Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im März 2022

Top 5 DSGVO-Bußgelder im März 2022

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im März 2022.

Erstellung biometrischer Profile ohne Rechtsgrundlage

Das US-amerikanische Start-up Clearview AI stand schon häufiger in der Kritik. Das Unternehmen bietet eine Gesichtserkennungssoftware an, die auf einer künstlichen Intelligenz basiert und biometrische Profile von Personen zur Verfügung stellt. Primärquelle ist dabei die Datenbank von Clearview AI, in der Bilder von den betroffenen Personen aus öffentlichen Webseiten und Social-Media-Netzwerken gesammelt werden. Diese Bilder werden dann mit weiteren Informationen über die Betroffenen angereichert.

Die italienische Datenschutzaufsichtsbehörde stellte mehrere Verstöße gegen die DSGVO bei Clearview AI fest. Die personenbezogenen Daten von Betroffenen in Italien wurden ohne eine Rechtsgrundlage verarbeitet. Zudem wurde gegen die Grundsätze der Zweckbindung und Speicherbegrenzung sowie die Informationspflichten nach Art 13, 14 DSGVO verstoßen. Das Bußgeld fiel besonders hoch aus, da Clearview AI keinen Vertreter in der EU gem. Art. 27 DSGVO benannt hatte. Letztlich ordnete die Aufsichtsbehörde die Löschung von Daten der Betroffenen aus Italien an.

Behörde: GPDP (Italien)
Branche: Softwareentwicklung
Verstoß: Art. 5 Abs. 1 lit. a, b und e DSGVO, Art. 6 DSGVO, Art. 9 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO, Art. 15 DSGVO, Art. 27 DSGVO
Bußgeld: 20.000.000 Euro

Bereits im vergangenen Jahr erklärten Datenschützer wie Max Schrems Clearview AI den Krieg und reichten Massenbeschwerden gegen das Unternehmen ein. Die fehlende Rechtsgrundlage für die Datenverarbeitung von zahlreichen Personen in Italien ist Grund genug für das hohe Bußgeld. Tatsächlich war aber auch ausschlaggebend für die Höhe, dass kein Vertreter in der EU von Clearview AI benannt wurde, obwohl das amerikanische Unternehmen seine Software offensichtlich auf dem europäischen Markt anbietet und somit zur Benennung eines EU-Vertreters nach Art. 27 DSGVO verpflichtet ist. Dabei erfüllt der sog. EU Representative unentbehrliche Aufgaben, die einen DSGVO-konformen Umgang mit personenbezogenen Daten gewährleisten.

Unzureichende TOM bei grenzüberschreitender Verarbeitung

Auch das Unternehmen Meta Platforms Ireland Limited (ehemals Facebook Ireland Limited) ist Datenschützern seit jeher ein Dorn im Auge. Die irische Datenschutzbehörde begann die Ermittlungen gegen die irische Tochtergesellschaft des Social-Media-Konzerns infolge zahlreicher Datenschutzvorfälle, die das Unternehmen im Jahr 2018 gemeldet hatte. Die Aufsichtsbehörde stellte fest, dass Meta Platforms nicht in der Lage war, die Sicherheitsmaßnahmen, die es zum Schutz der Daten von EU-Nutzern ergriffen hatte, im Zusammenhang mit den zwölf Datenschutzvorfällen ohne Weiteres nachzuweisen.

Behörde: DPC (Irland)
Branche: Technologie
Verstoß: Art. 5 Abs. 2 DSGVO, Art. 24 Abs. 1 DSGVO
Bußgeld: 17.000.000 Euro

Facebook bzw. Meta ist ein regelrechter Dauerbrenner, wenn es um Datenschutzpannen und Verstöße gegen die DSGVO geht. Interessant ist hier aber, dass Meta Platforms lediglich nicht in der Lage war, die vermeintlich vorhandenen technischen und organisatorischen Maßnahmen nachzuweisen, welche die in Rede stehenden Datenpannen hätten verhindern können. Die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist eine der wichtigsten Pflichten der DSGVO und kann, wie auch in diesem Fall, bei einer vernachlässigten Dokumentation zu hohen Bußgeldsummen führen.

