Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im September 2023.
Der Inhalt im Überblick
Unzureichender Schutz der Daten von Minderjährigen
Im Rahmen einer eigenen Untersuchung stellte die irische Datenschutzaufsichtsbehörde fest, dass die TikTok Technology Limited im Zeitraum zwischen dem 31. Juli 2020 und dem 31. Dezember 2020 im Umgang mit personenbezogenen Daten von Minderjährigen mehrere Verstöße begangen hatte. Dies führte zu einem Bußgeld in Höhe von 345.000.000 Euro. Die Aufsichtsbehörde stellte fest, dass die Profile von minderjährigen Nutzern automatisch auf öffentlich gestellt gewesen waren. Aus diesem Grund waren die Inhalte der Nutzer für jeden sichtbar. Mittels der sogenannten Familienverbindung-Einstellung konnte das Nutzerkonto eines Minderjährigen zudem mit dem eines Erwachsenen verbunden werden und so die Direktnachrichtenfunktion aktiviert werden. Es wurde festgestellt, dass Tiktok nicht genug überprüft hatte, ob es sich bei dem mit dem Konto eines Minderjährigen verknüpften Konto um einen Elternteil handelte. Schließlich stellte die Aufsichtsbehörde fest, dass beim Anmeldeprozess mehrere manipulative Designs und Prozesse verwendet wurden, um Nutzer dazu zu bringen, datenschutzfeindliche Einstellungen zu akzeptieren.
Behörde: An Coimisiún um Chosaint Sonraí Data Protection Commission
Branche: Soziale Netzwerke
Verstoß: Art. 5 Abs. 1 a) DSGVO, Art. 5 Abs. 1 c) DSGVO, Art. 5 Abs. 1 f) DSGVO, Art. 12 Abs. 1 DSGVO, Art. 13 Abs. 1 e) DSGVO, Art. 24 Abs. 1 DSGVO, Art. 25 Abs. 1 DSGVO, Art. 25 Abs. 2 DSGVO
Bußgeld: 345.000.000 Euro
Die Entscheidung zeigt, dass soziale Netzwerke im Zentrum der Aufmerksamkeit der Datenschutzbehörden stehen. Nach Art. 24 DSGVO müssen Verantwortliche geeignete technische und organisatorische Maßnahmen ergreifen, um sicherzustellen, dass die Verarbeitung von personenbezogenen Daten nachweisbar im Einklang mit den Anforderungen der Datenschutz-Grundverordnung erfolgt. Gemäß Art. 25 DSGVO ist die Einhaltung von den Datenschutzgrundsätzen wie dem Zweckbindungsgrundsatz und der Datenminimierung auch durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sicherzustellen. Zudem hat die Tiktok Technology Limited gegen ihre Transparenzpflichten aus Art. 12 Abs. 1 und Art. 13 Abs. 1 e DSGVO verstoßen. Besonders problematisch aus datenschutzrechtlicher Sicht erscheint die Verwendung von sogenannten Dark Patterns, die von der Aufsichtsbehörde konstatiert wurde. Die Entscheidung der irischen Aufsichtsbehörde beruht ferner auf einem verbindlichen Beschluss des Europäischen Datenschutzausschusses.
Verarbeitung von Gesundheitsdaten ohne Rechtsgrundlage
Der Beschwerdeführer reichte bei der spanischen Aufsichtsbehörde Beschwerde gegen die Federación de Balonmano de Castilla la Mancha ein, weil der Verband für die Teilnahme an sportlichen Wettbewerben in der Region von Castilla la Mancha die Vorlage eines Impfnachweises, einer Genesungsbescheinigung oder eines SARS-CoV-2-Antigen-Schnelltests mit einem negativen Ergebnis verlangte. Die Teilnehmer mussten 48 Stunden vor der Sport-Veranstaltung eines der genannten Dokumente auf der Webseite des Verbandes hochladen. Bei den verlangten Dokumenten handelt es sich um Gesundheitsdaten im Sinne von Art. 4 Nr. 15 DSGVO, für deren Verarbeitung sowohl eine Rechtsgrundlage nach Art. 6 DSGVO als auch die Erfüllung einer der in Art. 9 Abs. 2 DSGVO aufgelisteten Bedingungen gegeben sein muss. Nach Ansicht der Aufsichtsbehörde ist die Datenverarbeitung vorliegend für den Schutz von lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person (der Sportteilnehmer) nach Art. 6 Abs. 1 lit. d DSGVO erforderlich. Die Aufsichtsbehörde stellt in ihrer Entscheidung dagegen fest, dass der Verband gegen Art. 9 DSGVO verstößt, da hier keine Norm des Unionsrechts oder des spanischen Rechts die Verarbeitung von Gesundheitsdaten für die Teilnahme an sportlichen Wettbewerben legitimiert. Zudem hat der Verband seine Informationspflichten aus Art. 13 DSGVO nicht erfüllt.
