Die Datenschutzaufsichtsbehörden verhängen monatlich Bußgelder wegen Verstößen gegen die DSGVO. Aus diesen können Unternehmen einen Überblick über aktuelle Prüfungsschwerpunkte und die Sanktionspraxis der Behörden gewinnen. Hier finden Sie daher unsere Top 5 Bußgelder im Juni 2022.
Verwendung von Corona-Daten
Der Besucher eines Bistros in Hessen verließ es, ohne seine Mahlzeit zu bezahlen. Zuvor hatte er sich über das kalte Essen beschwert. Zu diesem Zeitpunkt mussten im Wege der Corona-Kontaktverfolgung noch die Daten der Besuchenden festgehalten werden. Dies machte sich ein Mitarbeitender des Bistros zu Nutze, um den Besucher telefonisch zu kontaktieren. Dies stellt nach Ansicht der hessische Datenschutzbehörde einen Verstoß gegen den Grundsatz der Zweckbindung aufseiten des Gastronomen dar. Bei der Höhe des Bußgeldes wurde nach Aussagen der hessischen Datenschutzaufsicht berücksichtigt, dass die Pandemie negative Auswirkungen auf die wirtschaftliche Lage des Bistros hatte und sich der Inhaber einsichtig und kooperativ zeigte.
Behörde: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Branche: Gastronomie
Verstoß: Art. 5 Abs. 1 lit. b) DSGVO
Bußgeld: 170 Euro
Die Zweckbindung bei der Erbhebung von Daten rund um die gesetzlichen Pflichten im Rahmen der Pandemie war bereits in den entsprechenden Gesetzgebungsverfahren diskutiert und letztlich klargestellt wurden. Die Entscheidung der hessischen Behörde überrascht daher nicht. Vor diesem Hintergrund sei noch einmal daran erinnert, dass inzwischen der überwiegende Teil, der mit Corona im Zusammenhang stehenden Daten gelöscht sein sollte – insbesondere die zweckgebundenen Daten, wie zum Beispiel die Zutrittskontrolle zum Arbeitsplatz mit 3G-Kontrolle, stellte bereits am 19. April 2022 Landesbeauftragte für den Datenschutz Niedersachsen, Frau Thiel, fest. Mit dem Ende der gesetzlichen Verpflichtung entfalle regelmäßig auch die Rechtsgrundlage der Speicherung.
Pflicht des Uploads von Lebensläufen
Ein Äquivalent zur deutschen Arbeitsagentur ist in Norwegen die norwegische Arbeits- und Wohlfahrtsbehörde, die Arbeids- og Velferdsetaten. Um als Arbeitssuchende anerkannt zu werden und Leistungen beziehen zu können, wurden die Betroffenen verpflichtet, ihre Lebensläufe auf einer Plattform der Behörde (arbeidsplassen.nav.no) hochzuladen. Die hochgeladenen Lebensläufe könnten sodann von Arbeitgebenden, die auf der Plattform eingeloggt waren, angesehen werden. Der Anordnung zum Upload der Lebensläufe lag keine gesetzliche Verpflichtung zugrunde. Auch sonst gab es für ein solches Vorgehen keine rechtliche Grundlage – wie die Arbeids- og Velferdsetaten selbst feststellte und den Sachverhalt sodann selbst bei der norwegischen Datenschutzaufsicht anzeigte. Bei der Einschätzung des Sachverhalts kam die Behörde zum gleichen Ergebnis und setzte ein Bußgeld wegen der unrechtmäßigen Verarbeitung sowie wegen eines Verstoßes gegen den Grundsatz der Integrität und Vertraulichkeit fest.
Behörde: Datatilsynet (Norwegen)
Branche: Behörde
Verstoß: Art. 5 Abs. 1 lit. a und f DSGVO und Art. 6 Abs. 1 und 3 DSGVO
Bußgeld: 484.107 Euro
Die Kritik an der DSGVO, dass viele Rechtsfragen aufgrund zu offener Formulierungen, im Einzelfall nur schwierig zu beurteilen sind, ist in Teilen nachvollziehbar. Klarer kann der Wortlaut der DSGVO in diesem Fall aber kaum sein: In Art. 6 Abs. 1 Satz 1 DSGVO ist normiert, „die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist […]“. Die Verarbeitung von Daten bedarf einer Rechtsgrundlage. Dass diese primäre rechtliche Notwendigkeit von einer staatlichen Stelle übersehen, übergangen oder zunächst anders eingeschätzt wird, ist beachtenswert.
Zu lange Speicherung von Daten
Das dänischen Unternehmen Gyldendal betreibt einen Buchclub mit einer großen Anzahl mit Teilnehmenden. Über die Zeit haben sich 685.000 Personen von dem Buchclub angemeldet. Anstatt die Daten der Ausgetretenden zu löschen, hat der Buchclub diese in einer passiven Datenbank aufbewahrt. In mehr als der Hälfte der Fälle wurde die Daten der Betroffenen für mehr als 10 Jahre gespeichert. Ein Prozess zum Löschen von Daten hatte das Unternehmen nicht implementiert. Die Daten der 685.000 Betroffenen wurde im Rahmen des Ermittlungsverfahrens gelöscht und zumindest für diesen Bereich eine neue und angemessene Löschfrist festgesetzt.
