Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im September 2022

Top 5 DSGVO-Bußgelder im September 2022

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im September 2022.

Unzulässige Werbeanrufe mit unterdrückter Nummer

Das britische Unternehmen Posh Windows UK Ltd, ein Fenster- und Verglasungsunternehmen, hatte im Zeitraum August 2020 bis einschließlich April 2021 ca. 460.000 unzulässige Werbeanrufe unter Beauftragung eines Dienstleisters getätigt. Das Unternehmen hatte die Kontaktdaten seiner „Kunden“ von einem Datenhändler gekauft und anschließend sehr aggressiv Kundenakquise betrieben, natürlich ohne die im Regelfall notwendige Einwilligung der Betroffenen.

Nach Ansicht des ICO hat das Unternehmen vorsätzlich gehandelt. So wurden selbst Personen, welche den Werbeanrufen aktiv widersprochen haben, weiterhin und teilweise mehrfach kontaktiert. Hinzu kam, die Zusammenarbeit mit der Aufsichtsbehörde unzureichend gewesen ist. Hier habe das Unternehmen nur schleppende und zum Teil widersprüchliche Angaben gemacht. Insbesondere zu den Quellen der Kontaktdaten der betroffenen Personen konnte nicht vollständig ermittelt werden, was nach Angaben der Aufsichtsbehörde auf die mangelnde Mitwirkung von Posh Windows zurückzuführen gewesen ist.

Behörde: Information Commissioner‘s Office (UK)
Branche: Handwerk/Dienstleister
Verstoß: Reg. 21 PECR (Privacy and Electronic Communication Act)
Bußgeld: 167.626 EUR (150.000 GBP)

Die britische Aufsichtsbehörde (ICO) hat wieder einmal ein Bußgeld wegen unzulässiger Werbeanrufe verhängt. Dies ist nach wie vor ein Klassiker im Datenschutzrecht. In einem vergleichbaren Fall hat das ICO ein Bußgeld über 116.618 EUR (100.000 GBP) verhängt. Generell ist bei Werbe- oder Marketingmaßnahmen aus datenschutzrechtlicher Sicht einiges zu beachten. So kann bereits eine Double-Opt-In-Mail als Werbung getarnt unzulässig sein. Auch hatte ein Gericht kürzlich die Frage zu beantworten, ob eine E-Mail-Signatur bereits Werbung enthalten kann. Marketing und Datenschutz schließen sich aber nicht aus, ganz im Gegenteil. Man muss nur die Spielräume nutzen, die sich nach DSGVO und nach UWG ergeben.

Personalausweiskopie zu Unrecht verlangt

Gegen die spanische BANCO BILBAO VIZCAYA ARGENTARIA, S.A, wurde ein Bußgeld verhängt, weil sie in unzulässiger Weise die Personalausweiskopie einer Betroffenen verlangt hat. Die Bank hatte die Betroffene über eine Kontobewegung informiert, woraufhin die Betroffene sich an die Bank gewandt hatte. Zur Klärung des Sachverhalts wurde sie an eine andere Abteilung verwiesen. Diese forderte jedoch zur Identifikation eine Personalausweiskopie an. Die Betroffene sich darüber bei der spanischen Aufsichtsbehörde beschwert.

Die Behörde hatte hier einen Verstoß gegen den Grundsatz der Datenminimierung erkannt. Das Bußgeld war zunächst auf 70.000 EUR festgesetzt worden. Auf Grund der freiwilligen Zahlung der Bank sowie auf Grund der kooperativen Zusammenarbeit wurde das Bußgeld um jeweils 20 Prozentpunkte auf 42.000 EUR reduziert.

Behörde: Agencia española protección datos (AEPD)
Branche: Bankwesen
Verstoß: Art. 5 Abs. 1 lit. c DSGVO
Bußgeld: 42.000 EUR

Die Verarbeitung von Personalausweisdaten ist ein heikles Thema. In der Regel sind die Anfertigung und Speicherung einer Kopie nicht notwendig und damit verboten. Denn meist ist das bloße Vorzeigen des Ausweises ausreichend, um die Identität einer Person festzustellen. Generell sollte hier stets für Datensicherheit gesorgt sein. Denn was ansonsten passieren kann, hat man z.B. vor einem Jahr in Argentinien gesehen, als Ausweisdaten von Millionen Bürgern in die falschen Hände gerieten. Dabei sind die Anforderung an die Datensicherheit umso höher, je mehr sensible Daten an einer Stelle zentral gespeichert werden. Übrigens werden in Deutschland nicht nur seit etwas mehr als einem Jahr Personalausweise auch mit dem Fingerabdruck des Inhabers versehen, sondern es gibt auch Pläne zum Aufbau zentraler Biometriedatenbanken in den Bundesländern. Manchmal ist der Überwachungsstaat doch näher, als man denkt.

