Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im November 2023.
Der Inhalt im Überblick
Millionenbußgeld für Arbeits- und Wohlfahrtsverwaltung
Die norwegische Aufsichtsbehörde untersuchte die norwegische Arbeits- und Wohlfahrtsverwaltung (NAV). Die Mehrheit der norwegischen Bürger erhält im Laufe ihres Lebens Leistungen der NAV, darunter Rente, Kindergeld oder Sozialhilfe. Die norwegische Aufsichtsbehörde stellte fest, dass personenbezogene Daten nicht datenschutzkonform verarbeitet werden. So hat eine zu große Anzahl von Mitarbeitern der NAV einen zu großzügigen Zugang zu Daten. Gleichzeitig protokolliert die NAV nicht, in welchem Umfang auf die IT-Systeme zugegriffen wird. Schließlich sind die Administratoren nicht hinreichend geschult worden. Wegen dieser Mängel sowie aufgrund der Tatsache, dass auch besondere Kategorien personenbezogener Daten verarbeitet werden, erließ die Aufsichtsbehörde ein Bußgeld in Höhe von 20 Millionen NOK (1.706.994 Euro).
Behörde: Datatilsynet
Branche: Behörde
Verstoß: Art. 5 Abs. 2 DSGVO, Art. 24 Abs. 1, Abs. 2 DSGVO, Art. 32 Abs. 1, Abs. 2 und Abs. 4 DSGVO
Bußgeld: 1.706.994 Euro
Die norwegische Aufsichtsbehörde hatte die NAV bereits in der Vergangenheit verwarnt. Umso ärgerlicher ist, dass die NAV trotz der Verarbeitung besonderer Kategorien personenbezogener Daten grundlegende technische und organisatorischen Maßnahmen nicht eingehalten hat.
Gesundheits- und Führungszeugnis für den Kursbesuch
Einen Fall überfleißiger Datensammlung hatte die spanische Aufsichtsbehörde zu entscheiden. Dort hatte sich eine betroffene Person über die Schule Centro De Estudios Aeronauticos, S.L. (CEAE) beschwert, die unter anderem von zukünftigen Flugbegleitern besucht wird. Zur Einschreibung verlangte die CEAE, dass die betroffene Person eine Gesundheitsprüfung durchläuft und ein entsprechendes Gesundheitszeugnis vorlegt, eine Erklärung mit Angaben zum Gesundheitszustand unterschreibt und ein Führungszeugnis einreicht. Die spanische Aufsichtsbehörde AEPD stellte fest, dass die Verarbeitung der Daten durch die Schule nicht erforderlich war. Die Erhebung der Daten war auch nicht etwa durch die staatliche Flugaufsicht vorgeschrieben. Das Bußgeld in Höhe von 72.000 Euro erging nicht gegen die CEAE, sondern gegen das Eurocollege Oxford English Institute, das die CEAE zwischenzeitlich übernommen hatte und daher Verantwortliche war.
Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Ausbildungs-/ Schulwesen
Verstoß: Art. 5 Abs. 1 lit. c DSGVO, Art. 6 Abs. 1 DSGVO, Art. 9 Abs. 2 DSGVO
Bußgeld: 72.000 Euro
Das Bußgeld unterstreicht einmal mehr den Grundsatz der Datenminimierung. Dass nur die für den Zweck erforderlichen Daten verarbeitet werden dürfen, sollte inzwischen bekannt sein. Es ist daher unklar, was das Centro De Estudios Aeronauticos mit den Gesundheitsdaten und dem Führungszeugnis anfangen wollte. „Nice to have“ ist in jedem Fall keine ausreichende Begründung für eine derart weitgehende Datensammlung.
Gesundheitsdaten im Lost Place
Bei Lost Places handelt es sich um verlassene Orte und Gebäude, wie Häuser oder gar Freizeitparks, die leerstehen und nicht mehr genutzt werden. Mit Glück ist der zurückgelassene Lost Place noch weitgehend intakt und nicht zerstört. Unberührt und zurückgelassen sind in solchen Fällen aber häufig auch eine Vielzahl von Fotografien, Schriftwechsel und Rechnungen, die offen einsehbar herumliegen. Eine besondere datenschutzrechtliche Relevanz bekommen Lost Places, wenn es sich bei dem nicht mehr genutzten Gebäude um Krankenhäuser handelt. So lag auch der Fall, den die italienische Aufsichtsbehörde zu beurteilen hatte. Ein anonymer Hinweisgeber teilte der Aufsichtsbehörde mit, dass sich in dem nicht mehr genutzten Banti-Sanatorium Gesundheitsdokumente befinden. Die Aufsichtsbehörde stellte fest, dass diverse sensible Gesundheitsdaten wie ganze Patientenakten inklusive Röntgenbilder frei zugänglich waren. Die verantwortliche Stelle, die Gesundheitsbehörde der Toskana, hatte es versäumt, die Akten zu vernichten oder sicher aufzubewahren, weshalb ein Bußgeld von 50.000 Euro verhängt wurde.
