwaltung unterlassen, dem eingesetzten Auftragsverarbeiter ausreichende Anweisungen zur Datenverarbeitung zu erteilen.
Behörde: Garante per la protezione dei dati personali
Branche: Verwaltungsbehörde
Verstoß: Art. 5 DSGVO, Art. 6 DSGVO, Art. 28 DSGVO, Art. 32 DSGVO
Bußgeld: 350.000 Euro
QR-Codes sind heutzutage ungemein praktisch, ob beim mobilen Bezahlen oder beim bloßen Auslesen von Kontaktdaten. Sie sind aber auch tückisch, da diese relativ leicht einsehbar sind. Hier kommt es daher ganz besonders auf die richtigen technischen und organisatorischen Maßnahmen an. Auch zeigt das obige Beispiel deutlich, dass Bußgelder nicht nur Unternehmen, sondern auch Behörden treffen können. Dies gilt erst Recht, wenn sie sich – wie hier – über einen längeren Zeitraum und mehrfach Datenschutzverstöße leisten. Zu bedenken ist ganz allgemein natürlich auch noch, dass neben der Verhängung eines Bußgelds auch die Betroffenen Schadensersatz nach Art. 82 DSGVO geltend machen können.
Unzulässige Werbung trotz Widerspruch der Betroffenen
Die VODAFONE ESPAÑA, S. A. U., steht schon seit längerem im Fokus der spanischen Aufsichtsbehörde. Seit 2018 waren dort insgesamt 191 Beschwerden von Verbrauchern eingegangen. Gegenstand der Beschwerden war stets eine Vielzahl von Werbeanrufen und anderen Werbenachrichten, welche die Betroffenen von verschiedenen Callcentern im Auftrag der Verantwortlichen erhalten hatten. Nach den Ermittlungen der Aufsichtsbehörde erfolgte die Kontaktaufnahme ohne Einwilligung der Betroffenen. Teilweise kam es auch in der Folgezeit zu weiteren Kontaktaufnahmen, sogar nachdem die Betroffenen dieser ausdrücklich widersprochen hatten. Zudem wurden auch Personen kontaktiert, deren Angaben sich auf sogenannten Robinsonlisten befunden haben. Insgesamt stellte die Aufsichtsbehörde erhebliche Verstöße gegen die DSGVO sowie gegen spanische Datenschutzgesetze fest. Bei der Bußgeldbemessung fiel besonders ins Gewicht, dass es sich bei der Verantwortlichen um einen „Wiederholungstäter“ handelt, welcher bereits in der Vergangenheit datenschutzrechtliche Verstöße begangen hatte. Die AEPD hat gegen das größte Telekommunikationsunternehmen Spaniens insgesamt bereits 50 Verwarnungen ausgesprochen oder Bußgelder verhängt. Problematisch war ebenfalls, dass die Datenverarbeitung teilweise in Peru stattfand und die Verantwortliche keine ausreichenden Garantien im Sinne der Art. 44 ff. DSGVO geben konnte.
Behörde: Agencia Española Protección Datos (AEPD)
Branche: Telekommunikation
Verstoß: Art. 21 DSGVO, Art. 24 DSGVO, Art. 28 DSGVO, Art. 44 DSGVO, Art. 21 LSSI, Art 48 Abs. 1 lit. b LGT, Art. 23 LOPDGDD
Bußgeld: 8.150.000 Euro
Die unzulässige Kontaktaufnahme zu Werbezwecken ist ein weiterer absoluter Klassiker im Datenschutzrecht. Auch sind stets die Vorgaben aus dem Wettbewerbsrecht zu beachten. Hier stehen Werbeanrufe sowie Werbung per E-Mail besonders im Fokus. In aller Regel ist hierfür eine Einwilligung des Betroffenen notwendig. Auch ist stets das sogenannte Kopplungsverbot im Kopf zu behalten, wenn es um die Verknüpfung von Dienstleistungen geht, sei es z. B. im Rahmen von Online-Gewinnspielen oder von Zugangsverweigerung bis zur Zustimmung zu Tracking mittels Cookies. Dennoch ist es grundsätzlich möglich, personenbezogen Daten zu Werbezwecken datenschutzkonform einzusetzen.
