Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im März 2024.
Der Inhalt im Überblick
E-Mail-Adresse vom ehemaligen Mitarbeiter weiter genutzt
Ein Mitarbeiter schied aus einem Unternehmen, der MP1 srl, aus. Nach dem Ausscheiden stellte er fest, dass die ihm zugeordnete persönliche E-Mail-Adresse auch noch Monate später aktiv geschaltet war. Nach einer Beschwerde des ausgeschiedenen Mitarbeiters schaltete die MP1 die E-Mail-Adresse ab. Die MP1 erklärte, sie habe die eingehenden E-Mails an ein anderes unternehmensinternes Postfach weitergeleitet. So sollte die eingehende Post weiterbearbeitet werden. Das Unternehmen informierte außerdem den jeweiligen Absender, dass der Mitarbeiter aus dem Unternehmen ausgeschieden war. Der Mitarbeiter legte bei der italienischen Aufsichtsbehörde Beschwerde ein, worauf hin diese wegen der monatelangen Weiternutzung der E-Mail-Adresse des ausgeschiedenen Mitarbeiters ein Bußgeld in Höhe von 15.000 Euro verhängte.
Behörde: Garante per la protezione dei dati personali (GPDP)
Branche: Behörde
Verstoß: Art. 17 DSGVO, Art. 5 Abs. 1 lit. c DSGVO
Bußgeld: 15.000 Euro
Der Umgang mit E-Mails am Arbeitsplatz birgt eine ganze Reihe von datenschutzrechtlichen Risiken. Und auch wenn der Mitarbeiter nicht mehr im Unternehmen tätig ist, muss der Datenschutz weiter beachtet werden. Der Arbeitgeber muss hier prüfen, ob und wie lange die E-Mail-Adresse des Mitarbeiters aus betrieblichen Gründen zumindest für einen kurzen Übergangszeitraum aktiv bleiben kann.
Fieberthermometer im Wartebereich
Manchmal drängt sich die datenschutzrechtliche Unzulässigkeit einer Verarbeitung geradezu auf. So auch in einem Fall, den die spanische Aufsichtsbehörde prüfen musste. Dort war in der Nähe des Wartebereichs einer Arztpraxis an einer Wand ein Fieberthermometer aufgestellt worden. Die Temperatur wurde automatisch gemessen. Dafür war es erforderlich, dass sich die Patienten in der Nähe des Geräts aufstellen. Nach dem Messvorgang zeigte das Gerät an dessen Vorderseite die Temperatur an. Die Anzeige mit der Temperatur des Patienten war für die anderen Patienten im Wartezimmer nach jedem Messvorgang für mehrere Sekunden gut sichtbar. Die spanische Aufsichtsbehörde verhängte gegen die Arztpraxis ein Bußgeld in Höhe von 30.000 Euro.
Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Gesundheitsbranche
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 DSGVO
Bußgeld: 30.000 Euro
Auch wenn die Bestellung eines Datenschutzbeauftragten nicht in jeder Einzelpraxis zwingend erforderlich ist: Die datenschutzrechtlichen Vorgaben müssen auch ohne einen solchen eingehalten werden. In unserem Beitrag „Datenschutz in der Arztpraxis“ erfahren Sie alles Wichtige im Überblick.
GPS-Tracking im Urlaub
In Griechenland führte ein unerfreuliches Urlaubserlebnis eines Arbeitnehmers zu einem Bußgeld. Der Arbeitnehmer war Vertriebsmitarbeiter eines Unternehmens. Das Unternehmen versuchte, den Arbeitnehmer während dessen Urlaub telefonisch zu erreichen. Nachdem die Anrufe vom Arbeitnehmer ignoriert worden waren, nutzte das Unternehmen das im Firmenwagen installierte Geolokalisierungssystem, um den Aufenthaltsort des Arbeitnehmers zu bestimmen. Mit den so gewonnen Informationen tauchte der Vorgesetzte des Arbeitnehmers im Supermarkt auf, in dem der Arbeitnehmer eingekauft hatte und konfrontierte den Arbeitnehmer. In dem nachfolgenden Beschwerdeverfahren erklärte das Unternehmen, dass die Privatnutzung des Fahrzeugs nicht erlaubt sei. Man habe das Fahrzeug getrackt, da man sich Sorgen um die Gesundheit des Arbeitnehmers gemacht habe, nachdem dieser nicht auf die Anrufe reagiert hatte. Die griechische Aufsichtsbehörde kam zu dem Ergebnis, dass sowohl für den Einbau des Geolokalisierungssystems als auch für die Ortung im konkreten Fall keine Rechtsgrundlage vorlag. Das Bußgeld hierfür betrug 2.000 Euro.
