Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Mai 2021.
Der Inhalt im Überblick
Verletzung der Informationspflicht gegenüber Betroffenen
Die spanische Aufsichtsbehörde ist im Mai wieder besonders aktiv gewesen. Dieses Mal erwischte es gleich zwei Unternehmen mit einem satten Bußgeld in Höhe von jeweils 1,5 Mio. Euro. Die EDP ENERGÍA, S.A.U und die EDP COMERCIALIZADORA, S.A.U. hatten über verschiedene Wege – telefonisch, über Geschäftsstellen, per Website-Formular – Verträge mit den Betroffenen geschlossen. Dabei wurden die Betroffenen nicht hinreichend über die Verarbeitung der personenbezogenen Daten informiert, da kein Hinweis auf die Rechte nach Art. 15 ff. DSGVO erfolgt ist. Zudem hatten die die Verantwortlichen keine eindeutige Kontaktmöglichkeit benannt, die Rechtsgrundlage nicht benannt sowie auf die Möglichkeit des Widerspruchs nicht hingewiesen.
Weiterhin ist nach Ansicht der AEPD dem Grundsatz des Datenschutzes durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen gemäß Art. 25 DSGVO nicht genügend Rechnung getragen worden. Die Energieversorger hätten keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen, um zu überprüfen, ob der jeweilige Ansprechpartner, der ihre Dienste im Namen einer anderen natürlichen Person in Anspruch nahm, zur Durchführung des Vertragsverhältnisses und demnach zur Abgabe der Einwilligungserklärung berechtigt gewesen sei.
Behörde: AEPD (Spanien) EDP ENERGÍA, S.A.U; AEPD (Spanien) EDP COMERCIALIZADORA, S.A.U.
Branche: Energieversorgung
Verstoß: Art. 13 DSGVO, Art 25 DSGVO
Bußgeld: jeweils 1.500.000 Euro
Ein Bußgeld in dieser Höhe ist wirklich beachtlich und sollte den beiden Energieversorgern einen Denkzettel verpassen. Hier wurden direkt mehrere Informationen geflissentlich unter den Tisch gekehrt. Ist ja auch gar nicht so einfach, die wichtigen Fragen Wer, Wann, Worüber, Wie der Informationspflicht nach Art. 13 DSGVO richtig zu beantworten. Die voranschreitende Digitalisierung bringt ebenfalls weitere Herausforderungen mit sich. Unternehmen sind angehalten, auch technisch zu gewährleisten, dass eine Einwilligungserklärung per Telefon oder über ein Website-Formular von der betroffenen Person abgegeben wurde oder bei einem Vertreter die entsprechende Ermächtigung vorlag.
Veröffentlichung von Kontaktdaten ohne Einwilligung
Die niederländische Aufsichtsbehörde hat gegen eine internationale Plattform namens Locatefamily.com ein Bußgeld in Höhe von 525.000 Euro verhängt. Die Website ermöglicht es Menschen, den Kontakt zu Familienangehörigen wiederherzustellen oder kennenzulernen. Dabei wurden jedoch unter anderem 700.000 Kontaktdaten von Betroffenen aus den Niederlanden ohne ihr Wissen, geschweige denn Einverständnis, veröffentlicht. Diese Kontaktdaten waren ohne Schwierigkeiten für Website-Besucher zugänglich, ohne dass eine Registrierung erforderlich war. Die niederländische Aufsichtsbehörde bemängelte darüber hinaus, dass Locatefamily.com entgegen der Regelung des Art. 27 DSGVO keinen Vertreter in der EU benannt hatte. Somit war es vielen Betroffenen erschwert worden, die Löschung ihrer Daten zu beantragen.