Behörde: Garante per la protezione dei dati personali (GPDP)
Branche: Gesundheitswirtschaft
Verstoß: Art. 5 Abs. 1 lit. a, e, f DSGVO, Art. 32 DSGVO, Art. 75 codice della privacy
Bußgeld: 50.000 Euro
Gerade im Bereich der Gesundheitswirtschaft müssen sich betroffene Personen darauf verlassen können, dass datenschutzkonform gehandelt wird. Unser Beitrag zum Datenschutz im Krankenhaus gibt erste Hilfestellungen, damit Patientenakten nicht in den freien Umlauf geraten.
Mülldaten nicht entsorgt
Die niederländische Gemeinde Voorschoten hatte in den Jahren 2018 und 2019 Mülltonnen und Müllcontainer der Gemeindemitglieder ausgetauscht. Sowohl die Mülltonnen als auch die Müllcontainer wurden mit Chips ausgestattet, die mit einer Hausadresse verknüpft wurden. Bei der Entleerung speicherten die Müllwagen die Adresse, Uhrzeit und Umstand der Entleerung. Wenn Haushalte zu häufig und zu viel Restmüll entsorgten, wurden die Tonnen für eine bestimmte Zeit nicht entleert. Die Gemeinde speicherte die Daten seit Einführung des Systems in den Jahren 2018 und 2019. Die niederländische Aufsichtsbehörde stellte fest, dass die Gemeinde eine Speicherung der Daten für fünf Jahre beabsichtigte, eine derart lange Speicherung zur Feststellung etwaiger Überschreitungen der vorgesehenen Müllmenge allerdings nicht erforderlich ist. Ferner waren die Gemeindeanwohner nicht ausreichend über die Datenverarbeitung informiert worden. Die Aufsichtsbehörde legte der Gemeinde daher ein Bußgeld von 30.000 Euro auf.
Behörde: Autoriteit Persoonsgegevens
Branche: Gemeinde
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 6 Abs. 1 lit. e DSGVO, Art. 14 Abs. 1 lit. c, d DSGVO
Bußgeld: 30.000 Euro
Verantwortliche sollten gründlich prüfen, wie lange Daten aufbewahrt werden dürfen. Denn mitunter ergibt sich eine gewissen Gefährlichkeit für die Freiheiten betroffener Personen gerade erst aus einer zu langen Speicherung von Daten. Im konkreten Fall der Müllentsorgungs-Daten wäre beispielsweise denkbar, dass mittelfristig die regelmäßige An- und Abwesenheit von Gemeindebewohnern und so ein Muster festgestellt werden kann.
GPS-Überwachung von Dienstfahrzeugen
Die luxemburgische Aufsichtsbehörde erließ ein Bußgeld in Höhe von 2.500 Euro gegen eine öffentliche verantwortliche Stelle, die namentlich nicht genauer benannt wurde. Die verantwortliche Stelle hatte in ihren Dienst- und Baufahrzeugen ein GPS-System installiert. Die Mitarbeiter wurden hierüber jedoch nicht ausreichend informiert. So fehlten u.a. Angaben zur Rechtsgrundlage und den Rechten der betroffenen Personen. Das GPS-System ermöglichte eine umfassende Überwachung, da es nicht deaktiviert werden konnte und sogar außerhalb der Arbeitszeiten lief. In Kombination mit den Dienstplänen konnten die GPS-Daten einem konkreten Mitarbeiter zugeordnet werden.
Behörde: Commission Nationale pour la Protection des Données (CNPD)
Branche: Behörde / öffentliche Stelle
Verstoß: Art. 13 DSGVO, Art. 5 Abs. 1 lit. b DSGVO
Bußgeld: 2.500 Euro
GPS-Tracking am Arbeitsplatz sorgt immer wieder für datenschutzrechtliches Konfliktpotential, denn bei einer dauerhaften Überwachung kann ein unzulässiger Überwachungsdruck der Beschäftigten entstehen. Üblicherweise muss für eine derart umfassende Überwachung ein begründeter Anfangsverdacht einer Straftat vorliegen.