Unzulässige Verarbeitung von sensiblen Daten bei Mietinteressenten

Die BREBAU GmbH ist eine Wohnungsbaugesellschaft und hundertprozentige Tochter der Stadt Bremen. Der LfDI stellte bei BREBAU fest, dass Daten von fast 10.000 Mietinteressent:innen unrechtmäßig verarbeitet wurden. Besonders schwerwiegend war die Verarbeitung von Daten zum Aussehen, dem Körpergeruch, dem persönlichen Auftreten, aber auch die Verarbeitung von sensiblen Datenkategorien nach Art. 9 DSGVO zur Hautfarbe, ethnischen Herkunft, religiösen Überzeugung, sexuellen Orientierung oder dem Gesundheitszustand. Auskunftsersuchen der betroffenen Personen wurden indes bewusst verhindert. Diese Art der Datenverarbeitung hätte sogar laut LfDI in einem noch höheren Bußgeld resultieren sollen, das Unternehmen hatte jedoch während der Ermittlungen kooperiert und sich um Schadensminimierung und Sensibilisierungsmaßnahmen im Betrieb sichtlich bemüht. Infolgedessen konnte das Bußgeld herabgesetzt werden.

Behörde: LfDI Bremen
Branche: Wohnungsbau
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 5 Abs. 1 DSGVO, Art. 9 Abs. 1 DSGVO, Art. 12 Abs. 1 DSGVO, Art. 15 DSGVO
Bußgeld: 1.900.000 Euro

Es scheint fast so, als hätten es Wohnungsgesellschaften nicht mit dem Datenschutz. Wir erinnern uns nur mal an die Deutsche Wohnen SE zurück, die einen wahren Datenfriedhof in der Software für Daten ihrer Mieter:innen beherbergten. Ähnlich traf es H&M, die ebenfalls umfangreich sensible Daten über ihre Beschäftigten verarbeiteten ohne, dass sie dafür eine Rechtsgrundlage hatten. Auch da resultierte der Verstoß in einem satten Bußgeld in Höhe von 35 Mio. Euro. Weitere Gedanken zu dem Bußgeld haben sich Laura und Cornelius in unserer aktuellen Folge der Dr. Datenschutz Podcast gemacht.

Informationspflichten für Kundendaten auf der Website nicht ausreichend

Der schwedische Finanzdienstleister Klarna Bank AB bietet seinen Kunden die Möglichkeit an, Käufe mit Klarna im Internet auf Rechnung zu tätigen. Die Aufsichtsbehörde in Schweden stellte fest, dass die Informationen zur Verarbeitung von Kundendaten, die das Unternehmen auf der Unternehmenswebsite zur Verfügung gestellt hatte, nicht die Vorgaben von Art. 13, 14 DSGVO erfüllten. So wurden beispielsweise Datenempfänger, insbesondere aus Drittländern, nicht transparent dargestellt und auch keine Zwecke und Rechtsgrundlagen genannt. Darüber hinaus erfolgte auch die Aufklärung der Betroffenen über ihre Rechte nach der DSGVO nicht vollständig.

Behörde: IMY (Schweden)
Branche: Finanzdienstleistungen
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 5 Abs. 2 DSGVO, Art. 12 Abs. 1 DSGVO, Art. 13 Abs. 2 lit. f DSGVO, Art. 14 Abs. 2 lit. g DSGVO
Bußgeld: 719.597 Euro

Die Informationspflichten sind immer wieder für viele Verantwortliche eine Herausforderung, sei es auf Webseiten, in Apps, beim Vertragsschluss oder auf Veranstaltungen. Die großen W’s der Informationspflichten – Wer, Wann, Worüber, Wie – sollten eingehend geprüft werden auf Vollständigkeit und stets aktuell sein. Das mag für einige Verantwortliche ein großer Aufwand sein, dieses Beispiel von Klarna zeigt aber, wie teuer eine unvollständige Informationspflicht werden kann.

