Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Oktober 2023.
Der Inhalt im Überblick
Inkasso-Unternehmen verarbeitet Daten von Nicht-Schuldnern
Die EOS Matrix d.o.o. ist ein kroatisches Inkassounternehmen, das zu der EOS Holding GmbH mit Sitz in Hamburg gehört. Im März dieses Jahres erhielt die kroatische Aufsichtsbehörde einen anonymen Hinweis, wonach die EOS Matrix unbefugt personenbezogene Daten verarbeite. Dem anonymen Hinweis war ein USB-Stick beigelegt, auf dem sich die Daten von 181.541 Schuldnern befanden, darunter Namen und Geburtsdaten. Die Aufsichtsbehörde stellte fest, dass keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen worden waren. Die Datenbank enthielt insgesamt Daten von rund 370.000 Schuldnern, so dass nahezu auf die halbe Datenbank zugegriffen wurde. Der erhöhte Zugriff auf die Datenbank sowie der Export der Daten hätte der EOS Matrix auffallen müssen. In Bezug auf den Inhalt der Daten stellte die Aufsichtsbehörde fest, dass die EOS Matrix teilweise Daten von Betroffenen verarbeitete, die gar keine Schuldner waren. Das Unternehmen verarbeitete außerdem Gesundheitsdaten, darunter Angaben darüber, ob eine tödliche Krankheit vorlag. Auch hierfür fehlte eine Rechtsgrundlage. Schließlich stellte die Aufsichtsbehörde fest, dass die EOS Matrix zwischen Mai 2018 und Januar 2019 49.850 Telefongespräche ohne rechtliche Grundlage aufzeichnete.
Behörde: Agencija za zaštitu osobnih podataka (AZOP)
Branche: Inkasso
Verstoß: Art. 5 Abs. 2 DSGVO, Art. 6 Abs. 1 DSGVO, Art. 9 Abs. 2 DSGVO, Art. 12 Abs.1 DSGVO, Art. 13 Abs.1 und Abs. 2 DSGVO, Art. 32 Abs. 1 lit. b DSGVO, Art. 32 Abs. 2 DSGVO
Bußgeld: 5.470.000 Euro
Dass der Verantwortliche hier nicht geeignete technische und organisatorischen Maßnahmen ergriffen hat, liegt auf der Hand. Darüber hinaus hätte die EOS Matrix die Daten nicht ohne Rechtsgrundlage verarbeiten dürfen. In einem Beitrag haben wir zusammengefasst, welche Rechtsgrundlagen für Inkasso-Unternehmen in Betracht kommen und was Inkasso-Unternehmen datenschutzrechtlich sonst noch beachten sollten.
Newsletterversand trotz Widerspruch
Die schwedische Aufsichtsbehörde (IMY) leitete eine Untersuchung gegen H&M ein, nachdem sich sechs Personen aus mehreren Ländern darüber beschwert hatten, trotz Widerspruchs Newsletter erhalten zu haben. Die IMY stellte fest, dass H&M gegen die DSGVO verstoßen hat, da die Verarbeitung personenbezogener Daten für Werbezwecke nicht unverzüglich eingestellt worden war, obwohl die Beschwerdeführer der Verarbeitung für Zwecke der Direktwerbung widersprochen hatten. Darüber hinaus war von H&M nicht sichergestellt worden, dass der Abmeldelink für Newsletter in jedem Fall funktionstüchtig war. Die IMY verhängte daher ein Bußgeld in Höhe von 350.000 SEK (30.265 Euro).
Behörde: Datainspektionen (IMY)
Branche: Textileinzelhandel
Verstoß: Art. 6 Abs. 1 DSGVO, Art. 12 Abs. 2 und 3 DSGVO, Art. 21 Abs. 3 DSGVO
Bußgeld: 30.265 Euro
Auch wenn das Bußgeld gerade für einen Konzern wie H&M niedrig ausfällt, zeigt der Fall, dass E-Mail-Marketing datenschutzkonform ausgestaltet sein sollte. Wer darüber hinaus nicht nur werben, sondern über die E-Mail tracken möchte, sollte unbedingt die weiteren Anforderungen an das Tracking im E-Mail-Newsletter beachten.
Haustürgeschäfte führen zu Millionenbußgeld
Die italienische Datenschutzbehörde erhielt zahlreiche Beschwerden über den Strom- und Gasversorger Axpo Italia Spa. Ohne Wissen der betroffenen Personen waren Strom- oder Gasverträge aktiviert worden. Die betroffenen Personen erfuhren hiervon erst mit der Kündigungsbestätigung des ehemaligen Energieversorgers oder nach Erhalt von Mahnungen wegen ausstehender Zahlungen. Hierbei fiel den Betroffenen auch auf, dass die Vertragsdaten häufig unrichtig oder stark veraltet waren. Die daraufhin von der italienischen Datenschutzbehörde vorgenommene Untersuchung zeigte, dass die Axpo Italia Spa über ein Netz von 280 Haustürverkäufern neue Strom- und Gasverträge abschloss. Allerdings war kein System eingerichtet, das hätte gewährleisten können, dass die von den Vermittlern in die Datenbank eingegebenen Daten richtig sind. Das führte dazu, dass unaufgefordert Verträge abgeschlossen wurden, die darüber hinaus häufig falsche personenbezogene Daten enthielten. Dass die Haustürverkäufer nicht zurückhaltend waren, zeigt die folgende Feststellung der Aufsichtsbehörde: In der Datenbank der Axpo Italia Spa fanden sich 2.462 vermittelte Verträge, bei denen dieselbe E-Mail-Adresse des potenziellen Kunden mehr als fünfmal verwendet wurde. Die Aufsichtsbehörde verhängte ein Bußgeld in Höhe von 10.000.000 Euro und ordnete außerdem an, dass die Axpo Italia Spa ein „Check-Call“ System zur Prüfung der Korrektheit der über das Verkäufernetz akquirierten Verträge einrichten muss.
