Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im Oktober 2024

Top 5 DSGVO-Bußgelder im Oktober 2024

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Oktober 2024.

Unzulässige Datenverarbeitung zu Werbezwecken

Im vergangenen Monat sorgte ein Bußgeld gegen die Betreiberin des weltweit bekannten beruflichen Netzwerks LinkedIn für Aufsehen. Das Verfahren gegen die irische Tochtergesellschaft lief bereits seit 2018, nachdem die französische Non-Profit-Organisation La Quadrature du Net, welche sich für Bürgerrechte im Internet einsetzt, eine Beschwerde bei der Aufsichtsbehörde eingereicht hatte. LinkedIn hat über einen längeren Zeitraum umfangreiche Auswertungen von Nutzerdaten vorgenommen, um zielgerichtete Werbung ausspielen zu können. Eine Einwilligung hatten die Nutzer nicht erteilt. Auch andere Rechtsgrundlagen waren nicht gegeben. Zudem hatte LinkedIn seine Nutzer über diese Form der Datenverarbeitung nicht informiert. Auch wurden teilweise Daten gesammelt und ausgewertet, welche LinkedIn über Drittanbieter erhalten hatte.

Das Bußgeld in Höhe von 310 Mio. Euro setzt sich aus drei bislang nicht näher bekannten einzelnen Bußgeldern zusammen. Die DPC hat in ihrer Pressemitteilung angekündigt, die vollständige Entscheidung und weitere damit zusammenhängende Informationen zu gegebener Zeit zu veröffentlichen.

Behörde: Data Protection Commission (DPC)
Branche: Soziales Netzwerk/Dienstleistung
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 6 DSGVO, Art. 13 Abs. 1 lit. c DSGVO, Art. 14 Abs. 1 lit. c DSGVO
Bußgeld: 310 Mio. Euro

Unzulässige Werbemaßnahmen ohne Einwilligung bzw. ohne andere Rechtsgrundlage nehmen mit Abstand den ersten Platz ein in unserer Bußgelder-Reihe. Aber nicht nur beim Online-Marketing lauern Gefahren. Selbst die Werbung per Post ist nicht unproblematisch. Ganz grundsätzlich ist hier immer das Zusammenspiel von Datenschutzrecht und Wettbewerbsrecht zu beachten. Im Regelfall ist sowohl nach Art. 7 DSGVO als auch nach § 7 UWG eine Einwilligung einzuholen. Das Thema Werbung scheint aber inzwischen auch bei den Big Playern wie z. B. Meta anzukommen. Insofern ist die konsequente Vorgehensweise der DPC ausdrücklich zu begrüßen.

Unrechtmäßiger Zugriff auf Daten

Und wieder einmal hat die spanische Aufsichtsbehörde zugeschlagen. Und schon wieder hat es eine spanische Bank erwischt. Ein Kunde der IBERCAJA BANCO hat sich beschwert, nachdem ihm aufgefallen war, dass Bankmitarbeiter nach Beendigung seines Hypothekenvertrages unberechtigt auf Vertragsdaten zugegriffen hatten. Zwischenzeitlich hatte die Bank die Daten zwar gesperrt, dennoch haben die Ermittlungen ergeben, dass es zu insgesamt mindestens 47 unberechtigten Zugriffen gekommen war. Die Bank konnte keine Nachweise erbringen, dass die Zugriffe berechtigt gewesen sind. Ursprünglich hatte die Aufsichtsbehörde ein Bußgeld in Höhe von 300.000 Euro vorgesehen. Auf Grund der guten Kooperation mit der Behörde hat diese das Bußgeld auf 180.000 Euro reduziert.

Behörde: Agencia española protección datos (AEPD)
Branche: Bank
Verstoß: Art. 6 Abs. 1 DSGVO
Bußgeld: 180.000 Euro

Keine Datenverarbeitung ohne Rechtsgrundlage! Dieser Grundsatz aller Grundsätze im Datenschutz wurde hier offenbar missachtet. Oftmals kann die Datenverarbeitung notwendig sein, um einen Vertrag zu erfüllen. Aber auch hier ist Vorsicht geboten, denn die gegenseitigen Rechte und Pflichten können sehr unterschiedlich sein. Und natürlich sollten Beschäftigte auch genau wissen, auf welche Daten sie zugreifen dürften oder nicht. Neben Schulungen im Datenschutz sollte auch ein sinnvolles Berechtigungskonzept existieren, um unliebsame Überraschungen zu vermeiden. Im Optimalfall werden die Weichen schon im Onboarding der neuen Kolleginnen und Kollegen gestellt.

Fehlerhafte Aufzeichnung von Telefonaten

Die französische Aufsichtsbehörde (CNIL) hat zwei Anbieter für hellseherische Tätigkeiten jeweils mit einem Bußgeld belegt, da die Unternehmen gleich mehrere Datenschutzverstöße begangen hatten. Die CNIL hatte im Rahmen einer Untersuchung festgestellt, dass beide Unternehmen u. a. Gesundheitsdaten, Informationen zu Weltanschauungen und Daten zur sexuellen Orientierung ihrer Kunden teilweise ohne Einwilligung verarbeitet haben. Die Daten wurden im Rahmen von Telefonaten erhoben und länger als notwendig gespeichert. Darüber hinaus wurden die Telefonate in einer Vielzahl von Fällen systematisch aufgezeichnet.

