Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Mai 2023
Der Inhalt im Überblick
Rekord: 1.200.000.000 Euro Bußgeld für Meta
Nachdem das Jahr mit einem Paukenschlag für Meta begann (390 Millionen Euro Bußgeld), wurde im Mai bereits das nächste Kapitel geschrieben. Die irische Datenschutzbehörde DPC hat der Meta Platforms Ireland Limited ein Bußgeld von 1,2 Milliarden (!) Euro auferlegt. Kern der Entscheidung ist laut DPC die Feststellung, dass Meta Ireland für die Bereitstellung der Facebook-Plattform personenbezogene Daten aus der EU bzw. dem Europäischen Wirtschaftsraums in die USA übermittelte. Dabei stellte die DPC einen Verstoß gegen Art. 46 Abs. 1 DSGVO fest, der die Anforderungen an Datenübermittlungen in sog. Drittländer regelt. Meta könne mit den getroffenen Maßnahmen keinen ausreichenden Schutz gegen die damit verbundenen Risiken für die Grundrechte und -freiheiten der Betroffenen gewährleistet. Neben der Geldstrafe wurde zudem angeordnet, dass Meta Ireland zukünftig keine personenbezogene Daten in die USA übermitteln dürfe. Auch soll die Verarbeitung der bereits in den USA gespeicherten Daten innerhalb von sechs Monaten eingestellt werden. Meta Ireland hat angekündigt, gegen die Entscheidung in Berufung zu gehen.
Behörde: Data Protection Commission (DPC)
Branche: Social-Media-Plattform
Verstoß: Art. 46 Abs. 1 DSGVO
Bußgeld: 1.200.000.000 Euro
Erneut erinnern die aufsichtsbehördlichen Entscheidungen zu Meta daran, wie essenziell es ist, sich bereits im Vorfeld ausreichende Gedanken über die richtige Rechtsgrundlage der zu verarbeitenden Daten zu machen. Wie genau das mit der Rechtsgrundlage funktioniert und welche verschiedenen Arten es gibt, kann hier nachgelesen werden. Geht es mit den Daten ins EU-Ausland, sind jedoch noch weitere Vorgaben und Pflichten zu beachten (Stichwort Standardvertragsklauseln). Alles Relevante zu den SCC und weiteren Vorgaben haben wir hier zusammengetragen.
300.000 Euro Bußgeld aus Berlin für die DKB
Die Bank DKB muss wegen mangelnder Transparenz in Bezug auf eine automatisierte Entscheidung ein Bußgeld in Höhe von 300.000 Euro zahlen. Der Beschwerdeführer hatte eine neue Kreditkarte bei der Bank beantragt. Die DKB verwendete zur Bearbeitung solcher Anfragen einen Algorithmus, der u.a. Angaben des Antragstellers zu Beruf, Einkommen und weiteren Personalien sowie Daten aus weiteren Quellen verarbeitete. Der Algorithmus lehnte aufgrund automatisierter Entscheidung den Antrag des Kunden ab (trotz positivem Schufa-Score und hohem regelmäßigem Einkommen). Nachfragen des Kunden wurden nur oberflächlich beantwortet.
Damit verstieß sie laut des Berliner Beauftragen für Datenschutz und Informationsfreiheit gegen Transparenzpflichten bei der Nutzung von automatisierten Entscheidungen. Eine Bank sei verpflichtet, die Kundinnen und Kunden bei der automatisierten Entscheidung über einen Kreditkartenantrag über die tragenden Gründe einer Ablehnung zu unterrichten. Hierzu zählen konkrete Informationen zur Datenbasis und den Entscheidungsfaktoren sowie die Kriterien für die Ablehnung im Einzelfall. Das Unternehmen hat umfassend mit der Aufsichtsbehörde kooperiert und den Bußgeldbescheid akzeptiert.
Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI)
Branche: Finanzdienstleister
Verstoß: Art. 22 Abs. 3, Art. 5 Abs. 1 lit. a und Art. 15 Abs. 1 lit. h DSGVO
Bußgeld: 300.000 Euro
Die Entscheidung zeigt eindringlich, wie wichtig es ist, den Einsatz von Algorithmus ausreichend vor- und nachzubereiten. Wichtigster Anknüpfungspunkt ist hierfür der Grundsatz von Treu und Glauben und von Transparenz. Zudem schreibt die DSGVO in Art. 15 Abs. 1 lit. h) DSGVO deutlich vor, dass dem Betroffenen von automatisierten Entscheidungen auf Anfrage aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen mitzuteilen sind. Genaueres haben wir in bereits in dem Beitrag zum Verbot automatisierter Entscheidungen zusammengetragen. Insofern ist die Entscheidung der Berliner Aufsichtsbehörde nur konsequent.
Aldi Ungarn muss 253.000 Euro zahlen
Der bekannte Lebensmittel-Discounter Aldi wurde von der ungarischen Aufsichtsbehörde mit einem Bußgeld in Höhe von 253.000 Euro belegt. Zuvor hatten sich mehrere Personen beschwert. Gegenstand dieser Beschwerden war der Umstand, dass die Kunden beim Kauf von alkoholischen Getränken nach dem Geburtsdatum gefragt wurden, welches anschließend ins Kassensystem eingegeben und dort gespeichert wurde. Aldi speicherte die Daten, um die Arbeit der Kassierer/innen zu erleichtern. Die Eingabe des Geburtsdatums inkl. Anzeige des aktuellen Alters sei laut Aldi schneller gewesen als die Überprüfung durch den/die Verkäufer/in selbst. Die Daten der Kunden wurden als Teil der Logfiles für 180 Tage gespeichert und waren damit auch für Datenverarbeiter des Discounters zugänglich. Zu Aldis Nachteil kam hinzu, dass sie keine Angaben zur Rechtsgrundlage der Verarbeitung machen konnten/wollten.