Behörde: Datatilsynet (Dänemark)
Branche: Wirtschaftsunternehmen
Verstoß: Art. 5 Abs. 1 lit. e) DSGVO
Bußgeld: 134.432 Euro
Der Fall zeigt, welche Konsequenzen es haben kann, wenn kein prozessuales und gelebtes Löschkonzept implementiert ist. Das Löschkonzept kann ein müheseliges Unterfangen sein, doch die Normierung der Speicherbegrenzung in Art. 5 Abs. 1 lit. e) DSGVO, der die Grundsätze der Verarbeitung personenbezogener Daten normiert, zeigt dessen Bedeutung. Bei der rechtskonformen Erstellung des Löschkonzepts können Datenschutz-Berater:innen einen wesentlichen Beitrag leisten, die Umsetzung und Ausführung des Löschkonzept obliegt jedoch den Unternehmen selbst.
Immer wieder Videoüberwachung
Die Continental Automotive Romania SRL hat auf ihrem Firmengelände in einer westrumänischen Stadt ein offizielles Videoüberwachungssystem montiert. Daneben hat das Unternehmen 135 nicht genehmigte und nicht nach den Unternehmensrichtlinien konfigurierte Überwachungskameras entdeckt. Diese zeichneten außerhalb des offiziellen Videoüberwachungssystems ihre Umgebung auf und waren an nicht offiziell designierte Systeme angeschlossen. Problematisch hier ist vor allem, dass diese entdeckten Kameras überwiegend im Produktionsbereich angesiedelt waren, sodass eine starke Betroffenheit der Mitarbeitenden gegeben war.
Behörde: Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal (Rumänien)
Branche: Automobilfertigung
Verstoß: Art. 24 DSGVO, Art. 32 Abs. 1 lit. d DSGVO
Bußgeld: 2.000 Euro
Im Juni 2022 wurden mindestens 17 Verstöße, die im Zusammenhang mit Videoüberwachung stehen, sanktioniert. Dabei ist keinesfalls nur der öffentliche Raum betroffen. Auch unzulässige Videoüberwachung auf privatem Gelände beschäftigt die europäischen Datenschutzbehörden. Die Masse an Bußgeldern lässt sich auch damit erklären, dass eine Videoüberwachung regelmäßig von Dritten erkennbar ist und die Sensibilität der Bevölkerung diesbezüglich steigt. Hinzu kommt aber auch die Fortentwicklung der Technik, beispielsweise durch das Filmen von Drohnen einzelner (fremder) Personen ohne rechtliche Grundlage.
Nichtbefolgen der behördlichen Anordnung
Was passiert eigentlich, wenn ein Unternehmen einer Anordnung einer Aufsichtsbehörde nicht nachkommt? Genau, es wird ein Bußgeld wegen Nichtbefolgung der behördlichen Anordnung erlassen. So geschehen in durch die spanische Agencia española protección datos, dem ein denkbar kurzer Sachverhalt zugrunde liegt: Nach der Beschwerde eines Betroffenen hatte die spanische Datenschutzbehörde das Unternehmen AD735 Data Media Advertising S.L. verpflichtet, dem Auskunftsersuchen des Beschwerdeführers zu entsprechen bzw. darzulegen, weshalb die erbetene Auskunft nicht erteilt werden kann. Das Unternehmen ist der Anordnung allerdings nicht nachgekommen.
Behörde: Agencia española protección datos (Spanien)
Branche: Werbebranche
Verstoß: Art. 83 Abs. 6 DSGVO
Bußgeld: 15.000 Euro
Rechtliche Grundlage der Verhängung des Bußgeldes ist Art. 86 Abs. 6 DSGVO. Diese besagt, dass bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Art. 58 Absatz 2 DSGVO Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist. Die Absätze 4 – 6 des Art. 83 DSGVO nennen einen umfangreichen Katalog an Tatbeständen, die bei Verstößen mit hohen Sanktionen bewährt sind. Die Höhe der Geldbußen richtet sich nach dem verwirklichten Unrechtsgehalt der Verstöße. Zur Bestimmung der Höhe des Bußgeldes werden die Kriterien des Art. 83 Abs. 2 DSGVO herangezogen. Interessant an diesem Bußgeld ist, dass eine Verhängung auf Grundlage des Art. 83 Abs. 6 DSGVO nicht allzu häufig vorkommt.
Gefällt Ihnen der Beitrag?
Dann unterstützen Sie uns doch mit einer Empfehlung per:
TWITTER FACEBOOK E-MAIL XING
Oder schreiben Sie uns Ihre Meinung zum Beitrag:
HIER KOMMENTIEREN
© www.intersoft-consulting.de