Behörde: Autoriteit Persoonsgegevens (Niederlande)
Branche: Adress-/Kontaktplattform
Verstoß: Art. 6 Abs. 1 lit. a DSGVO, Art. 27 DSGVO
Bußgeld: 525.000 Euro
Nicht selten kommt es vor, dass Unternehmen mit Sitz außerhalb der EU Ihre Dienstleistungen und Produkte EU-Bürgern anbieten wollen. Hierbei spricht die DSGVO vom sogenannten Marktortprinzip. Ein Unternehmen kann sich seiner datenschutzrechtlichen Pflicht gegenüber EU-Bürgern nicht entledigen, indem keine Niederlassung im räumlichen Anwendungsbereich der DSGVO vorliegt. Somit kann es erforderlich sein, einen EU-Representative zu benennen. Der Vertreter erfüllt dann innerhalb der Europäischen Union umfassende Aufgaben.
Erstellung eines Kreditratings ohne vertragliche Grundlage
Die norwegische Datenschutzbehörde hat gegenüber der Innovasjon Norge, eine staatliche Entwicklungsbank, ein Bußgeld in Höhe von 1.000.000 NOK (umgerechnet 99.875 Euro) verhängt. Die Bank hatte zur Bewertung der Kreditwürdigkeit ein Kreditrating des Betroffenen erstellt, ohne dass hierzu eine wirksame Rechtsgrundlage vorlag, insbesondere aus einem Vertrag. Das Kreditrating wurde über einen Zeitraum von drei Monaten hinweg aus zahlreichen finanziellen Daten des Betroffenen zusammengestellt, ohne eine Einwilligungserklärung gehabt zu haben. Die norwegische Aufsichtsbehörde führte zudem aus, dass auch Bonitätsauskünfte über ein Einzelunternehmen unter die Verarbeitung personenbezogener Daten fallen. Der Inhaber könne mit dem Unternehmen identifiziert werden und die verarbeiteten Daten seien direkt mit den persönlichen Finanzen des Inhabers verbunden. Dies bedeutet, dass eine Rechtsgrundlage für die Erstellung eines Kreditratings von Einzelunternehmen vorliegen muss.
Behörde: Datatilsynet (Norwegen)
Branche: Bankwesen
Verstoß: Art. 5 Abs. 1 und 2 DSGVO, Art. 6 DSGVO
Bußgeld: 99.875 Euro
Die Weitergabe personenbezogener Daten durch Banken ist nicht ohne Risiko. Den Banken drohen Schadensersatzzahlungen an die betroffenen Personen, wenn es zu einer rechtswidrigen Mitteilung bzw. Datenweitergabe kommt. Auch die Schufa gerät hierzulande angesichts ihrer Intransparenz immer wieder in Kritik. Ohne Daten erhält man wohl keine Kredite mehr, sodass auch die Aufsichtsbehörden immer aktiver werden und bei den Auskunfteien genauer hinsehen, ob die Verarbeitung von Bonitätsdaten überhaupt rechtmäßig erfolgt ist. Besondere Vorsicht ist demnach auch bei Einzelkaufleuten angeraten, weil Bonitätsauskünfte bezüglich deren Unternehmens unmittelbar der Person zugerechnet werden können. Auf Grund des Personenbezugs sind datenschutzrechtliche Vorschriften anwendbar.
Über 4 Millionen Werbemails ohne Einwilligung der Betroffenen
Das britische Information Commissioner’s Office (ICO) verhängte gegen die American Express Services Europe Limited ein Bußgeld in Höhe von umgerechnet 104.390 Euro. Der Finanzdienstleister startete im Zeitraum zwischen dem 01. Juni 2018 und dem 31. Mai 2019 eine umfassende Werbekampagne, um die Kreditkartenservices zu bewerben. Dabei wurden sage und schreibe mehr als 4 Millionen Werbemails an Betroffene versendet, die ihre Einwilligung hierzu nicht wirksam erteilt hatten. Infolge mehrerer Beschwerden wurde die britische Aufsichtsbehörde hellhörig und leitete Untersuchungen ein.
