DSGVO Datenschutzverletzung
Die Liste der aktuellen Datenschutzverletzungen nach DSGVO in Deutschland und Europa wird immer länger.
Täglich sind in den Medien neue Horrormeldungen über Datenschutzverstöße zu lesen. Ebenfalls nehmen die Sanktionen der zuständigen Datenschutzbehörden sowohl in der Zahl als auch in der Höhe der Bußgelder für Datenschutzverletzungen, laufend zu.
Eines der bisher teuersten Probleme im Umgang mit personenbezogenen Daten, in Bezug auf Verletzungen des Datenschutzes in Deutschland, betrifft den Telekommunikationsdienstleister 1&1 Telecom GmbH. So betrug das Bußgeld, welches vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) im Dezember 2019 verhängt wurde, runde 9.5 Millionen Euro.
Dem Unternehmen wurde vorgeworfen keine hinreichenden TOMs (technische und organisatorischen Maßnahmen) zum Datenschutz etabliert zu haben, um personenbezogene Daten von Kunden (von „Betroffenen“ im Sinne der DSGVO) zu schützen. Was war passiert? Anrufer hätten bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden „weitreichende Informationen zu weiteren personenbezogenen Kundendaten“ erhalten können, wurde vom Bundesbeauftragten kommuniziert.
Obwohl die betroffene Firma umgehend einen verbesserten Authentifizierungsprozess eingeführt hat, blieb es bei der Entscheidung das Bußgeld auszusprechen, da die Verletzung des Datenschutzes ein „Risiko für den gesamten Kundenbestand“ dargestellt habe. Somit bestand nach Meinung des Bundesdatenschutzbeauftragten ein klarer Verstoß gegen Artikel 32 DSGVO, der das Unternehmen verpflichtet geeignete TOMs zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen und eine Kenntnisnahme der Daten durch unbefugte Dritte und somit eine Datenschutzverletzung zu verhindern.
In diesem Zusammenhang können wir aus Sicht des Datenschutzes allen Unternehmen nur empfehlen geeignete Authentifizierungsverfahren zu etablieren und regelmäßig die vorhandenen TOMs zu überprüfen und gegebenenfalls zu verbessern, um eine Datenschutzverletzung nach DSGVO zu vermeiden.
Rekordbußgelder bei Datenschutzverstößen
Wenig Wochen zuvor war das bisher höchste Bußgeld in Bezug auf Datenschutzverletzung überhaupt in Deutschland von der Berliner Datenschutzbehörde verhängt worden. Betroffen war Ende Oktober 2019 die Immobiliengesellschaft Deutsche Wohnen SE.
Das Rekordbußgeld betrug 14.5 Millionen Euro wegen unrechtmäßiger Datenspeicherung und unzureichendem Datenschutz. Offensichtlich hat das Unternehmen für die Speicherung personenbezogener Daten von Mietern („Betroffenen“) ein Archivsystem verwendet mit dem nicht mehr erforderliche Daten, wie z.B. Gehaltsbescheinigungen nach Ablauf der Aufbewahrungspflichten nicht gesetzeskonform gelöscht wurden. Das Bußgeld wurde von der Behörde mit Verstößen gegen Art. 25 Abs. 1 DSGVO sowie Art. 5 DSGVO begründet. Allerdings ist die Bußgeldentscheidung noch nicht rechtskräftig und das Unternehmen hat angekündigt gegen den Bußgeldbescheid der Datenschutzverletzung vorzugehen
In diesem Zusammenhang können wir aus Datenschutzsicht nur empfehlen die vorhandenen Löschkonzepte für personenbezogene Daten zu überprüfen, um Sanktionen zu vermeiden. Alle Unternehmen, die sich mit diesem Thema noch nicht auseinandergesetzt haben, sollten sich dringend damit befassen, wie derartige Daten zuverlässig und effektiv gelöscht werden können, um einem Fall der Datenschutzverletzung gegen DSGVO vorzubeugen.
Ein weniger spektakulärer Fall einer Verletzung des Datenschutzes mit einem Bußgeld in Höhe von „nur“ 10.000 € wurde gegen den Telekommunikationsanbieter Rapidata GmbH verhängt. Das Unternehmen verstieß gegen Artikel 37 DSGVO und hat trotz mehrmaliger Aufforderung keinen betrieblichen Datenschutzbeauftragten bei der zuständigen Aufsichtsbehörde gemeldet.
