Wo liegen aktuell die Prüfungsschwerpunkte der Behörden? Worauf sollte man achten, wenn man Bußgelder vermeinden möchte? Aus den Entscheidungen der Datenschutzbehörden und aktuell verhängten Bußgeldstrafen lässt sich Vieles lernen!
Auch in unserem aktuellen Newsletter berichten wir wieder über einzelne, interessante Fälle der Sommermonate.
Höchstes jemals verhängtes Bußgeld seit Inkrafttreten der DSGVO
Unternehmen: Amazon Europe Core S.à.r.l
Möglicher Datenschutzverstoß: Verfahren initiiert von der französischen Bürgerrechtsorganisation „Le Quadrature du Net“ zum Thema Werbe-Targeting – Personalisierte Werbung und Weitergabe von Daten an Dritte.
Die Behörde: CNPD (Luxemburgische Datenschutzbehörde)
Bußgeldhöhe: 746.000.000 Euro
Zweithöchstes Bußgeld in der Geschichte der DSGVO
Unternehmen: WhatsApp
Möglicher Datenschutzverstoß: Bei dem Verfahren ging es um Verstöße gegen die Transparenzvorgaben aus Art. 12 – 14 DSGVO. Bemängelt wurde, dass die Daten innerhalb der Facebook-Gruppe weitergeleitet würden, ohne dass dies für den Nutzer transparent sei.
Die Behörde: DPC (Irische Datenschutzaufsichtsbehörde) und EDSA
Bußgeldhöhe: 225.000.000 Euro
Weitere ausgewählte Beispiele der vergangenen zwei Monate
Unternehmen: Unternehmensgruppe AG2R LA MONDIALE (Versicherungsbranche) insb. Konzerngesellschaft SGAM AG2R LA MONDIALE
Datenschutzverstoß: Verstoß gegen Speicherbegrenzung bei mehr als 2 Mio. Kunden- und Interessentendaten inkl. Gesundheitsdaten. Zusätzlich wurden Werbeanrufe nicht ordnungsgemäß durchgeführt. Weder wurden die Betroffenen hinreichend nach Art. 13 DSGVO über die Datenverarbeitung informiert, noch wurden sie auf ihr Widerspruchsrecht hingewiesen (Art. 5 Abs. 1 lit. e DSGVO, Art. 13 DSGVO, Art. 14 DSGVO).
Die Behörde: CNIL (Französiche Datenschutzbehörde)
Bußgeld: 1.750.000 Euro
Unternehmen: Supermarktkette MERCADONA, S.A. in Spanien
Datenschutzverstoß: Ein in 40 Supermärkten installiertes Gesichtserkennungsystem wurde u.a. dazu verwendet, verurteilte Personen aufzuspüren. Da alle Personen beim Betreten der Filialen gescannt wurden, fielen darunter u.a. auch Minderjährige. Dies bedeutet einen Verstoß gegen den Grundsatz der Datenminimierung, eine Verletzung der Informationspflicht nach Art. 13 DSGVO, bei zugleich fehlender Datenschutzfolgeabschätzung (Art. 5 Abs. 1 lit. c DSGVO, Art. 6 DSGVO, Art. 9 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 25 Abs. 1 DSGVO, Art. 35 DSGVO).
Die Behörde: AEPD (Spanische Datenschutzbehörde)
Bußgeld: 2.520.000 Euro
Unbekanntes Unternehmen
Datenschutzverstoß: Mangelnde Einbindung und Unabhängigkeit des Datenschutzbeauftragten, weshalb dieser nicht ordnungsgemäß und unabhängig beraten konnte. So u.a.: Fehlende Einbindung in die relevanten Prozesse der Verarbeitung personenbezogener Daten, fehlender standartisierter Kontrollplan zur Einhaltung der DSGVO und fehlende Kommunikation zur höchsten Managementebene. Zudem konnte der Datenschutzbeauftragte keine ausreichenden datenschutzrechtlichen Kenntnisse vorweisen, die mit einem ausreichenden Training hätten vertieft werden können (Art. 38 Abs. 1 und 3 DSGVO, Art. 39 Abs. 1 lit. a und b DSGVO).
Die Behörde: CNPD (Luxemburgische Datenschutzbehörde)
Bußgeld: 15.000 Euro
Unternehmen: BANCO BILBAO VIZCAYA ARGENTARIA, S.A.,
Datenschutzverstoß: Bei einer automatisierten Telefonauskunft der Bank war es ausreichend, die Ausweisnummer eines Kunden zu nennen, um auf dessen Kontotransaktionen zugreifen zu können. Die Behörde bemängelte die Verletzung der Pflicht ausreichende TOM (technische und organisatorische Maßnahmen) zum Schutz der Daten zu implementieren (Art. 32 DSGVO).
Die Behörde: Agencia Española Protección Datos (AEPD)
Bußgeld: 120.000 EUR
Unternehmen: Yes Consumer Solutions Ltd (YCSL) Telekommunikationsunternehmen Datenschutzverstoß: ca. 200.000 unerlaubte Werbeanrufe trotz Widerspruchs. Ironischerweise sollte mit den Anrufen ein von YCSL vertriebener Anrufschutz beworben werden, welcher gerade das Blocken unerwünschter Anrufe ermöglichen sollte.
Darüber hinaus waren alle Telefonnummern im britischen TPS-Register vermerkt. Der Eintrag in dieses Register dient dem Schutz vor unerwünschten Anrufen (Art. 55A DPA, Art. 21 PECR).
Die Behörde: Information Commissioner’s Office (ICO)
Bußgeld: 199.812 EUR (170.000 GBP)
Unternehmen: Vodafone España, S.A.U.
Datenschutzverstoß: Verstoß gegen die Pflicht zur Datenlöschung. Das Recht auf Löschung nach Art. 17 DSGVO ist eines der wesentlichen Themen im Datenschutz. Hier müssen Unternehmen innerhalb der geforderten Fristen auf die Betroffenenanfrage reagieren. Hierfür erforderlich sind gute Löschkonzepte (Art. 6 Abs. 1 DSGVO, Art. 17 Abs. 1 DSGVO).
Die Behörde: Agencia Española Protección Datos (AEPD)
Bußgeld: 96.000 EUR
Unternehmen: Betreibergesellschaft des Aeroporto Guglielmo Marconi di Bologna S.p.a.
Datenschutzverstoß: Einsatz einer Whistleblowing-Anwendung ohne ausreichende technische und organisatorische Maßnahmen (weder ein sicheres Netzwerkprotokoll, noch eine Verschlüsselung der Daten des Meldenden, der gemeldeten Informationen oder der beigefügten Unterlagen war vorgesehen). Auch der Hersteller der Whistleblowing-Software, die aiComply S.r.l., wurde mit einem Bußgeld belegt. Hier fehlte u.a. der notwendige Abschluss von Auftragverarbeitungsvereinbarungen (Art. 5 Abs. 1 lit. f DSGVO, Art. 25 DSGVO, Art. 28 DSGVO, Art. 32 DSGVO, Art. 35 DSGVO).
Die Behörde: Garante per la protezione dei dati personali (GPDP)
Bußgeld: 60.000 EUR
Ihr Kontakt zu ePrivacy:
https://t5baa4d95.emailsys1a.net/c/107/4167157/4221/0/11200275/485/263369/724ef332d2.html