Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im September 2021.
Der Inhalt im Überblick
Verstöße gegen Transparenzvorgaben kosten WhatsApp 225 Mio. € Bußgeld
Diesen Monat wurde das zweithöchste Bußgeld seit Bestehen der DSGVO verhängt. In dem Verfahren, das bereits aus dem Jahre 2018 stammt, ging es um Verstöße gegen die Transparenzvorgaben aus Art. 12 – 14 DSGVO. Hierbei wurde bemängelt, dass die Daten innerhalb der Facebook-Gruppe weitergeleitet würden, ohne dass dies für den Nutzer transparent sei. Alles zum Bußgeld und zur irischen Datenschutzbehörde lesen Sie in diesem gesonderten Beitrag.
Behörde: Coimisiún um Chosaint Sonraí (Irland)
Branche: Social Media
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 14 DSGVO
Bußgeld: 225.000.000 Euro
Die umfangreiche Verarbeitung von personenbezogenen Daten innerhalb von Social Media Apps ist keine Neuigkeit, jedoch gelten auch für diese Unternehmen die Transparenzvorgaben aus Art. 12 – 14 DSGVO. Hier sind auch aufgrund der Vielzahl von Fällen sehr hohe Bußgelder möglich.
Verletzung des Transparenzgebots bei regelmäßigen Vertragswechsel
Zwischen August 2018 und Dezember 2019 hat die Vattenfall Europe Sales GmbH (Vattenfall) Vertragsanfragen, die mit einem besonderen Bonus verbunden waren auf „wechselauffälliges Verhalten“ geprüft. Diese Überprüfung sollte dafür sorgen, dass besonders wechselfreudige Kunden keine Bonus-Verträge mehr erhalten, betroffen waren rund 500.000 Fälle. Für die Überprüfung nutzte Vattenfall alte Rechnung, die nach steuer- und handelsrechtlichen Vorgaben für bis zu zehn Jahre aufbewahrt werden müssen. Diese Überprüfung wurde gegenüber den Kunden nicht offengelegt. Ob diese Verarbeitung überhaupt rechtmäßig ist, wurde hingegen offengelassen. Nach Abstimmung mit der Behörde hat Vattenfall ein neues Verfahren etabliert. Kunden können künftig entscheiden, ob sie einen Vertrag mit Bonus und Überprüfung oder ohne Bonus und ohne Überprüfung möchten.
Behörde: Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI)
Branche: Energieversorgung
Verstoß: Art. 12 DSGVO, Art. 13 DSGVO
Bußgeld: 901.388,84 Euro
Laut der Behörde ist das Bußgeld vergleichsweise „niedrig“ gewählt, da Vattenfall kooperiert und ihr Handeln unmittelbar umgestellt hat. Das Bußgeld solle auch als Warnung für andere Unternehmen dienen. Insbesondere bei einer Vielzahl von Betroffenen drohen sonst, wie bereits festgestellt, hohe Bußgelder. Der Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a) DSGVO für die Verarbeitung von personenbezogenen Daten ist die Grundlage für die Ausübung von Betroffenenrechten. Nur wer weiß welche Daten zu welchem Zweck verarbeitet werden kann sich im Zweifel gegen die Verarbeitung zur Wehr setzen.
Unzureichender Datenschutz bei Parkuhren
Die italienische Datenschutzbehörde ermittelte aufgrund einer Beschwerde gegen die Stadtverwaltung Rom, sowie die beiden Unternehmen Atac s.p.a. und Flowbird s.r.l. bezüglich neuer Parkuhren, die 2018 installiert wurden. Atac s.p.a. war von der Stadt mit der Verwaltung der städtischen Parkplätze beauftragt worden. Diese rüsteten die Parkuhren technisch auf, um neue Bezahlmethoden und andere Dienste anzubieten. Flowbird s.r.l. lieferte dafür einen Teil der Ausrüstung.
Atac hatte weder eine maximale Speicherdauer für die verarbeiteten Daten definiert noch adäquate Sicherheitsmaßnahmen implementiert. So liefen beispielsweise einige Datenströme zu und von dem von Atac verwendeten System über unsichere Kanäle. Außerdem hätten die Beschäftigten des Unternehmens jedes Nummernschild parkender Personen beliebig oft überprüfen können, ohne dass der Zugriff im Informationssystem nachvollziehbar gewesen wäre. Dadurch hätten sie theoretisch die Gewohnheiten und Aufenthaltsorte der Betroffenen ermitteln können. Keines der beiden Unternehmen hatte ein Verarbeitungsverzeichnis.