Behörde: Agencia Española de Protección de Datos
Branche: Sport, Gesundheitsdaten
Verstoß: Art. 9 DSGVO, Art. 13 DSGVO
Bußgeld: 17.000 Euro
In Anbetracht der schwerwiegenden Verstöße ist das Bußgeld gering. Die Entscheidung der spanischen Aufsichtsbehörde zeigt, dass die Rechtmäßigkeit der Datenverarbeitung gründlich vom Verantwortlichen geprüft werden muss. Bei der Verarbeitung besonderer Kategorien personenbezogener Daten muss sowohl eine Rechtsgrundlage nach Art. 6 DSGVO als auch einer der in Art. 9 Abs. 2 DSGVO aufgelisteten Bedingungen erfüllt werden. Darüber hinaus sind die betroffenen Personen immer über die Datenverarbeitung gemäß Art. 13 DSGVO oder Art. 14 DSGVO zu informieren.
Weitergabe des Duplikats einer SIM-Karte an einen Betrüger
Eine Privatperson reichte bei der spanischen Aufsichtsbehörde Beschwerde gegen VODAFONE ESPAÑA, S.A.U. ein, weil das Kommunikationsunternehmen ein Duplikat seiner SIM-Karte an einen Dritten ohne ihre Einwilligung weitergegeben hatte. Das Duplikat wurde am 27. Februar 2022 beim Kundenservice von einer norwegischen Nummer aus angefordert. Erst am 28. Februar 2022 erkannte das Unternehmen, dass es sich hierbei um einen Betrug handelte, und blockierte danach die SIM-Karte. Dadurch erlangte der Betrüger Zugang zu den Bankdaten des Inhabers der SIM-Karte und konnte mehrere unautorisierte Überweisungen tätigen, da er die Bestätigungs-SMS erhielt. Die Aufsichtsbehörde stellte fest, dass die Weitergabe der Daten auf keine der in Art. 6 DSGVO enthaltenen Rechtsgrundlagen gestützt werden konnte. Vorliegend hat das Kommunikationsunternehmen dadurch fahrlässig gehandelt, dass sie die Identität der dritten Person nicht geprüft hat.
Behörde: Agencia Española de Protección de Datos
Branche: Kommunikationsunternehmen
Verstoß: Art. 6 DSGVO
Bußgeld: 80.000 Euro
Gemäß dem Verbotsprinzip mit Erlaubnisvorbehalt des Art. 6 DSGVO ist jede Verarbeitung personenbezogener Daten rechtfertigungsbedürftig: die Datenverarbeitung ist verboten, es sei denn, sie ist nach einer Rechtsnorm ausdrücklich erlaubt. Die Entscheidung zeigt, dass eine rechtswidrige Weitergabe personenbezogener Daten schwerwiegende Konsequenzen für den Betroffenen haben kann. Die Aufsichtsbehörde verhängte ein Bußgeld in Höhe von 100.000 Euro, das um 20% auf 80.000 Euro reduziert wurde, weil das Kommunikationsunternehmen seine Schuld zugab.
Verarbeitung von sensiblen Daten im Beschäftigungsverhältnis
Aufgrund einer Beschwerde eines Mitarbeiters des Luftfrachttransportunternehmens SAF LOGISTICS stellte die französische Datenschutzbehörde Untersuchungen an. Nach Angaben des Beschwerdeführers verarbeitete das Unternehmen personenbezogene Daten über das Privatleben seiner Mitarbeiter im Rahmen eines Bewerbungsverfahrens für eine Stelle in der chinesischen Muttergesellschaft. Das Unternehmen versendete ein Formular an die Bewerber, in dem Angaben über ethnische Herkunft, politische Zugehörigkeit und Blutgruppe gemacht werden mussten. Zudem mussten die Mitarbeiter zahlreiche Informationen über ihre Familienmitglieder mitteilten, wie Identität, Kontaktdaten, Arbeitgeber, Familienstand und Position.
