Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Oktober 2022.
Der Inhalt im Überblick
Kompromittierung von Mitarbeiterdaten durch Cyberattacke
Ein unvorsichtiger Mitarbeiter und eine Phishing-Mail sorgten bei der britischen Interverse Group Limited für einen größeren Datenschutzvorfall. Der Mitarbeiter öffnete die E-Mail, welche eine mit Malware versehene Zip-Datei enthielt. Dadurch erhielten die Angreifer Zugriff auf den Rechner des Mitarbeiters. Diesen nutzten sie, um weitere Systeme und Server zu infizieren und Anti-Viren-Programme zu entfernen. Am Ende verschafften sich die Angreifer Zugang zu personenbezogenen Daten von über 100.000 Beschäftigten des Unternehmens. Enthalten waren dabei unter anderem Namen, Telefonnummern, Bankverbindungen, Sozialversicherungsnummern sowie Gehaltsinformationen. Das Unternehmen meldete daraufhin den Vorfall gem. Art. 33 DSGVO der britischen Datenschutzbehörde ICO. Diese stellte fest, dass nur unzureichende technische und organisatorische Maßnahmen vorhanden waren. So war etwa das Betriebssystem, welches auf den Servern eingesetzt wurde, veraltet, der betroffene Mitarbeiter war nicht datenschutzrechtlich geschult worden, Schwachstellentests sind nicht durchgeführt worden und einer Meldung des Virenscanners wurde nicht nachgegangen. Da das Unternehmen mit der ICO kooperierte fiel das Bußgeld im Ergebnis niedriger aus. Darüber hinaus wurden im Nachgang die Sicherheitsmaßnahmen umfassend verbessert.
Behörde: ICO (UK)
Branche: Baubranche
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 DSGVO
Bußgeld: 5.057.878 Euro
Hier wird deutlich, wie eminent wichtig es für Unternehmen ist, angemessene technische und organisatorische Maßnahmen zu implementieren und diese aktuell zu halten. Das Gesetz sieht hierzu in Art. 32 Abs. 1 DSGVO vor, dass technisch und organisatorische Maßnahmen dem Stand der Technik entsprechen müssen. Auch entsprechende Schulungen von Mitarbeitern, unter anderem etwa zur Sensibilisierung und Erkennung von Angriffsversuchen von Dritten, kann das Risiko eines Datenschutzvorfalls verringern.
Unrechtmäßige Erstellung biometrischer Profile
Nunmehr fast schon ein Evergreen (im negativen Sinne) bei unseren Top 5 DSGVO-Bußgeldern: Eine europäische Behörde erlässt ein Bußgeld in Höhe von 20 Millionen EUR gegen die US-amerikanische Firma Clearview AI Inc. Diese fertigt mit Hilfe einer Gesichtserkennungssoftware biometrische Profile an. Die dafür benötigten Bilddaten extrahiert das Unternehmen aus Fotos von Betroffenen, die aus öffentlichen Internetquellen stammen und unterhält hierzu eine entsprechende Datenbank. Bereits im März, Mai und Juli diesen Jahres verhängten jeweils die italienische, die britische und die griechische Datenschutzbehörde Bußgelder in Millionenhöhe gegen das Unternehmen. Die CNIL erhielt mehrere Beschwerden von Privatpersonen sowie einen Hinweis des Verbands Privacy International. Die CNIL forderte Clearview daraufhin auf, die Verarbeitung von Daten von Personen auf französischem Hoheitsgebiet zu unterlassen, da hierfür keine Rechtsgrundlage vorliegt. Auch sollte das Unternehmen den Anträgen der Betroffenen auf Auskunft und Löschung entsprechen. Da Clearview innerhalb der gesetzten Frist den Forderungen nicht nachkam, verhing die CNIL das Bußgeld. Darüber hinaus wurde Clearview angewiesen die bereits erhobenen Daten innerhalb einer zweimonatigen Frist zu löschen. Für jeden Tag, den diese Frist überschritten wird, wurde ein Zwangsgeld in Höhe von 100.000 € angeordnet.