Unzulässige Verarbeitung von Gesundheitsdaten
Die norwegische Rentenkasse Statens Pensjonskasse hatte seit 2016 von Empfängern der staatlichen Berufsunfähigkeitsrente sensible Daten teilweise ohne Rechtsgrundlage verarbeitet. Dabei handelte es sich sowohl um Informationen zu den steuerlichen Verhältnissen der Betroffenen als auch um Gesundheitsdaten. Die Verantwortliche prüfte damit u. a., ob und in welcher Form die Betroffenen andere Berufsunfähigkeitsrenten – zum Teil von weiteren staatlichen Stellen – bezogen haben. Die norwegische Aufsichtsbehörde hat im Rahmen ihrer Ermittlungen mehrere Verstöße festgestellt. So wurde der Grundsatz der Datenminimierung nicht eingehalten, da auch Daten verarbeitet worden sind, welche zur Bestimmung der Rentenhöhe nicht erforderlich waren. Auch hatte die Behörde festgestellt, dass kein ordnungsgemäßes Löschkonzept existiert hatte. Zudem war der Zugang der Beschäftigten zu den Daten nicht kontrolliert worden.
Behörde: Datatilsynet
Branche: Verwaltungsbehörde (Staatliche Rentenkasse)
Verstoß: Art. 5 Abs. 1 lit. a, c, e und f DSGVO, Art. 6 Abs. 1 DSGVO, Art. 9 Abs. 2 DSGVO
Bußgeld: 195.154 Euro (2.000.000 NOK)
Die Verarbeitung von Gesundheitsdaten ist immer ein heißes Pflaster, da es sich dabei um besonderen Kategorien personenbezogener Daten im Sinne des Art. 9 DSGVO handelt. Deren Verarbeitung ist vom Grundsatz her unzulässig, es sei denn, es greift ein Ausnahmetatbestand nach Art. 9 Abs. 2 DSGVO ein. Wie wichtig der Schutz von Gesundheitsdaten ist, zeigt die aktuelle Entwicklung z. B. bei der elektronischen Patientenakte. Aber auch im Kampf gegen die Corona-Pandemie geraten Gesundheitsdaten immer wieder in den Blickpunkt, sei es im Rahmen der vieldiskutierten möglichen Wiedereinführung von Grundrechten für Geimpfte einschließlich eines Nachweises oder sei es zur digitalen Kontaktnachverfolgung. Es ist daher gut und richtig, dass Aufsichtsbehörden europaweit Verstöße gegen Art. 9 DSGVO sanktionieren.
Vielen Dank Herr Schewior für diese informative und kompakte Übersicht.
Guten Tag,
mich fasziniert der Datenschutz seit vielen Jahren, weil er mir immer wichtig und zuverlässig erschien. Nun bin ich entsetzt und gleichzeitig sehr verunsichert, da sich im Rahmen der Pandemie immer wieder über die DSGVO hinweg gesetzt wird.
Ich dachte immer, das die DSGVO über Landesverordnungen steht. Aber wie kann es dann z. B. sein, dass sich nun z. B. Schüler in der Klasse testen müssen, wenn Lehrer und Mitschüler dabei sind? Lt. DSGVO haben Gesundheitsdaten ein höheres Schutzniveau. Zumal es im Ergebnis dieser Praxis unweigerlich zu Diskriminierungen unter den Kindern kommen wird, was zudem dem Grundgesetz widerspricht.
Vielleicht können Sie ja meine Sichtweise auf die Füße stellen.
Ich grüße Sie recht herzlich und verbleibe hochachtungsvoll U. L.
Guten Tag,
das hört sich so an, als würde in dem geschilderten Fall einiges schief laufen. Datenschutzbeauftragter an Schulen ist meistens ein Lehrer, der das neben seinen sonstigen Tätigkeiten auch noch macht und halt nur bestellt wurde, weil jemand bestellt werden musste. Ich würde da keinen Vorsatz unterstellen sondern einfach allgemeine Überforderung. Natürlich ist das Vorgehen so nicht in Ordnung – aber das wird sich in einem Forum im Internet nicht ändern lassen
Vielen Dank für Ihren Kommentar!
Es ist zutreffend, dass die DSGVO formell im Rang über den Landesverordnungen steht. Im Einzelfall können jedoch auch Bestimmungen aus den Verordnungen – ggf. in Verbindung mit dem Infektionsschutzgesetz – datenschutzrechtliche Rechtsgrundlage für die Verarbeitung personenbezogener Daten sein. Dies gilt grundsätzlich auch für Gesundheitsdaten nach Art. 9 Abs. 1 DSGVO.
Selbstverständlich sollten hier besonders klare Vorgaben gemacht werden. Hinzu kommt, dass es dabei meist um die Daten von Minderjährigen geht. Leider war die Bundesregierung einschließlich der Ministerpräsidenten der Länder im Rahmen der Pandemiebekämpfung bisher kaum in der Lage, klare und vor allem rechtlich umsetzbare Regelungen zu treffen. Man denke hierbei nur an das Chaos rund um die sogenannte Osterruhe. Dies zieht sich leider durch auch bis zu datenschutzrechtlichen Fragen. Es bleibt nur zu hoffen, dass hier in Zukunft besser gearbeitet wird.