Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im November 2021

Top 5 DSGVO-Bußgelder im November 2021

Artikel von Dr. Datenschutz·1. Dezember 2021

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im November 2021.

Erfolgreicher Hackerangriff wegen unzureichender TOMs

Einem Hacker war es im Jahre 2019 gelungen, in die IT-Systeme der Airline Transavia einzudringen. Dadurch erhielt der Angreifer potenziellen Zugang zu den Daten von 25 Mio. Fluggästen. Zu diesen zählten unter anderem die Namen, Geburtsdaten, Geschlechter, E-Mail-Adressen, Telefonnummern, Fluginformationen und Buchungsnummern der Betroffenen. Die Daten von 83 Tsd. Passagieren wurden dabei nachweislich vom Cyber-Kriminellen abgeschöpft, darunter eine Liste mit Passagierdaten aus dem Jahre 2015. In 367 Fällen enthielten die gestohlenen Daten auch Informationen über den gesundheitlichen Zustand der Reisenden, z.B. dass sie einen Rollstuhl mitnehmen würden oder zusätzliche Dienstleistungen beantragt hatten, weil sie blind oder taub waren.

Behörde: Autoriteit Persoonsgegevens (NL)
Branche: Fluggesellschaft
Verstoß: Art. 32 Abs. 1 und 2 DSGVO
Bußgeld: 400.000 Euro

Verstöße gegen die Sicherheit der Datenverarbeitung nach Art. 32 DSGVO rücken nicht nur auf Grund vermehrter Hackerangriffe immer mehr in den Fokus der Aufsichtsbehörden. Der bei der Implementierung von technischen und organisatorischen Maßnahmen anzulegende Maßstab ist dabei immer, ein dem Risiko für die Betroffenen angemessenes Sicherheitsniveau zu gewährleisten. Insbesondere wenn auch Gesundheitsdaten als sensible Daten nach Art. 9 DSGVO betroffen sind, ist umso genauer hinzusehen. So wären im vorliegenden Fall eine Multi-Faktor-Authentisierung, die Nutzung von starken und sicheren Passwörtern und die Beschränkung von Zugriffsrechten auf die unterschiedlichen Systeme weitere Optionen zur Sicherung gewesen. Wichtig ist jedoch auch, nach einem Hackerangriff entsprechende Vorkehrungen zu treffen.

Verarbeitung technischer Daten mit Personenbezug ohne Rechtsgrundlage

Seit November 2019 wurde gegen das betroffene Unternehmen, WS WiSpear Systems Ltd., strafrechtlich ermittelt. In diesem Zusammenhang wurde auch die datenschutzrechtliche Aufsichtsbehörde involviert. Die Untersuchungen ergaben, dass das Unternehmen im Rahmen von Tests und Präsentationen verschiedener Technologien die MAC-Adressen und IMSI-Daten von Nutzer-Geräten erfasste, ohne die Betroffenen darüber in Kenntnis zu setzen. Die Behörde führt aus, dass Mac-Adressen Nummern darstellen, die ein Gerät eindeutig identifizieren, wenn es sich mit dem Internet verbindet. Die IMSI ist eine Nummer, die in SIM-Karten (Subscriber Identity Module) enthalten ist und die einen Teilnehmer eindeutig identifiziert, wenn er mit dem Netz seines Dienstanbieters verbunden ist. Diese Daten können in Verbindung mit dem geografischen Standort eines Geräts zu verschiedenen Zeiten zur Identifizierung des Nutzers des Geräts führen. Das Verhalten des Unternehmens verstieße damit gegen den Grundsatz der Rechtmäßigkeit und Transparenz, woraufhin die Behörde ein Bußgeld verhängte.

Behörde: Datenschutzaufsichtsbehörde Zypern
Branche: Technik
Verstoß: Art. 5 Abs. 1 lit. a) DSGVO
Bußgeld: 925.000 Euro

Der vorliegende Fall macht deutlich, dass auch technische Daten, die einen Personenbezug aufweisen, in den Anwendungsbereich der DSGVO fallen. Die Frage, ob IP-Adressen personenbezogene Daten sind, wurde bereits im Jahr 2017 durch den Bundesgerichtshof nach Vorlage an den EuGH bejaht. Insbesondere beim Einsatz von Produkten US-amerikanische Anbieter wird jedoch immer wieder deutlich, dass es hierzu jedoch zumindest unterschiedliche Auffassungen zu geben scheint. Dies gilt es insbesondere dort zu beachten, wo auf Websites von Anbietern großzügig damit geworben wird, dass der Einsatz der Anwendung/ Applikation/ Software in jedem Fall „DSGVO-konform“ ist. Wenn jedoch die Ansicht herrscht, dass es sich nicht um die Verarbeitung von personenbezogenen Daten handelt, können die Anforderungen der DSGVO jedoch wohl kaum hinreichend berücksichtigt worden sein.