Die französische Datenschutzbehörde stellte fest, dass das Unternehmen den Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO nicht einhielt. Zudem konstatierte die Aufsichtsbehörde, dass keine der in Art. 9 Abs. 2 DSGVO enthaltenen Bedingungen für die Verarbeitung von sensiblen Daten erfüllt wurde. Hinzu kommt, dass das Unternehmen Strafregisterauszüge von Beschäftigten ohne eine Rechtsgrundlage aufbewahrte. Gemäß Art. 10 DSGVO darf die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten aufgrund von Art. 6 Abs. 1 DSGVO nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mietgliedstaaten zulässig ist. Schließlich bemängelte die Aufsichtsbehörde die Zusammenarbeit des Unternehmens, da dieses eine unvollständige Übersetzung des Formulars vorlegte und die Aufsichtsbehörde daraufhin das Formular selbst übersetzen lassen musste, um über alle Informationen zu verfügen. Dieses Verhalten stelle einen Verstoß gegen die allgemeine Kooperationspflicht des Verantwortlichen aus Art. 31 DSGVO dar.
Behörde: Commission Nationale de l´Informatique et des Libertés
Branche: Beschäftigtendatenschutz
Verstoß: Art. 5 Abs. 1 lit. c DSGVO, Art. 9 DSGVO, Art. 10 DSGVO und Art. 31 DSGVO
Bußgeld: 200.000 Euro
Die Entscheidung der französischen Aufsichtsbehörde zeigt, dass Unternehmen im Umgang mit Beschäftigtendaten zahlreiche datenschutzrechtliche Normen einhalten müssen. Neben dem Grundsatz der Rechtmäßigkeit der Verarbeitung ist der Grundsatz der Datenminimierung immer im Auge zu behalten. Die Verarbeitung personenbezogener Daten muss für die Erreichung der festgelegten Zwecke erforderlich sein. Zudem sind Unternehmen dazu verpflichtet, mit den Aufsichtsbehörden zusammenzuarbeiten und deren Anordnungen zu folgen.
Tonaufzeichnungen eines Vergewaltigungsopfers veröffentlicht
Der spanischen Datenschutzbehörde wurde mitgeteilt, dass mehrere Nachrichtenmedien auf ihren Webseiten die Tonaufzeichnung eines vor dem Gericht aussagenden mehrfach vergewaltigten Opfers veröffentlicht hatten, um die Informationen über den Fall zu veranschaulichen. Hierbei handelte es sich um einen medialen Fall, der in Spanien hohe Wellen geschlagen hatte. Aus diesem Grund stützte Europa Press de Catalunya SA die Veröffentlichung der Tonaufzeichnung auf die Informationsfreiheit.
Allerdings stellt die Stimme eines Menschen unumstritten ein personenbezogenes Datum im Sinne von Art. 4 Nr. 1 DSGVO dar, welches die Identität einer Person eindeutig bestimmen lässt, sodass hier die Informationsfreiheit in Konflikt mit dem Grundrecht auf Datenschutz gerät. Unabhängig von der Rechtsgrundlage der Datenverarbeitung muss jeder Verantwortliche die in Art. 5 enthaltenen Datenschutzgrundsätze stets einhalten. Laut der Datenschutzbehörde liegt hier ein Verstoß gegen das Prinzip der Datenminimierung vor, das besagt, dass die Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen. Bei der Abwägung zwischen der Informationsfreiheit und dem Grundrecht auf Datenschutz stellte die Aufsichtsbehörde fest, dass das Grundrecht auf Datenschutz des Opfers vorliegend überwiegt, da die Tonaufnahmen für den wesentlichen Inhalt der Informationen nicht notwendig waren. Zudem würde die Veröffentlichung der Tonaufzeichnung ein großes Risiko für das Opfer mit sich bringen, da das Opfer damit von Dritten identifiziert werden könnte.
Behörde: Agencia Española de Protección de Datos
Branche: Weitergabe von personenbezogenen Daten
Verstoß: Art. 5 Abs. 1 lit. c DSGVO
Bußgeld: 50.000 Euro
Aus der Entscheidung der spanischen Aufsichtsbehörde ist ersichtlich, dass die Informationsfreiheit nicht schrankenlos gewährleistet wird. Vielmehr muss eine Abwägung mit dem Grundrecht auf Datenschutz im Einzelfall vorgenommen werden. Angesichts der Intensität des Eingriffs in die Grundrechte und Grundfreiheiten des Opfers erscheint das Bußgeld gering. Hinzu kommt, dass das Bußgeld vorliegend auf 30.000 Euro gesenkt wurde, da das Unternehmen seine Schuld zugab und die Zahlung freiwillig leistete. Die Entscheidung der spanischen Datenschutzbehörde zeigt deutlich, dass das Gebot der Datenminimierung eine grundlegende Rolle im Datenschutz spielt.