Verstoß gegen Speicherbegrenzung und keine sicheren Passwörter

Infogreffe ist eine wirtschaftliche Interessenvereinigung, die seit 1986 den Dienst zur Verbreitung gesetzlicher und amtlicher Informationen über Unternehmen, insbesondere des Handels- und Gesellschaftsregisters (RCS), über mehrere kommerzielle Kanäle, insbesondere eine Website und damit verbundene kommerzielle Dienstleistungen, herausgibt. Nutzer können auf diese Weise rechtliche Informationen über Unternehmen abrufen und von den Handelsgerichten beglaubigte Dokumente bestellen.

Die französische Aufsichtsbehörde stellte im Rahmen ihrer Ermittlungen fest, dass 25 % des Datenbestandes länger gespeichert wurden, als dies zulässig gewesen ist. Dabei handelte es sich teilweise um sensible Informationen wie zum Beispiel Kontoverbindungen der Nutzer oder deren geheime Fragen und Antworten zur Identifikation. Darüber hinaus wiesen die technischen und organisatorischen Maßnahmen von erhebliche Defizite auf. So wurde bei der Kontoeinrichtung kein sicheres Passwort verlangt, wodurch 3,7 Millionen Nutzerkonten nicht ausreichend geschützt waren. Außerdem hatte das Portal Passwörter, die den Zugang zu Konten ermöglichten, unverschlüsselt per E-Mail übermittelt.

Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL)
Branche: Wirtschaftliche Interessenvereinigung
Verstoß: Art. 5 Abs. 1 lit. e DSGVO, Art. 32 Abs. 1 DSGVO
Bußgeld: 250.000 EUR

Das Nichtlöschen von personenbezogenen Daten kann böse Folgen haben, vor allem finanzielle, wie das obige Beispiel zeigt. Auch die Deutsche Wohnen SE aus Berlin kann davon ein Lied singen. Schließlich hat man sich vor nicht allzu langer das erste Millionen-Bußgeld in Deutschland eingefangen, weil man entweder gar nicht oder zu spät gelöscht hat. Hier die richtigen Stellschrauben zu drehen, ist aber eigentlich gar nicht schwer. Der Fall zeigt aber auch deutlich auf, wie wichtig es ist, ausreichende technische und organisatorische Maßnahmen nach Art. 32 DSGVO zu implementieren. Dabei bietet die DSGVO eine breite Palette an Maßnahmen, da die Auswahl stets vom konkreten Einzelfall abhängt. Zudem hilft die richtige Auswahl an TOMs, unangenehme Datenschutzvorfälle zu vermeiden.

Verstoß gegen Datenschutzrechte für Kinder

Nun hat es auch Instagram erwischt! Die Meta Platforms Ireland Limited hat ein Bußgeld kassiert, weil es Kindern zwischen 13 und 17 Jahren ermöglicht hat, Geschäftskonten einzurichten. Dabei war es möglich, auf die E-Mail-Adresse und die Telefonnummer des minderjährigen Nutzers zuzugreifen. Meta hatte die Veröffentlichung der Daten wahlweise auf das Erfordernis der Vertragserfüllung oder auf das berechtigte Interesse gestützt. Beides war aber nach Ansicht der Aufsichtsbehörde nicht zutreffend gewesen, insbesondere weil die Ermittlungen ergeben hatten, dass Meta überhaupt keine Interessenabwägung durchgeführt hatte. Inwiefern das berechtigte Interesse als „Absicherung“ für andere Rechtsgrundlagen gelten kann, ist ohnehin stark umstritten. Erschwerend kam hinzu,  dass die Accounts der Nutzer nicht standardmäßig auf „privat“ gestellt, sondern teilweise öffentlich einsehbar waren.

Das Bußgeld beträgt satte 405 Mio. EUR. Das ist der zweithöchste Betrag in der Geschichte der DSGVO. Nach Ansicht der Vorsitzenden des European Data Protection Board (EDPB), Andrea Jelinek, war das Verfahren gegen Meta ein großer Erfolg. Mit dieser historischen Entscheidung sei der Datenschutz für Kinder erheblich gestärkt worden.