Behörde: Garante per la protezione dei dati personali (Italien)
Branche: Stadtverwaltung
Verstoß: Art. 5 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 25 DSGVO, Art. 28 DSGVO, Art. 32 DSGVO
Bußgeld: 800.000 Euro
In diesem Monat drehte sich viel um Informationspflichten und das Transparenzgebot. Auch dies wurde in diesem Fall unter anderem bemängelt. Die vielen unterschiedlichen Probleme offenbaren die Großen Lücken in der Umsetzung eines durchdachten Datenschutzkonzeptes. Es wurden Verstöße gegen die Rechenschaftspflicht und den Grundsatz der Speicherbegrenzung festgestellt. Ebenso lag eine Verletzung geeignete TOMs umzusetzen vor. Auch die beiden beteiligten Unternehmen wurden mit Bußgeldern versehen, in Höhe von 400.000 Euro (Atac) und 30.000 Euro (Flowbird).
Unrechtmäßige Drittlandübermittlung nach China
Die norwegische Datenschutzbehörde erließ gegen das norwegische Mautunternehmen Ferde AS ein Bußgeld von 5 Millionen NOK (496.746 Euro). Dem Unternehmen wird unter anderem vorgeworfen, personenbezogene Daten von norwegischen Autofahrern unrechtmäßig nach China übermittelt zu haben. Autokennzeichen seien grundsätzlich automatisch ausgewertet worden, wenn dies nicht möglich war, wurden die Aufnahmen an den Auftragsverarbeiter Unitel Bratseth Services (UBS) übermittelt. UBS verfügt über Mitarbeiter in China.
Behörde: Datatilsynet (Norwegen)
Branche: Maut
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 2 DSGVO, Art. 28 Abs. 3 DSGVO, Art. 32 Abs. 2 DSGVO, Art. 44 DSGVO
Bußgeld: 5.000.000 NOK (496.746 Euro)
Die Datenübermittlung nach China ist nicht unproblematisch und erfordert bei Nutzung von Standardvertragsklauseln sowohl zusätzliche Maßnahmen als auch ein Impact Assessment, dies hatte Ferde beides unterlassen. Die Behörde bemängelt insbesondere das fehlende Transfer Impact Assessment (TIA), also der Risikoabwägung für die Datenübermittlung außerhalb der EU/EWR. Dies wird immer wichtiger, auch im Kontext des Schrems-II-Urteils und stellt einen wesentlichen Bestandteil bei Nutzung von Standardvertragsklauseln dar. Einen Leitfaden zur Durchführung eines TIA finden Sie in diesem Artikel.
Unrechtmäßige Veröffentlichung von Daten von mehr als 100.000 Schülern
Die italienische Datenschutzbehörde verhängte gegen die Region Lombardei ein Bußgeld in Höhe von 200.000 Euro, da auf ihrer Webseite Daten von über 100.000 Schülern veröffentlicht wurden. Hierzu gehören Daten zu Stipendien und der Beantragung von finanziellen Zuschüssen. Diese waren auf der Webseite öffentlich einsehbar und konnten heruntergeladen werden. Neben dem Namen waren auch die Klasse des Antragstellers, der Code und der Name seiner Schule sowie die jeweilige Antragsnummer einsehbar.
Behörde: Garante per la protezione dei dati personali (Italien)
Branche: Stadtverwaltung
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 6 Abs. 1 lit. c und e DSGVO, Art. 6 Abs. 2 DSGVO, Art. 6 Abs. 3 lit. b DSGVO, Art. 2-ter, Abs. 1 und 3 codice della privacy
Bußgeld: 200.000 Euro
Die Behörde verwies zum einen darauf, dass es für die Veröffentlichung der Daten schon keine gesetzliche Grundlage gegeben habe. Zum anderen liege ein Verstoß gegen Transparenzgebot vorliege. Der Verstoß sei auch deshalb kritisch, weil er sich in einem besonders sensiblen Bereich befinde. In Anbetracht, dass es sich um eine hohe Anzahl an Fällen und es sich um sensible Daten handelt sowie die Daten für einen Zeitraum von 11 Monaten exponiert waren erscheint das Bußgeld vergleichsweise niedrig.