Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im März 2023

Top 5 DSGVO-Bußgelder im März 2023

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im März 2023.

Bußgeld wegen permanentem Tracking bei Benutzung von Mietrollern

Kurz mal den Heimweg abkürzen und auf den Roller springen – bei dem französischen Rollerunternehmen Cityscoot ging die Fahrt nach Hause mit permanentem Tracking einher. Das Unternehmen erhob und speicherte nach dem Anmieten eines Rollers durch eine Privatperson alle 30 Sekunden Daten zur Geolokalisierung. Nach Ansicht der französischen Datenschutzaufsichtsbehörde CNIL ist eine so umfangreiche Überwachung nicht mit dem Grundsatz der Datenminimierung und Datensparsamkeit vereinbar. Cityscoot gab als Grund für die Überwachung an, dass Verkehrsdelikte sowie Schadens- und Diebstahlfälle besser aufgeklärt werden könnten. Dies reichte der französischen Behörde als Begründung jedoch nicht aus. Die Aufklärung solcher Sachverhalte sei auch ohne das fast permanente Tracken von Standortdaten möglich.

Dazu kam, dass die Verträge zur Auftragsverarbeitung, die Cityscoot mit Subunternehmen abgeschlossen hatte, nicht den Anforderungen aus Art. 28 DSGVO entsprachen. Unter anderem fehlten Angaben zu den erhobenen Daten und zum Umgang mit den erhobenen Daten im Falle einer Vertragsbeendigung. Das Fass zum Überlaufen brachte dann noch der Einsatz von Google reCAPTCHA, wobei dem Benutzer durch das Unternehmen Cityscoot keine Informationen über den Umfang und die Verarbeitung der dabei durch Google gesammelten Daten zur Verfügung gestellt wurden.

Behörde: Commission Nationale de l’Informatique et des Libertés
Branche: Roller Sharing-Anbieter
Verstoß: Art. 5 Abs. 1 lit. c) DSGVO, Art. 28 Abs. 3 DSGVO, Art. 82 La loi Informatique et Libertés
Bußgeld: 125.000 Euro

Ein bunter Strauß an Verstößen gegen die DSGVO führte hier in Summe zu einem empfindlichen Bußgeld. Es wirkt banal, aber durch die Entscheidung wird deutlich: Das Einhalten der Grundsätze für die Verarbeitung personenbezogener Daten aus Art. 5 DSGVO ist kein „nice-to-have“, sondern gesetzliche Pflicht. Gleiches gilt für die Anforderungen an Auftragsverarbeitungsverträge. Ein Bußgeld ist hier vermeidbar und demnach doppelt ärgerlich, da Art. 28 DSGVO die Mindestvoraussetzungen klar definiert.

Fehlende technische und organisatorische Maßnahmen

Das Fehlen von angemessenen technischen und organisatorischen Maßnahmen hat dazu geführt, dass das rumänische Unternehmen Integral Collection SRL Opfer einer Ransomware-Attacke geworden war. Den Angreifern gelang es im Rahmen der Attacke, sich in erheblichem Maße unbefugt Zugriff auf unter anderem Personalausweisdaten, Kontoauszüge, Telefonnummern und Adressen zu verschaffen. Das Unternehmen meldete den Sicherheitsvorfall der rumänischen Datenschutzaufsichtsbehörde, die feststellte, dass es aufgrund fehlender angemessener technischer und organisatorischer Maßnahmen zu dem Verlust der Integrität und Verfügbarkeit der personenbezogenen Daten gekommen war und kein dem Verarbeitungsrisiko entsprechendes Sicherheitsniveau vorhanden war.

Behörde: Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal
Verstoß: Art. 32 Abs. 1 lit. b), c) DSGVO, Art. 32 Abs. 2 DSGVO
Bußgeld: 2.992 Euro

Nach Art. 32 DSGVO sind geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Ein leidiges Thema, da die Vorschrift voller unbestimmter Rechtsbegriffe steckt, die es den Verantwortlichen erschweren, einzuschätzen, welcher Aufwand konkret erforderlich ist, um datenschutzkonform zu agieren. Ransomware-Angriffe nehmen jedoch zu und Unwissenheit schützt vor Bußgeld nicht – in unserem Beitrag zu den TOM klären wir auf, was zu beachten ist.

Fehlerhafte Daten müssen gelöscht werden – sonst wirds teuer

Das Ignorieren einer behördlichen Anordnung kam das finnische Unternehmen Suomen Asiakastieto Oy teuer zu stehen: Gegen das Unternehmen wurde durch die finnische Datenschutzaufsichtsbehörde ein Bußgeld in Höhe von 440.000 € verhängt, nachdem es eine Anordnung der Datenschutzbehörde nicht eingehalten hatte. Durch das Unternehmen wurden in einem Kreditauskunftsregister Zahlungsverzugseinträge vorgenommen, die jedoch aus einem fehlerhaft geführten Verfahren stammten. Nach Aufforderung durch die finnische Behörde, die Arbeitsweise bei der Erfassung von Zahlungsverzugsinformationen zu korrigieren und fälschlich vorgenommene Eintragungen im Auskunftsregister zu entfernen, bestätigte das Unternehmen, der behördlichen Anordnung nachgekommen zu sein. Bei einer erneuten Prüfung durch die Aufsichtsbehörde zeigte sich jedoch, dass die Anordnung ignoriert wurde: Die fehlerhaften Eintragungen waren noch immer vorhanden.

