DSGVO: ein Streifzug durch europäische Bußgeldverfahren
27.12.2021
[IITR – 27.12.21] Die europäische Datenschutzgrundverordnung feierte dieses Jahr ihr 5-jähriges Bestehen und zelebrierte dies unter anderem mit dem Erlass neuer Standardvertragsklauseln. Aber auch in der Durchsetzung der datenschutzrechtlichen Vorgaben haben die Aufsichtsbehörden der europäischen Mitgliedstaaten an Fahrt aufgenommen und verschiedene Unternehmen verschiedenster Branchen auf den Prüfstand genommen – resultierend oftmals in einem Bußgeld.
Wir wollen den Jahresausklang nutzen, um einen Blick auf das ein oder andere interessante Bußgeldverfahren aus diesem Jahr zu werfen – das vielleicht so manchem Unternehmen als mahnendes Beispiel dienen kann, wenn es alsbald wieder um gute Vorsätze für das kommende Jahr 2022 geht.
Österreich: Auskunft muss auch via E-Mail möglich sein
Im Jahr eins nach der sagenumwobenen Schrems-II-Entscheidung beginnen wir mit einer Entscheidung aus dem Heimatland des Datenschützers, der von facebook in Irland – laut eigener Aussage – „the devil“ genannt wird:
„In einem weiteren Verfahren zum Thema Datenbeauskunftung verfügte die Österreichische Datenschutzbehörde per 28. September 2021 eine Strafe in Höhe von 9,5 Mio EUR. Der Vorwurf der Behörde besteht im Wesentlichen darin, dass zusätzlich zu den von der Österreichischen Post eingesetzten Kontaktmöglichkeiten per Post, Web-Kontaktformular und Kundenservice datenschutzrechtliche Anfragen auch per E-Mail zuzulassen sind. Die Österreichische Post wird auch gegen diese Entscheidung Rechtsmittel ergreifen“ (so die Österreichische Post in einer Pressemitteilung).
Das Bußgeld fußt hier auf einem Verstoß gegen die Artt. 12 und 15 DSGVO in der Form, dass es für die Wahrnehmung seiner Rechte aus diesen Vorschriften aus Sicht der Aufsichtsbehörden unerlässlich sei, seine Betroffenenrechte auch elektronisch – via E-Mail – wahrnehmen zu können. Wie aus der Pressemitteilung ersichtlich wird, hat die Österreichische Post aber bereits Rechtsmittel dagegen eingelegt, so dass eine endgültige Entscheidung erst gerichtlich getroffen werden wird.
Italien: Mangelhafter Schutz der Daten von Autofahrern
In der Weihnachtszeit richtet sich vielerorts der Blick nach Rom und so stellen wir eine Entscheidung mit Bezug auf die italienische Hauptstadt vor:
„Il Garante per la protezione dei dati personali ha sanzionato per una somma complessiva di oltre 1 milione di euro Roma Capitale, la società di servizi Atac Spa e un subfornitore, per non aver tutelato i dati degli automobilisti che parcheggiano nel territorio del Comune“ (so die italienische Aufsichtsbehörde).
(frei übersetzt: „Die Aufsichtsbehörde hat gegenüber der Stadtverwaltung von Rom, dem Unternehmen Atac S.p.a. und einem Drittdienstleister ein Bußgeld in einer Gesamthöhe über 1 Million Euro erlassen, weil diese die Daten der im Gemeindebereich parkenden Autofahrer nicht ausreichend geschützt hatten.“)
Infolge eines Software-Updates, mithilfe dessen neue Funktionen hinzugefügt wurden, sind bei einer Überprüfung durch die Aufsichtsbehörde „verschiedene Unregelmäßigkeiten“ aufgetreten. Über die neuen Datenverarbeitungen wurde seitens des Verantwortlichen – der Stadt Rom – überhaupt nicht informiert. Außerdem hatte man nicht einmal sein Verarbeitungsverzeichnis diesbezüglich auf den neuesten Stand gebracht. Die Dauer der Speicherung oder technisch organisatorische Maßnahmen hatte man im Übrigen gar nicht erst festgelegt.
