Top 5 DSGVO-Bußgelder im Oktober 2021

Fachbeitrag

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Oktober 2021.

Keine datenschutzrechtlichen Anfragen per E-Mail möglich

Die österreichische Datenschutzbehörde verhängte gegen die börsennotierte Österreichische Post AG ein sattes Bußgeld in Höhe von 9,5 Mio. Euro, weil die Möglichkeit der Datenbeauskunftung unzureichend war. Das Unternehmen hatte lediglich Kontaktanfragen per Post, Kundenservice oder Kontaktformular auf der Website zugelassen, nicht aber per E-Mail.

Der Bußgeldbescheid ist noch nicht rechtskräftig. Die Österreichische Post AG kündigte an, gegen die Entscheidung der Datenschutzbehörde Rechtsmittel einlegen zu wollen.

Behörde: Datenschutzbehörde Republik Österreich
Branche: Logistik und Postdienstleistung
Verstoß: Art. 12 DSGVO; Art. 15 DSGVO
Bußgeld: 9.500.000 Euro

Leider gibt es noch keine Einzelheiten zur Begründung des überraschend hohen Bußgeldes, da keine offizielle Mitteilung seitens der Aufsichtsbehörde vorliegt. Die Argumentation wäre sicherlich für die Datenschutzwelt von großem Interesse, um sich einen Reim auf diese scheinbar unwillkürliche Sanktionierung zu machen. Ein Kontaktformular gehört vermutlich für die meisten Webseiten zum Standardinventar und soll schließlich einen extra Service für die Kunden darstellen. Zudem sind in den meisten Fällen Kontaktformulare besser geschützt als der E-Mail-Verkehr, indem eine verschlüsselte Übertragung des Kontaktformulars als notwendig angesehen wird. Es wird sich noch zeigen, ob dieser vermeintliche Verstoß einer eingehenderen Prüfung standhalten wird.

Fehlende Einwilligung für Werbeanrufe

Die italienische Aufsichtsbehörde hat gegen den Pay-TV-Anbieter Sky Italia S.r.l. ein Bußgeld von fast 3,3 Mio. Euro verhängt. Der Grund: unerlaubte Werbeanrufe. Sky Italia und die von ihr beauftragten Callcenter hatten per Telefon eine Vielzahl von Personen angerufen, um Sky Produkte zu bewerben, obwohl einer solchen Werbeansprache im Vorfeld ausdrücklich widersprochen wurde. Neben der Verletzung der Informationspflichten, nicht vorhandenen Vereinbarungen zur Auftragsverarbeitung und der fehlenden Überprüfung inklusive Dokumentation der Werbewidersprüchen, hatte Sky Italia vor allem keine wirksame Einwilligung der Betroffenen eingeholt. Die Unternehmen, mit denen Sky Italia Werbeverträge geschlossen hatte, kontaktierten ihre Kunden zunächst via SMS, stellten ihnen Produkte von Sky vor und fragten, ob diese von Sky Italia kontaktiert werden möchten. Die Kunden konnten per SMS „Ok“ antworten und stimmten somit der Weitergabe der Daten an Sky Italia zu, nicht aber ausdrücklich der Telefonwerbung.

Behörde: GPDP (Italien)
Branche: Medien
Verstoß: Art. 5 DSGVO, Art. 6 Abs. 1 DSGVO, Art. 7 DSGVO, Art. 14 DSGVO, Art. 21 DSGVO, Art. 28 DSGVO, Art. 29 DSGVO
Bußgeld: 3.296.326 Euro

Und täglich grüßt das Murmeltier … in Form von unzulässiger Telefonwerbung. Mittlerweise sollte man meinen, dass Unternehmen ihre Lektion gelernt haben oder zumindest durch die hohen Geldstrafen, die andere Unternehmen ereilten, sensibilisiert wurden. Anscheinend wird diese Konsequenz eher billigend in Kauf genommen. E-Mail– und Telefonwerbung sind ein wahres Minenfeld für die Geschäftswelt und die Verantwortlichen sind angehalten, stets die Wirksamkeit der Einwilligung zu überprüfen.

Unzulässige Datenverarbeitung zur Bewertung der Kreditwürdigkeit

Die spanische Aufsichtsbehörde stellte bei der CAIXABANK PAYMENTS & CONSUMER EFC eine unzulässige Verarbeitung von Nicht-Kundendaten fest und sanktionierte dies mit einem Bußgeld in Höhe 3 Mio. Euro. Die betroffenen Personen hatten beispielsweise gegenüber Partnerunternehmen der Caixabank eine gebündelte Einwilligung zur Verarbeitung ihrer Daten durch die gesamte Unternehmensgruppe Grupo CaixaBank abgegeben, welche die Verarbeitungszwecke Profiling- und Marketing, Nachverfolgung gekaufter Produkte und Services sowie Maßnahmen bei Zahlungsausfällen beinhaltete. Die Caixabank verwendete somit die Daten, um umfassende Bewertungen der Kreditwürdigkeit und Profile der Personen zu erstellen. Zudem wurden die Betroffenen mit gezielter Werbung zu Finanzdienstleistungen kontaktiert. Nach Auffassung der Behörde war eine gebündelte Einwilligung jedoch unzulässig und die Betroffenen wurden nicht ausreichend über die Datenverarbeitung informiert.