Behörde: CNIL (FR)
Branche: Künstliche Intelligenz/Softwareentwicklung
Verstoß: Art. 5 Abs. 1 lit. a, b und e DSGVO, Art. 6 DSGVO, Art. 9 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO, Art. 15 DSGVO, Art. 27 DSGVO
Bußgeld: 20.000.000 Euro
Wie schon in den Bußgeldverfahren anderer Behörden waren auch hier ausschlaggebende Punkte die Unrechtmäßige Verarbeitung personenbezogener Daten, die Nichtbeachtung von Betroffenenrechten sowie die unzureichende Kooperationsbereitschaft. Die datenschutzrechtliche Problematik beim Einsatz von Gesichtserkennungssoftware haben wir bereits verschiedentlich beleuchtet. Angesichts der Vielzahl von Beschwerden und dem offensichtlichen Rechtsverstoß, dürfte es nur eine Frage der Zeit sein, bis die nächste europäische Datenschutzbehörde ein ähnlich hohes Bußgeld verhängt. Augenscheinlich haben die bisherigen Bußgelder noch keinen Eindruck auf die Verantwortlichen bei Clearview gemacht.
Profiling mit Gesundheitsdaten
Bei dem britischen Unternehmen Easylife Limited, welches Haushaltsprodukte über Werbekataloge vertreibt, stellte sich nach einer Untersuchung der britischen Datenschutzbehörde (ICO) heraus, dass Kunden, wenn sie ein bestimmtes Produkt kauften, einen Prozess auslösten, bei dem das Unternehmen ein Profil des Kunden erstellte, um ihn mit bestimmten gesundheitsbezogenen Artikeln anzusprechen. Hierzu versuchte das Unternehmen Verbindungen herzustellen zwischen dem verkauften Produkt und dem möglichen Gesundheitszustand des Kunden. Dies nutzte das Unternehmen, um zu versuchen, bestimmte Nahrungsergänzungsprodukte zu bewerben und zu verkaufen, welche bei den vermeintlichen Gesundheitsprobleme angeblich helfen sollten. Dazu erhielten die Kunden einen Werbeanruf von einem mit der Durchführung einer Telemarketing-Kampagne beauftragten Dritten. Darin sah die Behörde, neben einem Profiling, eine Verarbeitung besonderer Kategorien personenbezogener Daten gem. Art. 9 DSGVO (in diesem Falle Gesundheitsdaten), in welche die Betroffenen nicht eingewilligt hatten. Eine besondere Schwere erhielt das Vorgehen des Unternehmens dadurch, dass vornehmlich ältere und kranke Personen betroffen waren und damit eine Personengruppe, die als besonders schutzwürdig anzusehen ist. Mit der Verhängung des Bußgeldes sollte nicht nur eine Sanktionierung des betroffenen Unternehmens stattfinden, sondern auch eine abschreckende Wirkung für die gesamte Branche entfaltet werden.
Behörde: ICO (UK)
Branche: Vertrieb von Haushaltswaren/Versandhaus
Verstoß: Art. 9 DSGVO, Art. 5 Abs. 1 lit. a DSGVO, Art. 13 Abs. 1 lit.c DSGVO
Bußgeld: 1.546.870 Euro
Geht es um besondere Kategorien personenbezogener Daten gem. Art. 9 DSGVO (z.B. Gesundheitsdaten, Daten zur rassischen und ethnischen Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, biometrische Daten, etc.) ist stets besondere Sensibilität gefordert. Die Verarbeitung ist grundsätzlich untersagt, es sei denn eine Ausnahme des Art. 9 Abs. 2 DSGVO greift. Bei Werbezwecken dürfte regelmäßig nur eine Einwilligung gem. Art. 9 Abs. 2 lit. a DSGVO als taugliche Ausnahme in Betracht kommen. Darüber hinaus ist ein Profiling regelmäßig gem. Art. 22 DSGVO unzulässig. Auch ein solches ist jedoch gem. Art. 22 Abs. 2 lit. c DSGVO mit Einwilligung zulässig. Da gerade beim Profiling Behörden von einem größeren Risiko für die Betroffenen ausgehen, ist bei der Gestaltung des Einwilligungsprozesses besondere Umsicht geboten.
Unerwünschte Werbeanrufe
Ein britisches Unternehmen, welches die Reparatur von Haushaltsgeräten anbietet, hatte über einen Zeitraum von mehreren Monaten mindestens 122 Werbeanrufe durchführen lassen. Unglücklicherweise hatte das Unternehmen dabei versäumt, einen Abgleich der angerufenen Telefonnummern mit dem sogenannten TPS-Register vorzunehmen. Dabei handelt es sich um ein offizielles Register in Großbritannien, welches es natürlichen und juristischen Personen ermöglichen soll, keine unerwünschten Werbe- und Marketinganrufe zu erhalten. Ist eine Nummer dort registriert, ist es Unternehmen gesetzlich untersagt diese anzurufen. Ähnliche Register existieren auch in anderen europäischen Ländern. Die betroffenen Nummern hatten in besagtem TPS-Register einen Eintrag. Die Anrufe waren somit unrechtmäßig und die ICO verhängte ein Bußgeld. Darüber hinaus geht sie von einer hohen Dunkelziffer aus, da nach ihren Ermittlungen innerhalb des fraglichen Zeitraums über eine Millionen Anrufe getätigt worden seien. Dabei war aber nicht ersichtlich, ob und wie viele Betroffene auf die Anrufe reagiert hätten.
