Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Mai 2022.
Der Inhalt im Überblick
Recht auf Löschung unter einer Bedingung
Neben personenbezogenen Daten kommen auf den Plattformen und Produkten von Google LLC (z.B. Google-Suche, YouTube, Google Drive oder Gmail), auch Hassrede oder anderweitig unzulässige Inhalte vor. Um diese Inhalte entfernen zu können, stellt das Unternehmen zahlreiche Kontakt- und Beschwerdeformulare zur Verfügung. Die Bedingung für die Nutzung der Formulare war an die Übermittlung an das Lumen-Project geknüpft. Nach der Entfernung der Kontaktdaten sollten die Löschanfragen auf der Webseite von Lumen veröffentlicht werden. Bei diesem Projekt aus 2002 sollen entfernte Inhalte aus Webseiten, die sowohl innerhalb der USA als auch außerhalb ihrer Grenzen sind, gesammelt und der Zugang hierzu Forschern und Interessenten ermöglicht werden.
Dieses Vorgehen unterlag einer langjährigen Untersuchung der spanischen Datenschutzbehörde und wurde mit der Verhängung dieses Bußgeldes beendet. Die Beschwerdeführer, zwei betroffene Personen, hatten sich mit ihrer Beschwerde, dass personenbezogene Daten an das Lumen-Projekt übermittelt werden, an die Datenschutzbehörde gewendet. Nun stellte sich heraus, dass eine Information bezüglich dieser Übermittlung erfolgt ist, jedoch kein Widerspruchsrecht dagegen gewährt wurde. Aus diesem Grund hat die AEPD die Datenübermittlung als unrechtmäßig gewertet. In diesem Zusammenhang wurde festgestellt, dass das Recht auf Löschung von den betroffenen Personen nicht ordnungsgemäß ausgeübt werden konnte.
Behörde: Agencia española protección datos (AEPD)
Branche: Internet/ Technologie
Verstoß: Art. 6 DSGVO, Art. 17 DSGVO
Bußgeld: 10.000.000 Euro (anteilig jeweils 5 Mio. wegen Art. 6 DSGVO und Art. 17 DSGVO)
Dieser Fall lässt erkennen, dass lediglich Informationspflichten nicht ausreichend sind. Um die Datenverarbeitung auf rechtmäßiger Basis zu vollbringen, müssen die Betroffenenrechte den betroffenen Personen im vollen Umfang zustehen. Wie die gegebenen Umstände bei der Bußgeldbemessung berücksichtigt werden, wird anhand dieses Fallbeispiels verdeutlicht. Nahezu wurden die Umstände mehrheitlich erschwerend berücksichtigt: Datenübermittlung an einen Dritten im Drittland, kein Widerspruchsrecht, der Zeitraum, die Anzahl der betroffenen Personen und die große Menge an sensiblen und personenbezogenen Daten.
Weitere Aspekte, die negative Auswirkungen hatten, sind fehlende Maßnahmen bezüglich der Datenverarbeitung im Rahmen der Löschanträge und die damit verbundene Fahrlässigkeit. Ein interessanter Punkt in den Ausführungen der Behörde ist die Annahme, dass das Unternehmen die Vorgaben der DSGVO kannte und aufgrund der systematischen und kontinuierlichen Verarbeitung im Tätigkeitsfeld von Google, dieser im Umgang mit Daten besonders sorgfältig sein musste. In der Praxis ist nun wichtig, dass die erschwerenden Umstände die begünstigenden nicht überwiegen.
Unrechtmäßiger Erstellung biometrischer Profile
Bereits einige Monate zuvor landete das US-amerikanische Unternehmen Clearview AI unter die Top 5 DSGVO-Bußgelder im März 2022. Damals war es die italienische Datenschutzbehörde, nun ist die Behörde aus Großbritannien dran: Es geht wieder um die unrechtmäßige Erstellung von biometrischen Profilen mit demselben Vorgehen.
Die Anzahl der erstellten Profile in Großbritannien ist unbekannt. Die Behörde ist jedoch von einer großen Anzahl ausgegangen, da der Service innerhalb der Testphase in Großbritannien genutzt wurde, unter anderem von einigen britischen Strafverfolgungsbehörden.