Behörde: AEPD (Spanien)
Branche: Banken und Finanzdienstleistungen
Verstoß: Art. 6 Abs. 1 DSGVO
Bußgeld: 3.000.000 Euro

Fleißige Leser:innen unserer Top 5-Bußgelder-Reihe ist die Caixabank Gruppe bereits ein Begriff. Man sollte meinen, dass dieser inzwischen die Insolvenz droht bei der Vielzahl an Bußgeldern. Falsch gedacht! Die Caixabank verarbeitet munter die Daten von Kunden und sogar Nicht-Kunden weiter. Dass aber einiges schiefgehen kann bei der Einwilligung in die Verarbeitung zu Profilbildungszwecken, musste bereits die zu Rewe gehörende jö Bonus Club GmbH durch eine Geldstrafe in Höhe von 2 Mio. Euro seitens der österreichischen Aufsichtsbehörde schmerzlich feststellen.

Diebstahl von Einwohner- und Beschäftigtendaten

Die norwegische Gemeinde Østre Toten wurde Anfang Januar 2021 Opfer eines Ransomware-Angriffs. Dabei wurden die in den Systemen gespeicherten Daten, ca. 30.000 Dokumente von Einwohnern und Beschäftigten der Gemeinde, von den Angreifern kopiert und verschlüsselt sowie existierende Sicherheitskopien gelöscht. Zum Teil enthielten die Dokumente Daten der besonderen Kategorie nach Art. 9 DSGVO wie die Religionszugehörigkeit oder Angaben zur politischen Einstellung. Einige dieser Dokumente wurden sogar von den Angreifern im Dark Web veröffentlicht. Diese Datenpanne meldete die Gemeinde der norwegischen Aufsichtsbehörde, welche wiederum die unzureichenden technischen und organisatorischen Maßnahmen der Gemeinde als einen Grund für den Erfolg des Hackerangriffs ansah. Es hätten z.B. ausreichende Backups- und Protokollierungen und eine Zwei-Faktor-Authentifizierung implementiert werden sollen. Dies begründete nach Ansicht der Aufsichtsbehörde einen bußgeldbewehrten Verstoß gegen Art. 32 DSGVO.

Behörde: Datatilsynet (Norwegen)
Branche: Gemeinde
Verstoß: Art. Art. 24 DSGVO, Art. 32 DSGVO, § 26 personopplysningsforskriften
Bußgeld: 409.656 Euro

Obwohl die norwegische Gemeinde den Angriff und Verlust der personenbezogenen Daten pflichtbewusst der Aufsichtsbehörde meldete, rettete dies nicht vor den Konsequenzen. So zeigt sich abermals, wie wichtig die Sicherheit der IT-Systeme ist. Verantwortliche sollten sich nach einem Hacker-Angriff eingehend mit der Frage beschäftigten, wie dieser Angriff zustande kommen konnte und wie dieser mithilfe der Implementierung geeigneter technischer und organisatorischer Maßnahmen in Zukunft verhindert werden kann.

Umfassende Videoüberwachung in einem Wohnheim für Sehbehinderte

Das Institut Ciechi Ardizzone Gioeni di Catania, Betreiber eines Wohnheims für Sehbehinderte, hatte Kameras in Korridoren installiert, welche die Unterkunft mit den Gemeinschaftsduschen verbinden. Grund dafür sei der Schutz vor Diebstählen gewesen sowie die Gesundheit der Gäste des Wohnheims, indem der Zugang von unbefugten Personen zu Zeiten der Corona-Pandemie überwacht werden sollte. Die Videoüberwachung erfolgte als Echtzeitüberwachung, sodass die Monitore potenziell von Besuchern oder Lieferanten der Einrichtung eingesehen werden konnten. Die Information über die Videoüberwachung erfolgte am schwarzen Brett.

Die italienische Aufsichtsbehörde untersuchte auf eine Beschwerde eines Betroffenen hin die Videoüberwachung und kam zu dem Schluss, dass diese weder rechtmäßig sei noch dem Grundsatz der Datenminimierung und Transparenz Rechnung trage. Kameras, die Korridore zu den Duschen filmten, könnten nicht durch allgemeine Sicherheitsanforderungen gerechtfertigt werden. Stattdessen könne dieser Zweck durch weitaus weniger einschneidende Mittel erreicht werden können. Darüber hinaus sei die Informationspflicht nicht erfüllt worden, da ein Aushang am schwarzen Brett für die Empfänger der Informationspflichten, d.h. sehbehinderte Menschen, völlig ungeeignet sei. Eine Datenschutz-Folgenabschätzung hatte das Wohnheim im Vorfeld nicht durchgeführt, was nach Ansicht der Aufsichtsbehörde für die besonders schutzbedürftigen Bewohner:innen notwendig gewesen sei.

Behörde: GPDP (Italien)
Branche: Wohnheim
Verstoß: Art. 5 Abs. 1 lit. a und c DSGVO, Art. 12 Abs. 1 DSGVO, Art. 13 DSGVO, Art. 35 DSGVO
Bußgeld: 5.000 Euro

Zum Schluss noch ein Klassiker aus der Welt des Datenschutzes: die Videoüberwachung. Doch dieser Fall lässt sogar Datenschutz-Laien nichts anderes übrig, als sprachlos den Kopf zu schütteln. Informieren Sie sich im Vorfeld einer Videoüberwachung, wie die Informationspflichten stattdessen angemessen erfüllt werden können und wo die Grenzen einer Videoüberwachung liegen.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Datenschutzberatung

Ein Kommentar zu diesem Beitrag

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.