Unrechtmäßige Nutzung von Mitarbeiterdaten

Im Mai 2020 reichte eine Gewerkschaft bei der Commission Nationale de l’Informatique et des Libertés (CNIL) Beschwerde ein. Hintergrund war, dass beim Régie autonome des transports parisiens (RATP) – dem Betreiber des öffentlichen Nahverkehrs in Paris – die Anzahl der Tage, an denen Beschäftigte an Streikts teilgenommen hatten, aktenkundig gemacht und bei Beförderungsentscheidungen berücksichtigt worden sein sollen. Die Untersuchungen, welche die CNIL daraufhin in mehreren von RATP betriebenen Buszentren durchgeführt hatte, bestätigten diese Praxis.

Die Behörde erkannte darin einen Verstoß gegen den Grundsatz der Datenminimierung. Für die Bewertung der Leistung und der Beförderungsaussichten von Beschäftigten sei zwar die Gesamtzahl der Fehltage notwendig, nicht jedoch, ob diese Tage mit der Teilnahme an Streiks im Zusammenhang standen. Ebenso stellte die Behörde fest, dass die Verkehrsbetriebe bei der Speicherung von Beschäftigtendaten gegen den Grundsatz der Speicherbegrenzung verstoßen hatten. So waren Akten nach der Beurteilung von Mitarbeitern durch die Beförderungskommission für mehr als drei Jahre aufbewahrt worden, obwohl die hierfür angesetzte Frist eine Aufbewahrung von nur 18 Monaten vorsah.

Des Weiteren hatte der RATP bzgl. Datenzugriffen in seinen Systemen nicht ordnungsgemäß zwischen verschiedenen Berechtigungsstufen seiner Mitarbeiter differenziert. Hierdurch hatten mehr Mitarbeiter als nötig Zugang zu bestimmten Daten erhalten. Die Behörde wertete dies als eine Verletzung der Pflicht von RATP, technische und organisatorische Maßnahmen zu implementieren.

Behörde: Commission Nationale de l’Informatique et des Libertés (F)
Branche: Öffentliche Verwaltung/ öffentlicher Nahverkehr
Verstoß: Art. 5 Abs. 1 lit. c) und e) DSGVO, Art. 5 Abs. 2 DSGVO, Art. 32 DSGVO
Bußgeld: 400.000 Euro

Die Verarbeitung von Mitarbeiterdaten und der Beschäftigtendatenschutz stellen in der Beratung von Unternehmen nicht nur in Zeiten von 3G während Corona einen Dauerbrenner dar. Bei den Daten von Mitarbeitern kann es sich schon per se um sensible Daten handeln, was nicht nur bei dem Führen von Personalakten zu beachten ist. Insgesamt ist ein entsprechend transparenter und zweckgebundener Umgang mit diesen Daten daher wichtig, was auch das 35,3 Millionen Euro-Bußgeld gegen H&M verdeutlichte. Relevanten Themen, wie die richtige Rechtsgrundlage, die konkrete Umsetzung, ein Löschkonzept aber auch angemessene technische und organisatorische Maßnahmen, kann durch mittels Schulungen sensibilisierte MitarbeiterInnen und durch das frühzeitige Einbinden des Datenschutzbeauftragten begegnet werden.

Keine DSGVO-konforme Einbindung des betrieblichen Datenschutzbeauftragten

Die luxemburgische Datenschutzbehörde führte im Rahmen einer thematischen Untersuchungskampagne über die Funktion des Datenschutzbeauftragten bei einem nicht namentlich genannten Unternehmen eine entsprechende Kontrolle durch. Die Untersuchung ergab, dass das Unternehmen die Position seines internen Datenschutzbeauftragten nicht im Einklang mit der DSGVO gestaltet hatte.