Schweden: Videoüberwachung der Mitarbeiter
Wie die schwedische Aufsichtsbehörde mitteilte, wurden in verschiedenen Feuerwehrstationen die dortigen Feuerwehrmänner rund um die Uhr mittels Video überwacht. Dies ging sogar soweit, dass auch Kameras in den Umkleideräumen angebracht waren und durchgängig ungefiltert filmten.
Ein derartig ausufernder Nutzen sei nicht erforderlich – so die Aufsicht – man könne dies zumindest auf die Zeit eines Alarms begrenzen. Dafür könne man auch genügend Gründe vorlegen, jedoch verstoße die ursprüngliche Videoüberwachung klar den Grundsätzen der Rechtmäßigkeit und der Datenminimierung (Art. 5 Abs. 1 lit. a und c DSGVO).
Die Aufsichtsbehörde sah sich somit gezwungen, ein Bußgeld in Höhe von 350.000 SEK (rund 35.000 Euro) zu erlassen.
Spanien: Gesichtserkennung im Supermarkt
In Spanien trieb es eine Supermarktkette noch ein Stückchen weiter und setzte eine dauerhafte Videoüberwachung mit Gesichtserkennung ein. Das gesetzte Ziel sei Aufklärung gewesen, nämlich um etwaige verurteilte Personen ausfindig zu machen. Dass dabei Beschäftigte und Kunden (ob minderjährig oder volljährig) ebenfalls gescannt wurden, nahm man in Kauf. Aber nicht nur das: Man erachtete es auch weder für notwendig, über die Datenverarbeitung im Sinne des Art. 13 DSGVO aufzuklären, noch angesichts des Ausmaßes und Umfangs an verarbeiteten Daten eine Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO durchzuführen.
Die spanische Aufsichtsbehörde konnte letztlich nicht anders – hier zum Nachlesen –, als dem Unternehmen ein umfangreiches Bußgeld in Höhe von 2,5 Millionen Euro aufzuerlegen.
Frankreich: Unzulässiger Einsatz von Werbecookies
Während in Deutschland das Thema Cookies – auch mit In-Kraft-Treten des TTDSG zum 1.12.2021 – zu einer Art „Never ending story“ wird, hat man sich selbstverständlich auch bei unseren Nachbarn die ein oder andere Webseite diesbezüglich genauer angesehen.
Die französische Aufsichtsbehörde CNIL hat gegenüber dem Nachrichtendienst Figaro ein Bußgeld von 50.000 Euro verhängt, weil dieser sich – laut Pressemitteilung aus Juli 2021 – nicht an die Rahmenbedingen für den Einsatz von Cookies hielten:
„Having received a complaint, the CNIL carried out several checks between 2020 and 2021 on the lefigaro.fr news website. These checks revealed that when a user visited this website, cookies were being automatically placed on their computer by partners of the company, without them performing any action or in spite of their refusal. Several of these were advertising cookies and should have required the user’s consent.“
Die CNIL teilt darüberhinaus mit, dass zwar gewisse Vorkehrungen zum Cookie-Management wie Consentbanner getroffen worden seien, aber bestimmte Cookies bereits auf dem Endgerät des Seitennutzers gespeichert wurden, noch bevor dieser dem Setzen von Cookies zustimmen konnte.
Luxemburg: Mangelhafte Einbindung des internen Datenschutzbeauftragten
Sinn und Zweck eines Datenschutzbeauftragten – ob intern oder extern – ist die Unterstützung eines Unternehmens in datenschutzrechtlichen Fragen. Im Zuge dessen ist es unerlässlich, dass dieser in die notwendigen Unternehmensprozesse eingebunden wird.
Dass auch hier Fehler passieren können, die die Aufsichtsbehörde auf den Plan eines Bußgeldverfahrens rufen, zeigt ein Fall aus Luxemburg.
Dem nicht näher bezeichnete Unternehmen wurde aufgrund mangelhafter Einbeziehung des internen Datenschutzbeauftragen in die unternehmenseigenen Prozesse und Abläufe und zusätzlich einer mangelhaften Qualifikation desselben ein Bußgeld von 15.000 Euro auferlegt.