Ein DSGVO-Verstoß ist die Datenverarbeitung ohne eine einschlägige Rechtsgrundlage, wonach sich eine unrechtmäßige Verarbeitung ergibt. Zudem wurde gegen den Grundsatz der Speicherbegrenzung verstoßen, indem keine Löschfristen definiert wurden und es keinerlei Hinweise zur Datenlöschung vorhanden waren. Obwohl voraussichtlich mit einem hohen Risiko für betroffene Personen zu rechnen war, wurde keine Datenschutz-Folgenabschätzung durchgeführt. Weiterhin wurden die allgemeinen Informationspflichten gegenüber den Betroffenen nicht ordnungsgemäß erfüllt. Es gab lediglich die Möglichkeit, das Unternehmen proaktiv zu kontaktieren und dabei noch ein Foto von sich zum Abgleich zu senden. Hiermit wurden erschwerte Bedingungen für die Wahrnehmung der Betroffenenrechte aufgesetzt.
Neben dem verhängten Bußgeld hat die Behörde die zukünftige Sammlung öffentlicher und online verfügbarer Daten verboten und die Löschung der unrechtmäßig erstellten Profile angeordnet.
Behörde: Information Commissioner’s Office (ICO)
Branche: Künstliche Intelligenz/ Softwareentwicklung
Verstoß: Art. 5 Abs. 1 lit. a und e DSGVO, Art. 6 DSGVO, Art. 9 DSGVO, Art. 14 DSGVO, Art. 15 DSGVO, Art. 16 DSGVO, Art. 17 DSGVO, Art. 21 DSGVO, Art. 22 DSGVO, Art. 35 DSGVO
Bußgeld: 9.000.000 Euro
Die Verhängung von Bußgeldern aufgrund von Gesichtserkennung sind keine Einzelfälle, sondern Alltag bei den Datenschutzbehörden. Sowohl Clearview AI als auch andere Gesichtserkennungs-Softwares sind datenschutzrechtlich kritisch zu betrachten, da sie ein großes Risiko und ein hohes Missbrauchspotential mit sich bringen. Wie es sich in Zukunft entwickeln wird und ob man jemals von einem „risikofreien“ Einsatz solcher Softwares sprechen kann, ist aktuell ungewiss. Unabhängig davon, um welche Datenverarbeitung es sich handelt, bietet der Datenschutz ein festes Gerüst für die Wahrung der informationellen Selbstbestimmung. Es bleibt lediglich die Aufgabe der Verantwortlichen, sich an diesem Gerüst festzuhalten. Bußgelder und Anordnungen sind die eine Sache, doch die Wirkung von Imageschäden und das dadurch entstehende Misstrauen kann nicht so leicht wiederaufgebaut werden.
Datenschutzbehörden mögen keine Cookies ohne Einwilligung
Die von dem Unternehmen Roularta Media Group betriebenen Webseiten levif.be und knack.be setzen beim Seitenaufruf über 60 technisch nicht notwendige Cookies ein – und das ohne die vorherige Einwilligung der Nutzer. Bei den jeweiligen Cookie-Bannern waren die Kästchen für den Einsatz von Drittanbieter-Cookies vorangekreuzt, was natürlich als Einwilligung gilt. Eine Widerspruchsmöglichkeit war auf den Webseiten vorhanden. Doch für die Behörde war das unzureichend, denn die Möglichkeit des Widerrufs war nicht so einfach wie die Erteilung der Einwilligung. Noch obendrauf wurden die Nutzer nicht über den Einsatz von Cookies ordnungsgemäß informiert. Das hatte nun zum Ergebnis, dass die Behörde keine rechtmäßige Datenverarbeitung anerkannte. Die Voraussetzung einer wirksamen Einwilligung, nämlich die Freiwilligkeit und Informiertheit, wurden nämlich nicht erfüllt.
Behörde: Gegevensbeschermingsautoriteit
Branche: Medien
Verstoß: Art. 5 Abs. 1 lit. e DSGVO, Art. 5 Abs. 2 DSGVO, Art. 6 Abs. 1 lit. a DSGVO, Art. 7 Abs.1 und 3 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO, Art. 24 DSGVO
Bußgeld: 50.000 Euro
Nicht nur für Kunden oder Interessenten ist die Webseite die erste Anlaufstelle, sondern auch für Datenschutzbehörden. Aus diesem Grund müssen sie überzeugend sein, insbesondere was das Thema Datenschutz betrifft. Das erste worauf hier geachtet wird, ist der Cookie-Banner und damit verbunden auch die Datenschutzerklärung. Die Bußgelder für diese Mängel werden nicht aufhören und auch Datenschutz-Aktivist Max Schrems lauert auf der Spur mit seiner Organisation NOYB. Daher ist der datenschutzkonforme Einsatz von Cookies sowie eine transparente Datenschutzerklärung enorm wichtig. Mit der Einhaltung der DSGVO ist die Sache aber nicht abgeschlossen, denn das TTDSG ist auch zu berücksichtigen.
