Bußgelder wegen Verstoß gegen das Transparenzgebot

Einer der wesentlichen Grundgedanken der DS-GVO ist, dass jede Person Herrin über ihre Daten sein soll. Jede Person soll genau wissen (können), was mit ihren Daten passiert. Ohne Transparenz bei der Verarbeitung von Daten würde der Datenschutz als solcher ins Leere laufen. Sie müssen betroffene Personen einer Datenverarbeitung deshalb ganz genau darüber aufklären, welche Daten Sie auf welche Weise zu welchem Zweck verarbeiten und welche Rechte ihnen dabei zustehen. Diese Informationen müssen leicht zugänglich und in einer klaren und verständlichen Sprache formuliert sein. Fehlende oder nicht ausreichende Transparenztexte waren bereits häufig Gegenstand von Bußgeldverfahren.

Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Deutschland

Ein Unternehmen setzte für die Bearbeitung von Auskunftsersuchen gem. Art. 15 DS-GVO einen Dienstleister ein. Dieser verwendete auf den Auskunftsschreiben sein eigenes Logo und die Betroffenen wurden nicht über die Beauftragung eines externen Dienstleisters informiert, was gegen den Grundsatz

der Transparenz nach Art. 12 Abs. 1 DS-GVO verstößt. Darüber hinaus hatte das Unternehmen mit dem Dienstleister keinen Vertrag über die Auftragsverarbeitung abgeschlossen.  Zusätzlich lag ein Verstoß gegen das Gebot der Verständlichkeit nach Art. 12 Abs. 1 DS-GVO vor, da der Dienstleister die entsprechenden Auskünfte an die Betroffenen zunächst nur auf Englisch erteilt wurden.

Frankreich

Die Geldbuße wurde auf der Grundlage von Beschwerden einer österreichischen und einer französischen Organisation verhängt, die unmittelbar nach Inkrafttreten der DS-GVO eingereicht wurden. Die Beschwerden betrafen die Einrichtung eines Google-Kontos bei der Konfiguration eines Mobiltelefons unter Verwendung des Android-Betriebssystems. Die erhaltenen Zustimmungen waren nicht „spezifisch“ und nicht „eindeutig“.

Griechenland

Eine Unternehmensberatung stützte sich bei der Datenverarbeitung auf eine Einwilligung, obwohl die Datenverarbeitung eigentlich auf der Erfüllung von (Arbeits-)Verträgen, der Einhaltung gesetzlicher Pflichten oder anderen Rechtsgrundlagen basiert. Zudem wurde der Grundsatz der Transparenz verletzt, da gegenüber den Angestellten der Eindruck erweckt wurde, die Daten werden auf Grundlage einer Einwilligung verarbeitet, obwohl dies eigentlich unter einer anderen Rechtsgrundlage geschah. Dies geht mit einem Verstoß gegen die Informationspflichten einher. Das Unternehmen konnte gegenüber der HDPA nicht nachweisen, dass geeignete Rechtsgrundlagen geprüft wurden, was zusätzlich gegen die Rechenschaftspflicht verstößt.

Italien

Im Rahmen einer Überprüfung stellte die italienische Aufsichtsbehörde verschiedene Datenschutzverstöße beim Management-System für Terminvergaben der Stadtverwaltung Roms fest. Zum einen wurden die betroffenen Mitarbeiter und Klienten nicht ordnungsgemäß über die Datenverarbeitung informiert. Zudem wurde kein rechtskonformer AV-Vertrag mit dem Anbieter des Systems abgeschlossen und die technischen und organisatorischen Schutzmaßnahmen waren unzureichend.

Ein italienisches Unternehmen hatte seinem ehemaligen Mitarbeiter nicht darüber informiert, dass sein E-Mail-Account nach Ende des Beschäftigungsverhältnisses weiter aktiv gehalten wurde und das Unternehmen damit auf die gesamte Kommunikation des Betroffenen zugreifen konnte. Vielmehr wurde ihm mitgeteilt, dass das Postfach und die Inhalte 60 Tagen nach Ende der Beschäftigung gelöscht werden.

Lettland

Der Betreiber eines Onlineshops stellte Betroffenen keine ausreichenden Datenschutzinformationen zur Verfügung. Zum einen war die Formulierung nicht in klarer und einfacher Sprache und die Informationen nicht in präziser und zugänglicher Form dargestellt. Darüber hinaus fehlten Pflichtangaben nach Art. 13 DS-GVO. Positiv berücksichtigt wurde die Kooperation des Unternehmens mit der Aufsichtsbehörde und die Beseitigung der festgestellten Mängel.

Norwegen

Ein Unternehmen hatte die berufliche E-Mail-Adresse eines Mitarbeiters nach dessen Ausscheiden automatisch an eine andere Stelle im Unternehmen über mehrere Monate hinweg weitergeleitet wurden. Über diesen Vorgang hatte das Unternehmen den Betroffenen allerdings nicht informiert.

Spanien

Ein Unternehmen hatte auf einem Plakat, das über die Videoüberwachung informieren sollte, die Kontaktdaten des Verantwortlichen nicht angegeben. Die spanische Aufsichtsbehörde sah darin einen Verstoß gegen Informationspflichten. Die Kontaktdaten der verantwortlichen Stelle müssen gem. Art. 13 Abs. 1 lit. a) DS-GVO in der Datenschutzinformation enthalten sein. Sie verhängte deshalb ein Bußgeld in Höhe von 1.000 Euro gegen den Betreiber der Videoüberwachung.

Ein Betroffener reichte bei der spanischen Aufsichtsbehörde gegen ein Immobilienunternehmen wegen Verstoß gegen die Informationspflicht ein. Das Unternehmen nahm in seinem Kaufvertrag noch Bezug auf das alte Recht vor Geltung der DS-GVO und Anpassung des nationalen Rechts. Aufgrund fristgemäßer Zahlung ein Schuldanerkenntnis wurde das Bußgeld auf 1.200 Euro reduziert.

Ein Unternehmen hatte auf seiner Website keine Datenschutzhinweise für Betroffene bereitgestellt, um sie über die Datenverarbeitung im Rahmen der Nutzung des Kontaktformulars gem. Art. 13 DS-GVO zu informieren. Über das Formular wurden Adresse, E-Mail-Adresse und Telefonnummer abgefragt.

Eine Bank stellte ihren Kunden Datenschutzinformationen zur Verfügung, die unvollständig, uneinheitlich sowie ungenau waren. Zudem wurden Sie aufgeteilt und mussten an verschiedenen Stellen abgerufen werden, was nach Ansicht der Behörde nicht den datenschutzrechtlichen Anforderungen entspricht. Zudem hatte das Unternehmen keine wirksame Einwilligung für die Übermittlung der Daten an andere Unternehmen der Gruppe eingeholt.

Der Inhaber der App – der Ausrichter einer spanischen Fußballliga – wollte Gaststätten und Kneipen ausfindig machen, in denen ohne Lizenz Fußballspiele der Liga übertragen werden. Hierzu verlangte er zur Nutzung der App Zugriff auf das Mikrofon der Smartphones und ihren Standort und wertete diese Daten dann aus. Über diese Erhebung und Verarbeitung ihrer Daten wurden die Nutzer der App nur sehr undurchsichtig informiert, erst nach einem Update der Nutzungsbedingungen infolge des Inkrafttretens der DS-GVO ist die Spionage aufgefallen.