Behörde: Hellenic Data Protection Authority (HDPA)
Branche: Arbeitnehmerdatenschutz
Verstoß: Art. 5 Abs. 1 lit. a DSGVO
Bußgeld: 2.000 Euro
GPS-Tracking am Arbeitsplatz sorgt gerade wegen des Überwachungsdrucks immer wieder für datenschutzrechtliche Komplikationen. Klar ist aber, dass Arbeitnehmer nicht zielgerichtet während der Urlaubszeit zur Bestimmung des Aufenthaltsorts getrackt werden dürfen.
Online-Bestellung nur bei Kundenkonto
Die finnische Aufsichtsbehörde verhängte gegen Verkkokauppa.com, einen Onlinehändler, ein Bußgeld in Höhe von 856.000 Euro. Der Onlinehändler verlangte für Bestellungen die Einrichtung eines Kundenkontos. Eine Bestellung als Gast ohne Kundenkonto war nicht möglich. Darüber hinaus hatte der Onlinehändler nicht spezifiziert, wie lange die Kontodaten der registrierten Kunden aufbewahrt werden. Stattdessen wurden die Kundendaten auf unbestimmte Zeit aufbewahrt, sofern nicht der Kunde die Schließung des Kontos und Löschung der Daten verlangte. Neben der Geldbuße wies die Aufsichtsbehörde den Onlinehändler an, eine angemessene Aufbewahrungsfrist für die Daten festzulegen und den Kontozwang aufzugeben. Die Entscheidung ist noch nicht rechtskräftig und der Onlinehändler hat angekündigt, Rechtsmittel einlegen zu wollen.
Behörde: Deputy Data Protection Ombudsman
Branche: E-Commerce
Verstoß: Art. 5 Abs. 1 lit. e DSGVO, Art. 25 Abs. 2 DSGVO
Bußgeld: 856.000 Euro
Verantwortliche sollten gründlich prüfen, wie lange Daten aufbewahrt werden dürfen. Eine Speicherung von Daten auf unbestimmte Zeit wird eher selten rechtlich zulässig sein. Was Onlinehändler sonst noch datenschutzrechtlich beachten sollten, erfahren Sie in unserem Beitrag „E-Commerce und DSGVO“.
Frust mit der Post
Im Jahr 2022 entdeckten Polizisten auf der kanarischen Insel La Palma zunächst insgesamt 1.404 Briefe, die das Logo der Firma Hispapost trugen. Kurze Zeit später wurden erneut mehrere tausend nicht zugestellte Briefe auf La Palma gefunden: Insgesamt wurden 5.354 Brief nicht zugestellt, was die Polizei auch der Hispapost mitteilte. Die Hispapost informierte im Anschluss die Absender, darunter eine Vielzahl von Unternehmen, über die Datenpanne. Diese Information erfolgte jedoch verzögert und nicht fristgerecht. Die spanische Datenschutzbehörde kam in ihrer Untersuchung zu dem Ergebnis, dass die Hispapost Auftragsverarbeiter für die verschiedenen Unternehmen war, die den jeweiligen Brief abgeschickt hatten. Die Hispapost hatte es versäumt, die verantwortlichen Absender rechtzeitig über den Datenschutzvorfall zu informieren. Die spanische Aufsichtsbehörde verhängte daher ein Bußgeld in Höhe von 36.000 Euro.
Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Postdienstleister
Verstoß: Art. 28 Abs. 3 DSGVO
Bußgeld: 36.000 Euro
Die datenschutzrechtlichen Pflichten hängen auch von der Einordnung als Verantwortlicher oder Auftragsverarbeiter ab. Dass die Hispapost hier Auftragsverarbeiter für die einzelnen absendenden Unternehmen sein soll, scheint von der deutschen Auffassung abzuweichen: Die deutschen Aufsichtsbehörden gehen davon aus, dass Postdienstleister regelmäßig in eigener Verantwortlichkeit handeln.