Wir können aus Sicht des Datenschutzes allen Unternehmen nur empfehlen die Bestellpflicht für den Datenschutzbeauftragten ernst zu nehmen.
Wie werden Datenschutzverletzungen in Europa behandelt?
Auch in den anderen europäischen Ländern sind Datenschutzverletzungen an der Tagesordnung.
Die schwedische Behörde hat im vergangenen Monat gegen die Webseite Mrkoll.se ein Bußgeld von 35.000 Euro verhängt wegen Verletzung des Datenschutzes nach dem Schwedischen „Credit Information Act“ und der DSGVO.
In Polen hat der Vorsitzende der Datenschutzbehörde ein Bußgeld über PLN 201.000 an die Firma ClickQuickNow Sp. z o.o. verfügt. Der Firma wurde ebenfalls vorgeworfen keine geeigneten TOMs zum Schutz der verarbeiteten personenbezogenen Daten anzuwenden. Insbesondere ging es um den Art. 17 DSGVO, das Recht auf Löschung, oftmals auch bezeichnet als „Recht auf Vergessenwerden“.
Die österreichische Aufsichtsbehörde für den Datenschutz erliess eine Verwaltungsstrafe von 18.000.000 Euro gegen die Österreichische Post AG (ÖPAG) auf Grund von Datenschutzverletzung gegen das DSGVO. Dem Unternehmen wurden Verstöße gegen die DSGVO vorgeworfen wegen dem Anlegen und der Vermarktung von individuellen Datenprofilen von mehr als 2 Millionen Menschen. Deren Daten wie Namen, Alter, Geschlecht, Familienstand, Adressen und politische Haltung wurden gespeichert, um gezielte Wahlwerbung verschicken zu können. Darüber hinaus sah die österreichische Datenschutzbehörde noch weitere Verstöße bei der Sammlung von Daten zur Frequenz von Paketlieferungen und Angaben über die Umzugshäufigkeit von Personen, die für Direktmarketing genutzt wurden. Offenbar sieht die Post ein wichtiges Geschäftsfeld in Gefahr und will daher den Fall an das Bundesverwaltungsgericht eskalieren.
In Rumänien wurden über Bußgelder von insgesamt 170.000 € berichtet wegen der unzulässigen Nutzung von WhatsApp durch zwei Banken und der damit einher gegangenen Datenschutzverletzung. Betroffen waren die Raiffeisen Bank S.A. mit 150.000 € und die Vreau Credit S.R.L. mit 20.000 €. Zum einen ging es um den gemäss DSGVO unzulässigen Datenaustausch über WhatsApp und wiederum um mangelhafte TOMs bei der Raiffeisen Bank S.A. zur Gewährleistung eines angemessenen Sicherheitsniveaus und zur Sicherung des Datenschutzes für die Verarbeitung personenbezogener Daten. Das Bußgeld wurde als Resultat einer eingehenden Untersuchung der Behörde gesprochen, nachdem die Raiffeisen Bank S.A. eine Datenschutzverletzung gemeldet hat.
Das Thema Datenschutz wird zunehmend wichtiger. Die Liste der Verstöße gegen Datenschutz von Unternehmen lässt sich noch weiter verlängern und es ist zu erwarten, dass sowohl in Deutschland als auch den anderen EU-Ländern derartige Meldungen von Datenschutzverletzung und verhängten Sanktionen immer häufiger werden.
Wir empfehlen aus Sicht des Datenschutzes allen Unternehmen mit Geschäftsbeziehungen in andere EU-Länder Anforderungen der Datenschutz-Grundverordnung (DSGVO) konsequent umzusetzen. Sollten ausländische Datenschutzbehörden Meldungen über Datenschutzverletzungen erhalten werden diese Meldungen unverzüglich den deutschen Landesdatenschutzbeauftragte im zuständigen Bundesland zur Untersuchung möglicher Verletzung des Datenschutzes weitergegeben.
In einem weiteren Blogbeitrag zu DSGVO Abmahnungen, Bußgeldern und dem Thema Datenschutz, werden wir näher darlegen wie die Datenschutzkonferenz (DSK), das Gremium der einzelnen Datenschutzbehörden, die Bemessung der Bußgelder konkret sieht („Bußgeldkatalog“).