Behörde: Data Protection Commission (Irland)
Branche: Social-Media-Plattform
Verstoß: Art. 5 Abs. 1 lit. a und c DSGVO, Art. 6 Abs. 1 DSGVO, Art. 12 Abs. 1 DSGVO, Art. 24 DSGVO, Art. 25 Abs. 1 und 2 DSGVO, Art. 35 Abs. 1 DSGVO
Bußgeld: 405.000.000 EUR

Mit Datenschutzrechten für Kinder ist nicht zu spaßen! Das zeigt das Verfahren gegen Meta ganz deutlich. Personenbezogene Daten von Kindern und Jugendlichen sind häufig sensibel. Gleichwohl sind es in vielen Fällen Minderjährige selbst, die ihre Daten oft unbedacht im Internet verteilen. Hier ist eine gute Sensibilisierung z. B. durch die Eltern, wichtig. Auch im unternehmerischen Alltag können Daten von Kindern eine Rolle spielen, da Datenschutzinformationen bei der gezielten Ansprache von Kindern und Jugendlichen entsprechend gestaltet werden müssen. Und wie hole ich da eine Einwilligung ein? Aber wenn es die Erziehungsberechtigten selber sind, welche die Daten ihrer Kinder preisgeben, sind solche Auswüchse wie bei Instagram leider nur die logische Konsequenz.

Missbräuchliche Verwendung von Grundbuchdaten

Ein Grundstückseigentümer in einem Neubaugebiet hatte ein Schreiben eines Bauträgers erhalten, in dem ihm ein Kaufpreisangebot für sein Grundstück unterbreitet wurde. Eine Information über die Herkunft seiner Daten enthielt das Schreiben nicht, auch auf Nachfrage wurde dem Adressaten nicht mitgeteilt, woher der Bauträger dessen Daten hatte, insbesondere die Kenntnis von dessen Eigentümerstellung.

Die Ermittlungen hierzu haben ergeben, dass ein Vermessungsingenieur von seiner Befugnis zur Einsichtnahme in das elektronische Grundbuch im automatisierten Abrufverfahren Gebrauch gemacht und in zwei Fällen mehrere hundert Grundstückseigentümer ohne deren Kenntnis identifiziert und die entsprechenden Informationen an einen Bauträger weitergegeben hatte. Dieser wiederum schrieb die so ermittelten Eigentümer mit einem Kaufpreisangebot für deren Grundstücke an, ohne die notwendigen Informationen nach Art. 14 DSGVO zu erteilen. Der Landesdatenschutzbeauftragte kam zu der Einschätzung, dass die Verarbeitung selbst unrechtmäßig war. Grundstückseigentümer müssten nicht davon ausgehen, dass ihre Daten im Grundbuch für werbliche Ansprachen zur Verfügung stehen.

Behörde: LfDI Baden-Württemberg
Branche: Bauunternehmen
Verstoß: Art. 5 Abs. 1 lit. b DSGVO, Art. 6 Abs. 1 lit. f DSGVO, Art. 14 DSGVO
Bußgeld: 50.000 EUR

Auch dieser Fall zeigt, wie wichtig es ist, die Grundsätze des Datenschutzes einzuhalten. Das gilt natürlich nicht nur für das Prinzip der Zweckbindung, gegen welches hier offensichtlich verstoßen wurde, sondern auch für andere elementare Grundsätze wie das Transparenzgebot oder die Vorgabe, dass Datenverarbeitung immer auf einer Rechtsgrundlage beruhen muss. Im vorliegenden Bußgeldfall wurden die betroffenen Personen nicht über die Datenverarbeitung informiert. Die Frage, wer wen über was informieren muss, stellt sich immer wieder, sei es zum Beispiel auf der eigenen Website oder bei der Verarbeitung von sensiblen Personaldaten.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Unter der Überschrift „Personalausweiskopie zu Unrecht verlangt“ wird in der Kommentierung der Eindruck erweckt, dass die Anfertigung von Ausweiskopien „generell“ rechtswidrig ist. Es sollte klargestellt werden, dass im Rahmen des § 8 Abs. 2 GwG eine gesetzliche Kopierpflicht für betroffene Rechtsgeschäfte besteht.

    • Wir können die Kritik nicht ganz nachvollziehen. Im Beitrag heißt es: „In der Regel […] nicht notwendig und damit verboten.“ Der § 8 GwG ist eine der Ausnahmen von der Regel, bei der der Gesetzgeber die Kopie als notwendig erachtet und diese somit erlaubt ist. Diese Ausnahme haben wir übrigens auch ausführlich in dem im Satz verlinkten Artikel zum „Kopierverbot“ besprochen.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.