Zum Inhalt springen Zur Navigation springen
Top 5 DSGVO-Bußgelder im September 2024

Top 5 DSGVO-Bußgelder im September 2024

Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im September 2024.

Frei zugängliche Ordner in Teams

Die norwegische Universität Agder hatte seit August 2018 Dokumente mit personenbezogenen Daten in Microsoft Teams in offen zugänglichen Ordnern gespeichert. So hatten auch Mitarbeiter ohne dienstliche Notwendigkeit Zugriff auf die Daten. Betroffen sind Daten von rund 16.000 Mitarbeitern, Studierenden und externen Personen. In den Ordnern befanden sich Dokumente mit Informationen wie Namen, nationale Identitätsnummern, Informationen über abgelegte Prüfungen, die Anzahl der Prüfungsversuche und etwaige Sonderregelungen. Darüber hinaus bestand Zugriff auf eine Übersicht von Kontaktdaten, Ausbildungs- und Niederlassungsstatus ukrainischer Flüchtlinge, die der Universität angehören.

Behörde: Datatilsynet
Branche: Universität
Verstoß: Art. 24 DSGVO, Art. 32 DSGVO
Bußgeld: 12.565 Euro

Der Fall zeigt, dass der Verantwortliche für die Daten, hier die Universität, dafür Sorge zu tragen hat, dass geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz der Daten getroffen werden. Auch wenn bei der Auswahl der TOM ein gewisser Spielraum besteht, da der Begriff „geeignete Maßnahmen“ als unbestimmter Rechtsbegriff nicht genau vorgibt, wie die Vorkehrungen im Einzelnen auszusehen haben, ist dennoch klar, dass hier mindestens im Rahmen eines Berechtigungskonzepts ein beschränkter Zugriff auf die Daten hätte sichergestellt werden müssen.

Nutzung nicht anonymisierter Gesundheitsdaten

Die französische Datenschutzbehörde CNIL verhängte gegen ein Unternehmen, welches Verwaltungssoftware für niedergelassene Ärzte entwickelt, eine Geldstrafe in Höhe von 800.000 Euro wegen zweier datenschutzrechtlicher Verstöße.

Zum einen hatte das Unternehmen nicht anonymisierte Gesundheitsdaten, die im Rahmen der Nutzung seiner Softwareprogramme erhoben wurden, ohne Genehmigung für Studien und Statistiken genutzt. Verarbeitet werden u.a. Patientendaten wie Geburtsjahr, Geschlecht, Allergien, Krankengeschichte, Größe, Gewicht, Diagnose, ärztliche Verschreibungen, Arbeitsunterbrechungen und Analyseergebnisse.
In Frankreich sieht das „Gesetz über Informatik und Freiheiten“ vor, dass die Verarbeitung personenbezogener Daten im Gesundheitsbereich nur nach Genehmigung durch die CNIL oder unter der Bedingung erfolgen darf, dass sie einem genannten Referenzsystem entspricht.

Darüber hinaus lädt die Software Daten aus dem von der Krankenversicherung eingerichteten Teledienst „HRi“ automatisch in die Patientenakte der Software, wenn ein Arzt eine Abfrage durchführt. Das Problem liegt hier in dem Automatismus der Übermittlung, der Daten auch ohne, dass der Arzt es für notwendig erachtet, in der Patientenakte ablegt.

Behörde: Commission Nationale de l’Informatique et des Libertés (CNIL)
Branche: Gesundheitswesen
Verstoß: Art. 5 Abs. 1 lit. a DSGVO
Bußgeld: 800.000 Euro

Auch wenn im Fall der nicht anonymisierten Datenverarbeitung ein Verstoß gegen ein für Frankreich national geltendes Gesetz vorliegt, zeigt er, wie wichtig die Unterscheidung von anonymisierten und pseudonymisierten Daten ist. Nur für anonymisierte Daten ist eine Re-Identifizierung der betroffenen Personen technisch nicht mehr möglich, sodass diese keine personenbezogene Daten mehr darstellen.

Da die Daten im zweiten Fall bei der Abfrage des Teledienstes automatisch in die elektronische Patientenakte hochgeladen werden, ist es dem Unternehmen möglich diese für sich zu nutzen, auch wenn der Arzt diese Daten im Ergebnis gar nicht für erhebungswürdig und für die Patientenakte als notwendig erachtet. Darin sah die CNIL einen Verstoß gegen das in Artikel 5 Abs. 1 lit. a DSGVO verankerte Gebot, Daten nur auf rechtmäßige Weise zu verarbeiten. Eine rechtmäßige Verarbeitung der Daten würde hier nur dann vorliegen, wenn die Möglichkeit gegeben wäre, dass die Daten nur durch Entscheidung des Arztes in die Patientenakte gelangen würden.