Die Speicherung der Daten erfolgte über einen Zeitraum von sechs Jahren. Zulässig seien nach Auffassung der CNIL maximal drei Jahre gewesen. Problematisch war auch, dass beide Unternehmen die Daten ihrer Kunden ohne deren Wissen oder Einverständnis untereinander ausgetauscht haben und die Daten in einigen Fällen auch zu Werbemaßnahmen verwendet hatten. Mit den verhängten Bußgeldern in Höhe von 250.000 Euro sowie 150.000 Euro hat die CNIL nach eigenen Angaben abschreckende, aber auch angemessene Bußgelder verhängt.

Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL)
Branche: Dienstleistungen
Verstoß: Art. 5 Abs. 1 lit. c DSGVO, Art. 5 Abs. 1 lit. e DSGVO, Art. 9 DSGVO
Bußgeld: 250.000 Euro bzw. 150.000 Euro

Bei der unrechtmäßigen Verarbeitung von Gesundheitsdaten und anderen sensiblen Informationen verstehen Aufsichtsbehörden oftmals keinen Spaß. Hier kam es in der Vergangenheit des Öfteren zu Datenpannen durch unbefugte Weitergabe oder gar Offenlegung von besonders sensiblen Inhalten. Aber auch die richtige Rechtsgrundlage ist von entscheidender Bedeutung. Insbesondere bei den in Art. 9 DSGVO genannten Datenkategorien ist meistens eine Einwilligung notwendig.

Datenpanne bei der Polizei

In diesem Fall stand die Polizeibehörde Nordirlands im Fokus der britischen Datenschutzaufsicht. Die Polizei hat versehentlich Daten ihrer knapp 10.000 Beamten und weiteren Beschäftigten offengelegt. Der Fehler passierte, als die Polizeibehörde eine Anfrage in einem öffentlichen Portal beantworten wollte. Dabei wurde irrtümlich eine Excel-Liste aus dem Personalverwaltungssystem der Polizei hochgeladen, welche neben dem Nachnamen auch Initialen der Vornamen, Berufsbezeichnung, Dienstgrad, Besoldungsgruppe, Abteilung, Dienstort, Vertragsart, Geschlecht und Personalnummer enthalten hat. Die Ermittlungen hatten ergeben, dass die Polizeibehörde keine ausreichenden technischen und organisatorischen Maßnahmen zum Schutz der verarbeiteten Daten implementiert hatte.

Die Datenpanne ist auf Grund der Geschichte Nordirlands leider besonders brisant. Viele Mitarbeiter und deren Angehörige machen sich nun Sorgen um ihre Sicherheit, da nach Angaben der Polizei selbst noch immer mehrere paramilitärische und kriminelle Gruppen weiterhin aktiv gegen die Polizei vorgehen. Dies sei auf die Unruhen in Nordirland zwischen Ende der 1960er Jahre und 1998 zurückzuführen.

Behörde: Information Commissioner’s Office (ICO)
Branche: Polizeibehörde
Verstoß: Art. 5 Abs. 1 lit. f UK GDPR, Art. 32 Abs. 1 UK GDPR, Art. 32 Abs. 2 UK GDPR
Bußgeld: 890.123 Euro (750.000 GBP)

Der Fall zeigt deutlich auf, wie wichtig es ist, ausreichende technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu implementieren. Dabei bietet die DSGVO eine breite Palette an Maßnahmen, da die Auswahl stets vom konkreten Einzelfall abhängt. Zudem hilft die richtige Auswahl an TOMs, unangenehme Datenschutzvorfälle zu vermeiden. Die Verschlüsselung von Daten bzw. von Datenträgern sollte aber auf jeden Fall im Repertoire sein. Der Schaden im aktuellen Beispiel wäre dann zumindest deutlich geringer ausgefallen.

Videoüberwachung durch Privatperson

Die spanische Aufsichtsbehörde hatte sich erneut mit einer Beschwerde gegen eine natürliche Person zu beschäftigen, da diese eine unzulässige Videoüberwachung betrieben hat. Die Beschwerdeführerin ist Mitglied in einem Reitverein, der das Gelände bei der Beschwerdegegnerin gemietet hat. Die Beschwerdegegnerin hatte auf dem Vereinsgelände Kameras installiert, welche neben dem Trainingsgelände und dem Parkplatz auch die Damentoilette erfasst hatten. Dies sei ohne Kenntnis der betroffenen Personen erfolgt. Erschwerend kam hinzu, dass auch Aufnahmen von minderjährigen Personen erstellt worden sind.

Behörde: Agencia española protección datos
Branche: Natürliche Person
Verstoß: Art. 6 Abs. 1 DSGVO
Bußgeld: 2.000 Euro

Vor allem die spanische Aufsichtsbehörde verfolgt Beschwerden gegen Privatpersonen oder natürliche Personen offenbar sehr genau. Im Regelfall greift bei natürlichen Personen die sogenannte Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO ein, so dass die DSGVO gar nicht erst zur Anwendung kommt. Das gilt hier aber nicht, da die Bußgeldempfängerin offensichtlich gewerblich tätig war. Das Thema Videoüberwachung ist ein Dauerbrenner in der Datenschutzwelt und sorgt immer wieder für aufschlussreiche Gerichtsentscheidungen. Wenn der Schutz des Eigentums im Vordergrund steht, lässt sich eine Videoüberwachung oftmals rechtfertigen. Spannend wird es auch immer dann, wenn private Räumlichkeiten ins Spiel kommen. Hier muss eine besonders sorgsame Interessenabwägung zwischen den Beteiligten stattfinden.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.