Ein schwedischer Pharmakonzern nutzte seit 2017 den Meta Pixel zur Anzeigenpersonalisierung und Reichweitenmessung. Der Pixel war auf der Website des Konzerns aktiv. Im Jahr 2020 aktivierte ein Angestellter ohne Wissen und Autorisierung des Verantwortlichen die „Advanced Matching“-Funktion des Pixels, wodurch für den Zweck der Verarbeitung nicht erforderliche gehashte Kundendaten (Vor- und Nachname, Kontaktdaten, Sozialversicherungsdaten, Adressdaten) an Meta übermittelt wurden, sobald der Kunde auf der Website des Verantwortlichen ein Produkt kaufte. Diese Daten verwendete Meta zum Abgleich mit Facebook-Nutzer-IDs – dies in bis zu 930.000 Fällen. Nach zwei Jahren entdeckte der Verantwortliche diesen Umstand, deaktivierte die Funktion des Meta Pixels und meldete den Datenschutzverstoß an die IMY.
Die IMY sah in obigem Vorgang einen Verstoß gegen die Pflicht des Verantwortlichen, aufgrund der potentiell sensiblen Natur der über das Pixel verarbeiteten Daten und dem damit verbundenen hohen Risiko für die Freiheiten und Rechte der Betroffenen angemessene technische und organisatorische Maßnahmen zu implementieren (Art. 32 Abs. 1 DSGVO). Zwar hatte der Verantwortliche u.a. eine Prüfung neuer Dienste etabliert; dieser wurde von dem verantwortlichen Angestellten jedoch nicht befolgt. Auch das Compliance-Monitoring funktionierte nicht, wurde die fehlerhafte Einstellung doch zwei Jahre lang nicht erkannt.
Bedeutung für die Praxis: Die Pflicht zur Implementierung angemessener technischer und organisatorischer Maßnahmen für den Verantwortlichen und Auftragsverarbeiter ist ein von Datenschutzbehörden im Rahmen von Prüfungen gern untersuchtes Thema. Nicht selten werden in diesem Rahmen im ersten Schritt die entsprechenden Dokumentationen angefragt und – sofern bereits hier Mängel erkannt werden – unter Umständen auch Vor-Ort-Prüfungen durchgeführt. Es reicht deshalb nicht, nur Maßnahmen „auf dem Papier“ zu haben. Vielmehr müssen Unternehmen stets darauf bedacht sein, dass sämtliche Stellen bis zum individuellen Angestellten eine ausreichende Schulung erfahren, um das Vorkommen von Vorfällen wie den obigen zu minimieren. Ansonsten rutschen Unternehmen schnell in den Bußgeldbereich – so wie hier geschehen.
(Dr. Lukas Mezger, UNVERZAGT Rechtanwälte)