Behörde: Garante per la protezione dei dati personali (GPDP)
Branche: Energieversorger
Verstoß: Art. 5 Abs. 1 lit. a und d DSGVO, Art. 24 Abs. 2 DSGVO
Bußgeld: 10.000.000 Euro
Das Unterschieben vermeintlich abgeschlossener Verträge ist nicht nur ein Verstoß gegen Datenschutzrecht, sondern hätte jedenfalls in Deutschland für die Vermittler auch strafrechtliche Relevanz. Aber auch in den Fällen, in denen tatsächlich Verträge abgeschlossen wurden, ist der Grundsatz der Richtigkeit der Daten zu wahren.
Umfangreiche Videoüberwachung von Sport- und Messehalle
Die Verantwortliche „hf“ betreibt eine Sport- und Messehalle in Island, die seit 2007 umfassend videoüberwacht wird. Die Verantwortliche begründete die umfangreiche Videoüberwachung damit, dass die Überwachungskameras zunächst auf Wunsch der Polizei installiert worden waren. Im Jahr 2007 fand in dem Gebäude ein NATO-Treffen statt, das die Polizei auch mithilfe der Überwachungskameras absichern wollte. Seitdem war die Videoüberwachung scharf geschaltet und sollte die Sicherheit der Besucher gewährleisten, insbesondere wenn sich viele Personen im Gebäude befinden. Gerade im Fall einer Evakuierung sei es erforderlich, den Besucherstrom überwachen zu können. Die Aufnahmen seien außerdem nie eingesehen worden und spätestens nach 90 Tagen automatisch gelöscht worden. Die isländische Aufsichtsbehörde stellte fest, dass eine hohe Zahl von Kindern und Jugendlichen von der Videoüberwachung betroffen waren. Darüber hinaus wurden Gelände und Gebäude teilweise auch in der Zeit videoüberwacht, als in der Halle eine Massenimpfung aufgrund von Covid-19 stattfand. Die Aufsichtsbehörde verhängte daher ein Bußgeld in Höhe von 3.500.000 ISK (23.890 Euro).
Behörde: Persónuvernd
Branche: Veranstaltungsbetreiber
Verstoß: Art. 5 DSGVO, Art. 6 Abs. 1 DSGVO, Art. 8 Abs. 1 und Abs. 2 DSGVO, Art. 9 Abs. 2 DSGVO, Art. 13 DSGVO, Art. 17 DSGVO
Bußgeld: 23.890 Euro
Aus dem Bußgeldbescheid wird leider nicht deutlich, wo wie viele Überwachungskameras installiert waren. Da die Videoüberwachung ursprünglich ein NATO-Treffen absichern sollten, liegt aber die Vermutung nahe, dass nicht alle Überwachungskameras für die reguläre Sicherung notwendig sind. Klar ist in jedem Fall, dass eine Speicherdauer von 90 Tagen bei Sport- und Messeveranstaltungen zu lang ist.
Geschäftsdaten für Wahlwerbung genutzt
Der Verantwortliche war Arbeitnehmer einer Straßenbaugesellschaft. Im Zusammenhang mit dieser Tätigkeit wurden ihm Kontaktdaten (Name und Telefonnummer) von Betroffenen bekannt gegeben. Der Verantwortliche nutzte diese Kontaktdaten nicht nur beruflich, sondern speicherte die Daten auf seinem Privathandy und verschickte im Januar dieses Jahres Nachrichten an sieben Personen, die im Kern Wahlwerbung enthielten. Da hierfür keine Rechtsgrundlage vorlag, verhängte die zuständige österreichische Aufsichtsbehörde gegen den Arbeitnehmer ein Bußgeld in Höhe von 1.000 Euro.
Behörde: Datenschutzbehörde (Österreich)
Verstoß: Art. 6 Abs. 1 und Abs. 4 DSGVO
Bußgeld: 1.000 Euro
Datenschutzrechtlich verantwortlich i.S.d. Art. 4 Nr. 7 DSGVO ist in der Regel das Unternehmen. Der Beschäftigte kann aber im Ausnahmefall selbst haften, wenn er sich nicht im Rahmen seiner betrieblichen Aufgaben bewegt, die Daten privat nutzt und so selbst über Zweck und Mittel der Verarbeitung entscheidet (sog. Mitarbeiterexzess). Die Anforderungen, die Art. 6 Abs. 4 DSGVO an die Zweckänderung stellt, waren im vorliegenden Fall offensichtlich nicht erfüllt.