Behörde: Information Commissioner’s Office (UK)
Branche: Finanzdienstleistung
Verstoß: Art. 5 Abs. 1 lit. d DSGVO, Art. 16 DSGVO, Art. 17 DSGVO
Bußgeld: 104.390 Euro
Werbemails ohne Einwilligung – dies ist ein datenschutzrechtlicher Klassiker und eine Never-Ending-Story. Hier kam es in der jüngeren Vergangenheit schon mehrfach zu empfindlichen Bußgeldern, so zum Beispiel gegen die AOK Baden-Württemberg. Werbemails sind grundsätzlich nur zulässig, wenn zuvor eine Einwilligung des Empfängers gem. Art. 6 Abs. 1 S. 1 lit. a DSGVO eingeholt wurde. Zusätzlich sind die Anforderungen des § 7 UWG zu beachten, der die Einwilligungsbedürftigkeit aus Sicht des Wettbewerbsrechts festlegt. Dies gilt übrigens nicht nur für den Werbemailversand an Verbraucher, sondern auch für den Versand an Unternehmer. Eine häufige Fehlerquelle ist in diesem Zusammenhang auch der Mailversand im Rahmen einer Kundenzufriedenheitsabfrage. Auch hierfür ist im Regelfall eine Einwilligung einzuholen.
Inkorrekte Einträge in Kreditdatenbank aufgrund eines technischen Fehlers
Die irische Datenschutzbehörde verhängte gegen das Irish Credit Bureau DAC ein Bußgeld in Höhe von 90.000 Euro. Das Irish Credit Bureau DAC (ICB) ist eine Behörde, welche eine umfangreiche Kreditdatenbank unterhält. Im Rahmen der Implementierung eines neuen Code kam es zu einer Datenpanne. Über einen Zeitraum von zwei Monaten waren im Jahr 2018 insgesamt 15.120 bereits geschlossene Einträge mit inkorrekten Daten aktualisiert worden. Über 1.000 dieser falsch eingetragenen Bonitätsdaten wurden an Finanzinstitutionen und Kreditnehmer übermittelt. Die Data Protection Commission stellte fest, dass das Irish Credit Bureau DAC keine angemessenen technischen und organisatorischen Maßnahmen implementiert hatte, um die Richtigkeit der Daten gewährleisten zu können. Darüber hinaus sah die Aufsichtsbehörde die Rechenschaftspflicht verletzt, indem das Irish Credit Bureau nicht nachweisen konnte, dass die Änderungen in der Programmierung vor der Aktualisierung der Datenbank ordnungsgemäß getestet wurden.
Behörde: Data Protection Commission (Irland)
Branche: Behörde
Verstoß: Art. 5 Abs. 2 DSGVO, Art. 24 Abs. 1 DSGVO, Art. 25 Abs. 1 DSGVO
Bußgeld: 90.000 Euro
Man höre und staune – die irische Aufsichtsbehörde kann doch etwas entscheiden! Schon mehr als einmal ist der DPC schlichte Untätigkeit vorgeworfen worden, weil diverse Verfahren gegen Twitter oder WhatsApp nur schleppend vorankommen. Dies könnte aus irischer Sicht sogar zu einem Zerwürfnis mit den USA führen. Mit Verstößen gegen Art. 24 ff. DSGVO ist ohnehin nicht zu spaßen. Grundsätzlich haben Unternehmen beim Einsatz von angemessenen technischen und organisatorischen Maßnahmen einen relativ weiten Spielraum, da hier u. a. der jeweilige Stand der Technik oder die Implementierungskosten entscheidend sind. Aber klar dürfte auch sein: Je besser die sogenannten TOM sind, desto eher lassen sich schwerwiegende Datenschutzvorfälle vermeiden oder zumindest eingrenzen.
Über 4 Mio. Werbemails und dann gerade mal etwas mehr als 100.000 EUR?? Alter Falter, da hat American Express aber Glück gehabt. Naja, bei UK und den USA wundert mich gar nichts mehr…