Offenlegung personenbezogener Daten durch Staatsanwaltschaft

Während einer Pressekonferenz der Staatsanwaltschaft in Polen wurden personenbezogene Daten einer Geschädigten im Strafprozess ohne Vorliegen einer Rechtsgrundlage offengelegt. Die Sprecher gaben den Namen und Informationen darüber preis, dass die Person Opfer eines Übergriffs geworden war. Auch Informationen über ihren Gesundheitszustand, nach den erlittenen Verletzungen wurde bekannt gegeben.

Behörde: Urząd Ochrony Danych Osobowych (UODO)
Branche: Verwaltung
Verstoß: Art. 5 lit. a DSGVO, Art. 6 Abs. 1 DSGVO, Art. 9 DSGVO
Bußgeld: 19.883 Euro

Für die Offenlegung personenbezogener Daten bedarf auch die Staatsanwaltschaft einer ensprechenden Rechtsgrundlage. Da weder eine Einwilligung der betroffenen Person noch eine andere gesetzliche Grundlage gemäß Art. 6 Abs. 1 oder Art. 9 Abs. 1 DSGVO der nationale spezialgesetzlicher Normen einschlägig waren, sah die polnische Datenschutzbehörde hier ein Handeln ohne Rechtsgrund und damit auch einen Verstoßes gegen Art. 5 Abs. 1 lit. a DSGVO.

Falsche Präsentation der Datenschutzerklärung

In Spanien wurde gegen ein Unternehmen ein Bußgeld wegen nicht vorhandener Datenschutzerklärung verhängt. Zwar gab es auf der Seite des Betreibers eine Datenschutzerklärung, diese war aber nicht direkt über die Hauptseite der Webseite, sondern nur über das Dropdown-Menü erreichbar. Zudem gab es eine weitere Datenschutzerklärung, welche im Anmeldeformular verlinkt war. Diese führte allerdings zu einer Datenschutzerklärung auf einer anderen Webseite, die nicht zur eigentlichen Webseite des Betreibers gehörte. Dies verursachte Verwirrung bei den Nutzern.

Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Unternehmen
Verstoß: Art. 13 DSGVO
Bußgeld: 10.000 Euro

In Artikel 12 DSGVO heißt es unter anderem, dass der Verantwortliche die Informationspflichten des Art. 13 DSGVO in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln hat. „Leicht zugänglich“ bedeutet in diesem Kontext, dass die betroffenen Personen nicht nach den Informationen suchen müssen, sondern dass diese sofort erkennbar und direkt zugänglich sind. Insbesondere dort, wo personenbezogene Daten erhoben werden – wie hier bspw. in einem Anmeldeformular – ist die Datenschutzerklärung noch einmal direkt zu verlinken, um den Nutzer in die Lage zu versetzen, fundierte Entscheidungen über die Verwendung seiner personenbezogenen Daten zu treffen. In Fällen, in denen die Datenschutzerklärung erst auf zweiter oder tieferer Menüebene quasi versteckt wird oder wenn auf eine falsche Datenschutzerklärung verlinkt wird, kann dies dazu führen, dass Datenschutzbehörden sie als gar nicht vorhanden ansehen.

Veröffentlichung von Vorher-Nachher-Fotos ohne Einwilligung

Eine spanische Schönheitsklinik hatte mit Vorher-Nachher-Fotos in sozialen Netzwerken geworben, ohne zuvor die entsprechende Zustimmung der Patientin einzuholen. Die Fotos wurden von dem behandelnden Arzt aufgenommen, der die Betroffene operiert hatte. Die Operation selbst hatte zwar nicht in den Räumen der beklagten Klinik stattgefunden – der Chirurg hatte die Räumlichkeiten aber zur Vor- und Nachsorge der Patienten genutzt. Da die Klinik die Patientendaten verwaltete und die Fotos veröffentlichte, um für die Dienstleistungen des Chirurgen zu werben, wurde sie als Verantwortliche belangt.

Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Gesundheitswesen
Verstoß: Art. 6 DSGVO, Art. 9 DSGVO
Bußgeld: 10.000 Euro

Auch bei Fotografien handelt es sich unter bestimmten Umständen um personenbezogene Daten. Unstreitig waren die Bilder in diesem Fall als personenbezogene Daten zu bewerten. Zu unterscheiden war hier insbesondere die Verwendung der Fotos zu unterschiedlichen Zwecken. Einerseits die Verwendung der Fotos zu Dokumentationszwecken und andererseits die Nutzung der Bilder zu Werbezwecken. Während die Patientin in das Erstellen der Fotos zu Dokumentationszwecken eine Einwilligung erteilt hatte, war dies gerade nicht gleichzeitig auch eine Zustimmung dazu, diese Bilder auch in den sozialen Medien als Marketingmaßnahme zu veröffentlichen. Daher handelte die Klinik hinsichtlich der Verbreitung der Bilder in den sozialen Medien ohne Rechtsgrund.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 31.12.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.