Die Aufsichtsbehörde bemängelte, dass die Kontaktdaten des Datenschutzbeauftragten nicht auf der Unternehmenswebsite veröffentlicht worden waren. Stattdessen wurden Betroffene bei Datenschutzfragen dazu aufgefordert, sich über ein generisches Kontaktformular, postalisch, telefonisch oder über einen Messanger-Dienst mit dem Unternehmen in Verbindung zu setzen. Eine direkte Möglichkeit, den Datenschutzbeauftragten des Unternehmens zu kontaktieren, bestand nicht. Zudem wurde der Datenschutzbeauftragte nicht in alle Fragen zum Schutz personenbezogener Daten eingebunden. Zudem gab es weder eine direkte Berichtspflicht an die höchste Managementebene noch einen formalisierten Kontrollplan, nach dem der Datenschutzbeauftragter die unternehmensinterne Einhaltung der DSGVO-Vorgaben überwachte. Die Aufsichtsbehörde erließ daraufhin einen Bußgeldbescheid.

Die Aufsichtsbehörde sanktionierte in einem weiteren Verfahren ein anderes Unternehmen ebenfalls mit einem ähnlichen Bußgeld. Die Gründe waren die gleichen, wie bereits oben aufgeführt.

Behörde: Commission nationale pour la protection des données (LUX)
Branche: Unternehmen mit betrieblichem DSB
Verstoß: Art. 37 Abs. 7 DSGVO, Art. 38 Abs. 1 und 3 DSGVO, Art. 39 Abs. 1 DSGVO
Bußgeld: 18.700 Euro

Die Entscheidungen machen deutlich, dass es nicht bloß ausreicht, einen Datenschutzbeauftragten zu benennen. Dieser muss vielmehr auch in die Abläufe eines Unternehmens eingebunden werden. Ohne Einbindung ist es dem Datenschutzbeauftragten zudem nur schwer möglich, die ihm auferlegten Aufgaben und seine Funktion als unterrichtende, beratende und überwachende Stelle nach Art. 39 DSGVO für den Verantwortlichen auszufüllen. Dabei sollte eines zudem nicht vergessen werden: Der Datenschutzbeauftragte (ob nun intern oder extern) ist im Falle der Nichteinhaltung der DSGVO nicht persönlich verantwortlich. Diese Aufgabe fällt der verantwortlichen Stelle selbst zu, wie auch die Verhängung des Bußgeldes im vorliegenden Fall zeigt.

Unzulässige Werbeanrufe und fehlende Informationspflichten

Drei Kunden hatten bei der griechischen Datenschutzbehörde Beschwerde gegen ein Unternehmen, das Telefone verkauft, eingereicht. Anlass der Beschwerde waren unerbetene Werbeanrufe. Das Unternehmen hatte die Daten der Betroffenen, die im Rahmen von Produktkäufen erhoben worden waren, zur Durchführung von Werbeanrufen verwendet, obwohl diese in eine derartige Verarbeitung nicht eingewilligt hatten.

Des Weiteren hatte das Unternehmen die ihm obliegende Informationspflicht gegenüber den Betroffenen verletzt. So wurden diese weder darüber informiert, dass ihre Daten zu Werbezwecken verwendet werden würden, noch wurden ihnen die Identität und Kontaktdaten des Verantwortlichen in klarer Weise mitgeteilt. Ferner konnte das Unternehmen im Laufe der Ermittlungen nicht nachweisen, dass es den Widersprüchen der Betroffenen gegen weitere Werbeanrufe ordnungsgemäß nachgekommen war.

Behörde: Datenschutzaufsichtsbehörde Griechenland
Branche: Telekommunikationsbranche
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 12 Abs. 2 DSGVO, Art. 21 DSGVO
Bußgeld: 20.000 Euro

Leser und Leserinnen unserer Bußgelder-Reihe denken sehr wahrscheinlich: „Nicht schon wieder!“. Die Verhängung von Bußgeldern auf Grund von unzulässiger Werbung reißt nicht ab. Das Thema bleibt damit auch im Berateralltag stets aktuell. Interessant an dieser Entscheidung aus Griechenland ist eine Tatsache, die einer verantwortlichen Stelle in Deutschland und somit im Anwendungsbereich des Gesetzes gegen den unlauteren Wettbewerb (UWG) sofort in den Kopf schießen sollte: § 7 Abs. 3 UWG und die „Bestandskundenausnahme“. Sobald diese jedoch nicht greift, bleibt in den meisten Fällen nur noch das Einholen einer Einwilligung, um dem Minenfeld „E-Mail- und Telefonwerbung“ zu begegnen.

Mehr zum Thema
Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.