Behörde: Nemzeti Adatvédelmi és Információszabadság Hatóság
Branche: Einzelhandel
Verstoß: Art. 5 Abs. 1 lit. a, Art. 5 Abs. 1 lit. c, Art. 12, Art. 13, Art. 6, Art. 32 Abs. 1 u. 4 DSGVO
Bußgeld: 253.000 Euro
Die Entscheidung der ungarischen Aufsichtsbehörde zeigt, dass Unternehmen stets im Blick haben sollten, auf welcher Rechtsrundlage sie die personenbezogenen Daten ihrer Kunden verarbeiten. Dabei ist die Frage der richtigen Rechtsgrundlage nur der Anfang. Darüber hinaus muss auch in den Blick genommen werden, wie die Daten in der Folge gespeichert werden oder wer alles Zugriff erhält. Zuletzt wird (erneut) deutlich, dass die Aufsichtsbehörden es negativ quittieren, wenn die betroffenen Unternehmen nicht ausreichend mitwirken und keine Auskunft über die Einzelheiten der Verarbeitungen geben. Sollten noch Zweifel bestehen, ob man sich durch die Mitwirkungspflicht (weiter) selbstbelastet, kann hier mehr über dieses Spannungsverhältnis lesen.
Weiteres Millionen-Bußgeld für Clearview AI wegen mangelnder Kooperation
Für ein eher ungewöhnliches Bußgeld sorgt die französische Aufsichtsbehörde CNIL. Wie im Mai bekannt wurde, erließ die CNIL bereits im Vormonat ein Zwangsgeld gegen das KI-Unternehmen Clearview AI. Anlass der Sanktion war jedoch kein „typischer Verstoß“ gegen die DSGVO, sondern vielmehr das Nachtatverhalten des Unternehmens. Hintergrund war ein Bußgeld in Höhe von 20 Millionen Euro, welches Clearview AI bereits im Oktober 2022 auferlegt wurde. Gegenstand war das Sammeln und Speichern von Fotos aus dem Internet. Dies geschah laut CNIL für französische Personen ohne Rechtsgrundlage. Mit der Geldstrafe von Oktober erging zudem die Anordnung, dass Clearview AI keine Daten mehr von in Frankreich ansässigen Personen ohne Rechtsgrundlage sammeln und verarbeiten dürfe und die Daten dieser Personen löschen musste. Zur Umsetzung der Anordnung war Clearview AI eine Übergangsfrist von 2,5 Monaten eingeräumt worden. Kommt das Unternehmen der Anordnung nicht nach, muss es ein Zwangsgeld in Höhe von 100.000 Euro pro Verzugstag zahlen. Da Clearview jedoch keinen Nachweis zur Umsetzung einreichte, ist nun das Zwangsgeld in Höhe von 5,2 Millionen Euro festgesetzt worden.
Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL)
Branche: Künstliche Intelligenz
Verstoß: Art. 6, Art. 12, Art. 15, Art. 17, Art. 31 DSGVO
Bußgeld: 5.200.000 Euro
Erneut wird deutlich, dass die Anordnungen der Aufsichtsbehörden ernst zu nehmen sind. Auch nach einem verhängten Bußgeld haben Unternehmen mit den Aufsichtsbehörden zusammenzuarbeiten und sich insbesondere an deren Weisungen und Anordnungen zu halten. Weitere Informationen sowie Berichte über die Praxis von Clearview haben wir bereits in der Vergangenheit zusammengetragen. Angesichts der Entscheidung ist es ratsam, sich (erneut) mit dem Thema DSGVO-Grundsatz der Zweckbindung vertraut zu machen.
Verarbeitung von Bankkarten-Kopien ohne Rechtsgrundlage
Ein kroatischer Sportwettenanbieter leistete sich bei der Verarbeitung seiner Kundendaten eine Vielzahl an Vergehen und muss nun 380.000 Euro zahlen. Einer der nun geahndeten Verstöße lag darin, dass der Sportwettenanbieter die personenbezogenen Daten diverser Kunden ohne eine gültige Rechtsgrundlage verarbeitet hatte. Teilweise forderte das Unternehmen von Kunden auch eine zweiseitige Kopie seiner Bankkarte an – ebenfalls ohne Rechtsgrundlage.
Hinzu kommt, dass die Kunden nicht ausreichend über die Verarbeitungen informiert wurden. Zudem bemängelt die Aufsichtsbehörde die ergriffenen technischen und organisatorischen Maßnahmen. Diese seien mangelhaft. So wurden weder die Kundendaten technisch verschlüsselt auf der Datenbank des Verantwortlichen gespeichert, noch die die Wirksamkeit der ergriffenen technischen und organisatorischen Maßnahmen regelmäßig überprüft und bewertet.
Behörde: Agencija za zaštitu osobnih podataka
Branche: Wettanbieter
Verstoß: Art. 6 Abs. 1, Art. 13 Abs. 1 u. 2, Art. 25 Abs. 1 u. 2, Art. 32 Abs. 1 lit. a, d DSGVO
Bußgeld: 380.000 Euro
Es hat einen Grund, weshalb die DSGVO (und die Aufsichtsbehörden) einen so großen Fokus auf die technischen und organisatorischen Maßnahmen legt: In einer zunehmend digitalen Geschäftswelt ist es unabdingbar, die erhaltenen Daten sicher zu speichern und aufzubereiten. Angesichts der besonders hohen alltäglichen Relevanz haben wir dem Thema technische und organisatorische Maßnahmen einen eigenen Beitrag gewidmet. Neben den TOM sollte die Entscheidung zudem zum Anlass genommen werden, die Vorgaben hinsichtlich der Informationspflichten aufzufrischen.