Behörde: ICO (UK)
Branche: Reparaturservice
Verstoß: Art. 5 Abs. 1 lit. a DSGVO
Bußgeld: 264.389 Euro
Die werbliche Kontaktaufnahme ohne Rechtsgrundlage bzw. trotz Widerspruchs ist ein wiederkehrendes Thema in der Datenschutzpraxis. Es ist daher dringend zu empfehlen, vor Beginn einer Werbekampagne sorgfältig zu prüfen, ob bezüglich der angepeilten Zielgruppen geeignete datenschutzrechtliche Rechtsgrundlagen bestehen. Was im Bereich Direktmarketing und Werbung zu beachten bzw. noch erlaubt ist, haben wir schon einige Male thematisiert. In Deutschland besteht im Gegensatz zu Großbritannien kein staatlich kontrolliertes und reglementiertes Register für Werbewidersprüche. Wohlwollende Unternehmen können allerdings einen Abgleich mit der Robinsonliste durchführen. Dabei handelt es sich um eine gemeinnützige Einrichtung, bei der Nutzer sich in eine Schutzliste eintragen können, um die Wahrscheinlichkeit einer werblichen Kontaktaufnahme zu verringern. Eine gesetzliche Verpflichtung besteht hierzu jedoch nicht. Unternehmen sollten zudem eigene Register führen, in welchen sie Werbewidersprüche vermerken, um bei Marketingaktivitäten keine Beschwerden von Betroffenen oder aufsichtsbehördliche Maßnahmen befürchten zu müssen.
Falscher E-Mail-Empfänger und ausbleibende Meldung an die Behörde
In Spanien hatte ein Kunde eines Stromanbieters eine E-Mail erhalten, in deren Anhang sich Unterlagen zur Kündigung von Stromverträgen befanden. Diese waren jedoch von anderen Kunden des Stromanbieters ausgefüllt und unterschrieben worden. Darüber hinaus waren im Anhang der E-Mail ebenfalls Scans von Personalausweisen dieser Kunden angehängt. Der Kunde beschwerte sich daraufhin bei der spanischen Aufsichtsbehörde. Bei ihren Ermittlungen stellte sich heraus, dass durch einen Fehler in der Datenbank eine eigentlich unternehmensinterne E-Mail an den Kunden versandt wurde. Das Unternehmen wurde durch eine vorangegangene Beschwerde des Kunden, in welcher er auf den Fehler aufmerksam machte, darüber informiert. Hierauf wurde jedoch nicht reagiert und auch der Behörde wurde der Vorfall nicht gemeldet.
Behörde: AEPD (ES)
Branche: Energiebranche
Verstoß: Art. 5 Abs. 1 lit. f, Art. 32 DSGVO, Art. 33 DSGVO
Bußgeld: 35.000 Euro
Dass E-Mails versehentlich, sei es durch technische oder menschliche Fehler, an den falschen Empfänger verschickt werden ist sicher keine Seltenheit. Problematisch ist der vorliegende Fall vor allem deshalb, weil das Unternehmen, auch nachdem es von dem betroffenen Kunden über den Fehler informiert wurde, untätig blieb. Über die Gründe hierfür kann freilich nur spekuliert werden. Relativ sicher ist hingegen, dass die Gefahr solcher Vorfälle verringert werden kann, wenn Mitarbeiter entsprechend geschult werden und es Prozesse und Arbeitsanweisungen gibt, was in einem solchen Fall zu tun ist. Wird ein Vorfall, wie der einer fehlgeleiteten E-Mail, bekannt, sollten umgehend weitere Schritte eingeleitet werden. Ein „Aussitzen“ bzw. Ignorieren, ist wie der vorliegende Fall zeigt, nicht zu empfehlen und kann teuer werden. Es ist daher wichtig so früh wie möglich den Datenschutzbeauftragten einzubinden. Was bei einem möglichen Datenschutzvorfall sonst zu tun ist, ob etwa eine Meldung an die Aufsichtsbehörde gem. Art. 33 DSGVO oder gar eine Benachrichtigung der Betroffenen gem. Art. 34 DSGVO erforderlich ist, kann hier nachgelesen werden.