Behörde: Tietosuojavaltuutetun toimisto
Branche: Kreditschutzorganisationen
Verstoß: Art. 5 Abs. 1 lit. a), d) DSGVO
Bußgeld: 440.000 Euro

Diese Entscheidung zeigt einmal mehr, wie gründlich man auch hinsichtlich der Richtigkeit der Daten, die verarbeitet werden, sein sollte. Denn Verstöße in diesem Bereich können schnell zu empfindlichen Sanktionen führen. Auch hier wurde das Bußgeld wieder darauf gestützt, dass gegen die Grundsätze aus Art. 5 DSGVO verstoßen wurde.

Verspätete Meldung eines Sicherheitsvorfalls

218.365 € Bußgeld wurden im März durch die norwegische Datenschutzaufsichtsbehörde gegen das Unternehmen Argon Medical Devices verhängt. Dort fiel im Juli 2021 auf, dass es zu einer Sicherheitsverletzung unzähliger personenbezogener Daten aller europäischen Mitarbeiter gekommen war, unter anderem auch solcher, die für Betrug und Identitätsdiebstahl geeignet sind. An die norwegische Aufsichtsbehörde Datatilsynet gemeldet wurde der Sicherheitsvorfall jedoch erst im September 2021, also ganze drei Monate später. Der internationale Konzern ist der Ansicht, dass die Meldung erst im September zu erfolgen hatte, da vor der Meldung der Vorfall und seine Folgen genauer untersucht werden mussten, um eine entsprechende Einschätzung abgeben zu können. Die norwegische Aufsichtsbehörde sah das jedoch anders und verhängte das Bußgeld, da das Unternehmen gegen die 72-Stunden-Frist für die Meldung von Datenschutzvorfällen verstoßen habe.

Behörde: Datatilsynet
Branche: Medizinische Verbrauchsgüter
Verstoß: Art. 33 DSGVO
Bußgeld: 218.365 Euro

Diese Entscheidung zeigt, dass oftmals unterschiedlich interpretiert wird, ab wann ein Datenschutzvorfall zu melden ist. Wer als Verantwortlicher sichergehen möchte, etabliert im besten Fall funktionierende Prozesse, die ein effektives Notfallmanagement sowie eine sichere IT-Infrastruktur beinhalten. Was dabei noch zu beachten ist, können Sie in unserem Beitrag zu Datenschutzvorfällen und Datenschutzpannen nachlesen.

Unrechtmäßige Weitergabe von Kontodaten an Dritte

In Griechenland beschwerte sich eine Privatperson bei der dortigen Datenschutzaufsichtsbehörde, da Kontoinformationen unrechtmäßig an Dritte weitergegeben wurden. Die betroffene Person war Inhaberin mehrerer Gemeinschafts-Bankkonten bei der Piraeus Bank S.A., die zusammen mit einer zwischenzeitlich verstorbenen Verwandten geführt wurden. Die dritte Person, Erbin der Verstorbenen, erlangte durch einen Bankmitarbeiter Informationen zu den Kontoständen und -bewegungen, welche sie in einem Gerichtsprozess gegen die betroffene Privatperson verwenden konnte. Dem Bankmitarbeiter war nicht aufgefallen, dass es sich um Gemeinschaftskonten gehandelt hatte und teilte der Erbin die gewünschten Auskünfte mit. Bei den Untersuchungen der griechischen Datenschutzaufsichtsbehörde kam heraus, dass die Bank in dem Sachverhalt weder die betroffene Person, noch die Behörde selbst informiert und damit gegen ihre Meldepflichten verstoßen hatte.

Behörde: Datenschutzaufsichtsbehörde Griechenland
Branche: Bankensektor
Verstoß: Art. 5 Abs. 1 lit. a), f) DSGVO, Art. 33 DSGVO, Art. 34 DSGVO
Bußgeld: 30.000 Euro

Verhängung eines Bußgeldes wegen Verletzung von Grundsätzen für die Verarbeitung von personenbezogenen Daten die Dritte – diesmal wegen der Verletzung des Grundsatzes der Vertraulichkeit. Die in Art. 5 DSGVO normierten Grundsätze und deren Inhalt sollten jedem Verantwortlichen bekannt sein, denn zusammen mit den Meldepflichten an die Aufsichtsbehörde sowie an die betroffenen Personen im Fall einer Verletzung des Schutzes personenbezogener Daten gehören diese zum kleinen Einmaleins des Datenschutzes.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.