Norwegen: Datentransfers nach China
Nach Veröffentlichung durch die norwegische Aufsichtsbehörde, kam es seitens eines norwegischen Mautunternehmens bei der Auswertung der Kennzeichen bzgl. der erfüllten Mautpflicht zu folgenden Unstimmigkeiten.
Wie die Aufsicht mitteilte, wurden in großer Stückzahl Autokennzeichen an einen Drittdienstleister zur Analyse geschickt, die über Mitarbeiter in China verfügten, was zu einem Drittlandtransfer führte. Da seitens des verantwortlichen norwegischen Unternehmens keinerlei Vorkehrungen diesbezüglich getroffen worden waren – seien es Standardvertragsklauseln oder gar ein Transfer Impact Assessment – sah man sich gezwungen, ein Bußgeld in Höhe von 5.000.000 NOK (circa 500.000 Euro) zu erlassen.
Vereinigtes Königreich: Unzulässige Werbeanrufe
Ein Klassiker unter den Bußgeldverfahren: sogenanntes „cold calling“ („Kaltakquise“). Dass dies nicht mehr im Gegensatz zu früher möglich ist, sollte sich mittlerweile bei den meisten Unternehmen herumgesprochen haben.
Dieser Fall aus dem Vereinigten Königreich zeigt jedoch, dass speziell dieses Thema immer wieder auf der Agenda der Aufsichtsbehörden steht. Für 107.003 solch unrechtmäßiger Anrufe wurde dem britischen Unternehmen ein Bußgeld von 140.000 GBP (ca. 165.000 Euro) verhängt.
Deutschland: Verstoß gegen die Rechenschaftspflicht
Mit Einführung der Datenschutzgrundverordnung reicht es nicht mehr aus, nur datenschutzkonform zu handeln, man muss dies nun auch in dokumentierter Form nachweisen können (Art. 5 Abs. 2 DSGVO).
Eben dies wurde Anfang des Jahres einem süddeutschen Fußballverein zum Verhängnis. Die Aufsichtsbehörde von Baden-Württemberg hat erklärt, dem VfB Stuttgart wegen fahrlässiger Verletzung der Rechenschaftspflicht ein Bußgeld in Höhe von 300.000 Euro erteilt zu haben.
„Mit dem Erlass dieses Bußgeldbescheides schließen wir ein Verfahren ab, das auch für uns als Aufsichtsbehörde ungewöhnlich war. Ungewöhnlich war nicht nur der Gegenstand unseres Verfahrens, sondern vor allem das hiermit verbundene öffentliche und mediale Interesse. Ungewöhnlich war auch der Umfang des durch die Einschaltung der Esecon belegten Aufklärungsinteresses und der Kooperationsbereitschaft des VfB mit unserer Behörde“ (so der LfDI Dr. Stefan Brink).
Ausblick auf 2022
Nach gut 5 Jahren „leben mit der Datenschutzgrundverordnung“ erwarten die verschiedenen europäischen Aufsichtsbehörden, dass die Unternehmen gelernt haben, sich den datenschutzrechtlichen Anforderungen zu stellen. Wer dies nicht tut, riskiert ein Bußgeld.
Dabei zeigen die verschiedenen Fälle, wofür Bußgelder erhoben werden. Es sind grob gesagt die Grundlagen, das „kleine Einmaleins“ des Datenschutzes (hier können Sie sich informieren, wie wir Ihr Unternehmen hierbei unterstützen können).
Informationspflichten, Verarbeitungsverzeichnisse, Videoüberwachung, Datenschutz-Folgenabschätzung, Cookie-Management, Datentransfers, Werbung, Dokumentation.
Wer diese Grundsätze beachtet, minimiert das Risiko eines Bußgeldes enorm. Hilfreich kann auch immer eine offene Zusammenarbeit mit der Aufsicht sein, sollte es einmal zu einem Verfahren kommen. Dass man dennoch nicht immer alles perfekt umzusetzen vermag wissen auch die Aufsichtsbehörden, die entsprechend mit Augenmaß agieren. Wichtig ist aber dass das Unternehmen nachweisen kann, die zentralen Datenschutz-Themen im Vorfeld adressiert zu haben.