Eine nicht gemeldete Datenpanne und unzureichende TOM
Der öffentliche Dienst Dänemarks Civilstyrelsen hat eine meldepflichtige Datenpanne der dänischen Datenschutzbehörde nicht gemeldet, obwohl die Panne bereits bekannt war. Die Behörde wurde mit der Beschwerde einer betroffenen Person darauf aufmerksam.
Bei dieser Datenpanne handelte es sich um einen verlorenen USB-Stick, der über 800 Seiten vertraulicher Informationen zur Person des Beschwerdeführers beinhaltete. Für die Behörde war es entscheidend, dass der Datenträger über keine Verschlüsselung verfügte und keine internen Richtlinien für den Umgang mit tragbaren Datenträgern vorhanden waren. Diese Aspekte waren ausreichend, um damit eine Pflichtverletzung nach Art. 32 DSGVO zu begründen. Es wurden keine technischen und organisatorischen Maßnahmen implementiert, die ein angemessenes Sicherheitsniveau für die personenbezogenen Daten gewährleisten konnten.
Behörde: Datatilsynet
Branche: Öffentlicher Dienst
Verstoß: Art. 32 DSGVO, Art. 33 DSGVO
Bußgeld: 13.442 Euro
Datenpannen sind eine Gefahr für personenbezogene Daten. Dafür muss erkannt werden, dass es sich bei einem Vorfall um eine Datenpanne handelt. Je nach Umstand, kann sich ein großes oder geringes Risiko für Betroffene bei der Beurteilung von Datenschutzvorfällen ergeben. Im Ergebnis muss die Entscheidung gefällt werden, ob der Vorfall meldepflichtig ist. Das fehlende Wissen, wie ein Datenschutzvorfall zu melden ist, schützt nicht vor einem Bußgeld. Eines der wichtigsten Punkte ist hierbei die Einhaltung der 72-Stunden-Frist. Jedenfalls bieten fallbezogen geeignete technische Maßnahmen mit der Ergänzung von organisatorischen Maßnahmen ein angemessenes Sicherheitsniveau.
Mülltrennung ist auch datenschutzrechtlich relevant
Das Bußgeld wurde gegen das Unternehmen MED LIFE S.A. verhängt das Dokumente, unter anderem mit sensiblen Daten, unsachgemäß in einem öffentlichen Mülleimer entsorgt hatte. Betroffene waren sowohl Beschäftigte als auch Patienten des Unternehmens. Die Dokumente beinhalteten insbesondere Gehaltsinformationen und den Namen der Beschäftigten, die Personenkennnummern sowie die Kontodaten. Darunter waren auch Informationen zu den Behandlungen und Untersuchungen der Patienten sowie zu den getragenen Kosten vorhanden.
Behörde: Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP)
Branche: Gesundheit
Verstoß: Art. 32 Abs.1 lit. b DSGVO, Art. 32 Abs. 2 DSGVO, Art. 32 Abs. 4 DSGVO
Bußgeld: 5.000 Euro
Die Sicherheit der Verarbeitung nach Art. 32 DSGVO landete somit auch im Mülleimer. Die technischen und organisatorischen Maßnahmen sind bei der Entsorgung von Dokumenten erst recht zu beachten. Die Einhaltung von Löschfristen und die Vernichtung der Dokumente ist die eine Sache. Es ist zunächst auch verpflichtend diesen datenschutzrechtlichen Grundsatz einzuhalten. Dafür eignet sich am besten ein Löschkonzept im Unternehmen. Jedoch endet es nicht damit, die personenbezogenen Daten auf irgendeiner Weise loszuwerden, sondern ordnungsgemäß zu vernichten. Dabei sind sowohl während der Verarbeitung als auch bei der Vernichtung, insbesondere die Vertraulichkeit zu wahren. Mit Ende der Aufbewahrungspflicht endet nicht gleichzeitig die Pflicht zur Datensicherheit.