Betroffenenauskunft nur nach Vorlage von Dokumenten zum Identitätsnachweis

Die PAGE GROUP EUROPE ist ein Unternehmen im Personalvermittlungsbereich, zu dem auch die Personalagentur Michael Page zählt. Ein Betroffener hatte sich an die Datenschutzaufsichtsbehörde gewandt, da dieser bei Michael Page ein Auskunftsersuchen stellte, welches aber nur unter der Bedingung weiterer Dokumente zum Identitätsnachweis gewährt werden sollte. Das Unternehmen verlangte neben der Kopie des Personalausweises ebenfalls eine Kopie der Versicherungskarte sowie die aktuelle Energie- oder Wasserrechnung, um die Korrektheit der angegebenen Adresse zu überprüfen.

Die Aufsichtsbehörde war der Ansicht, dass die Dokumente nicht notwendig gewesen seien, um die Identität des Betroffenen zu verifizieren. Es hätte genügen müssen, dass der Betroffene mit einem Konto im Online-Portal von Michael Page registriert war, zu welchem er als einzige Person Zugang hatte. Somit verhängte die Aufsichtsbehörde ein Bußgeld zunächst in Höhe von 300.000 Euro, welches infolge einer freiwilligen Zahlung auf 260.000 Euro herabgesetzt wurde.

Behörde: AEPD (Spanien)
Branche: Personalvermittlung
Verstoß: Art. 12 DSGVO
Bußgeld: 240.000 Euro

Das Unternehmen meinte es gut, die Identität der betroffenen Person sollte immerhin festgestellt werden, bevor es noch zu einer Datenpanne kommt, indem die Auskunft an eine unberechtigte Person übermittelt wird. Das Ausmaß der Verifizierung ist in diesem Fall aber nicht angemessen gewesen. Das Auskunftsrecht nach der DSGVO muss also gelernt sein. Nur wenn tatsächlich Zweifel an der Identität des Betroffenen bestehen, sollte die Vorlage des Personalausweises notwendig sein. Die Herausgabe von Versicherungskarte und Rechnungen ist hier kein geeignetes Mittel.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Bei dem Fall von PAGE GROUP EUROPE fehlt meiner Meinung nach die Info, über welchen Kanal das Auskunftsersuchen gestellt wurde bzw. warum die Identität des Kunden auch ohne Ausweis klar war. Es wird nur erwähnt, dass der Kunde eine Konto hatte, auf dass er als einzige Person Zugriff hatte.

    Wurde das Ersuchen von innerhalb des Kontos über ein Kontaktformular nach Login gestellt (wodurch die Identität klar wäre) oder aber wurde es extern „von Email zu Email“ gestellt, dann aber unter Angabe einer nur nach Login im Konto ersichtlichen Kundennummer?

    Vielen Dank für Ihre Arbeit!

    • Vielen Dank für Ihre Rückfrage! Tatsächlich wurde das Auskunftsersuchen per E-Mail gestellt. Die Anfrage wurde jedoch dabei von derselben E-Mail-Adresse versendet, mit der sich der Betroffene auch in dem Portal registriert hatte und beispielsweise seinen Lebenslauf im Webportal des Verantwortlichen hochgeladen hatte. Aufgrund dieser Umstände ist es nach Ansicht der Aufsichtsbehörde bereits möglich gewesen, sicherzustellen, dass die Auskunft an den richtigen Betroffenen erteilt wurde. Der Verantwortliche hat es nicht im Einzelfall geprüft, ob die Identität des Betroffenen in Frage stand. Die Abfrage der Personalausweiskopie gehörte zum Standardprozess bei Auskunftsersuchen und war daher nicht gerechtfertigt.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.