Seit dem Inkrafttreten der DS-GVO sind bereits mehrere Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie dem „Recht auf Vergessenwerden“ bei Google, der Gültigkeit des EU-US-Privacy-Shields, der Abmahnfähigkeit von DS-GVO-Verstößen, der Reichweite des Auskunftsanspruchs oder zu der Einwilligung beim Einsatz von Cookies sowie über aktuell verhängte interessante Bußgelder aus Deutschland, Spanien, Norwegen, Dänemark, Frankreich, Irland, Rumänien und Schweden. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von der Missachtung der Meldepflicht von Datenschutzverletzungen über Sicherheitslücken, unzulässige Werbung bis hin zu mangelhaften TOMs.

Urteil eines niederländischen Gerichts: Veröffentlichung von Fotos Minderjähriger nur mit Einwilligung

Fallbeschreibung

In den Niederlanden veröffentlichte eine Großmutter Bilder ihrer drei Enkel auf verschiedenen Social-Media-Plattformen und dies ohne das Einverständnis der Eltern. Die Mutter der Kinder hatte sie mehrfach aufgefordert, die Fotos von der Facebook- sowie der Pinterest-Seite zu löschen. Dieser Aufforderung kam die Großmutter allerdings nicht nach und argumentierte, dass das Bild einen besonderen emotionalen Wert für sie habe.

Entscheidung des Gerichts

Das Gericht gab der Klägerin, bei der es sich um die Tochter der Beklagten handelt, recht und forderte die Großmutter auf, die Bilder innerhalb von 10 Tagen von den Social-Media-Plattformen zu löschen. Bei seiner Entscheidung stützte sich das niederländische Gericht sowohl auf nationale Datenschutzgesetze als auch auf die DS-GVO. Nach Ansicht des Gerichts stelle die Veröffentlichung personenbezogener Daten auf Online-Plattformen keine rein private oder haushaltsbezogene Aktivität dar, weshalb die Vorschriften der DS-GVO zu beachten seien. Danach dürfen Fotos und Daten Minderjähriger nur mit Einwilligung der Erziehungsberechtigten veröffentlicht werden. Eine Veröffentlichung ohne diese Zustimmung stellt demnach einen Datenschutzverstoß dar.

Hinweis: In dem vorliegenden Fall wurden die Bilder zwar von einer Privatperson veröffentlicht, weshalb die Anwendbarkeit der DS-GVO explizit geprüft werden musste. Für Unternehmen gilt aber in jedem Fall: Daten von Minderjährigen dürfen ausschließlich mit Einwilligung der Erziehungsberechtigten veröffentlich werden.

Urteil des BGH: Löschrecht bei Google nur im Einzelfall

Fallbeschreibung

Gleich zwei Betroffene haben gegen Google Klage erhoben, um Einträge, gem. Art. 17 Abs. 1 DS-GVO („Recht auf Vergessen werden“) löschen zu lassen, sodass diese nicht mehr über die Suchmaschine gefunden werden können (sog. Auslistungsbegehren). Bei einem der Kläger handelt es sich um den früheren Geschäftsführer eines Regionalverbandes einer Wohlfahrtsorganisation. Über den Verband wurde im Jahr 2011 unter Nennung des vollständigen Namens des Klägers negativ berichtet, da der Verband ein finanzielles Defizit aufwies und der Kläger sich kurz zuvor krankmeldete. Da der Fall weder am Landgericht Frankfurt (Az.: 3 O 315/17 ) noch am Oberlandesgericht Frankfurt (Az.: 16 U 193/17) Erfolg hatte, landete das Auslistungsbegehren gegen Google schließlich beim BGH.

Die zweite Klage wurde von einem deutschen Unternehmer zusammen mit seiner Lebensgefährtin eingereicht, der an mehreren Unternehmen aus der Finanzdienstleistungsbranche beteiligt oder in führender Position tätig ist, nachdem ein US-amerikanisches Unternehmen auf seiner Website mehrere kritische Artikel veröffentlichte und hierfür auch Fotos der Betroffenen verwendete.

Entscheidung des BGH

Der BGH wies die Revision des ersten Klägers mit der Begründung zurück, dass der geltend gemachte Anspruch aus Art. 17 Abs. 1 DS-GVO nicht besteht. Es muss eine umfassende Grundrechtsabwägung zwischen den Grundrechten des Beklagten und denen des Klägers erfolgen. Auch wenn die von Google verlinkten Presseartikel Gesundheitsdaten des Klägers i. S. v. Art. 9 DS-GVO enthalten, ist die Verarbeitung dieser durch Google zur Ausübung des Rechts auf freie Meinungsäußerung und Information erforderlich, zumal die Angaben über den Betroffenen sehr allgemein gehalten wurden. Somit fällt die notwendige Grundrechtsabwägung zu Gunsten der Beklagten aus.

(BHG, Urteil v. 27.07.2020, Az.: VI ZR 405/18)

Da im zweiten Fall nicht nur geklärt werden muss, unter welchen Voraussetzungen die Suchmaschine Bilder der Betroffenen zeigen darf, sondern auch der Wahrheitsgehalt der Berichte zweifelhaft ist, reichte der BGH die Sache an den EuGH weiter. Es bleibt abzuwarten, wie der Gerichtshof zu diesem Fall entscheidet.

(BGH, Beschluss v. 27.07.2020, Az.: VI ZR 476/18)

Urteil des OVG Lüneburg: Übermittlung sensibler Daten per Fax bei Behörden datenschutzrechtlich kritisch

Fallbeschreibung

Eingereicht hatte die Klage ein Sprengstoff-Händler gegen eine Behörde, da diese Dokumente mit höchstsicherheitsrelevanten und personenbezogenen Daten, wie Fahrzeug-Identifikationsnummern und -Halter, per Fax gesendet hat. Der Händler hatte zwar bereits im Jahr 2015 der Übermittlung per Fax widersprochen, erhielt 2017 aber auf diesem Weg wieder Dokumente.

Entscheidung des OVG Lüneburg

Das Oberverwaltungsgericht (OVG) Lüneburg gab – wie auch das Verwaltungsgericht (VG) Osnabrück – dem Kläger recht und entschied, dass die Behörde die betreffenden Bescheide nicht per Fax versenden darf. Das Gericht begründete seine Entscheidung damit, dass bei der Übermittlung kein ausreichendes Schutzniveau für die Daten geboten ist. Welches Schutzniveau erforderlich ist, richtet sich dabei unter anderem danach, welche Daten übersendet werden und welche potentiellen Gefahren bei der Übermittlung bestehen. Außerdem ist zu prüfen, ob andere Wege der Übersendung bestehen, die ggf. sicherer wären.

Ob diese Entscheidung auch für andere Branchen gilt, wie beispielsweise Rechtsanwälte, oder Versicherungsvermittler, ist derzeit noch umstritten. Es ist aber davon auszugehen, dass die Übermittlung besonders sensibler Daten per Fax insgesamt kritisch zu betrachten ist und geprüft werden sollte, da andere Wege der (verschlüsselten) Übermittlung wohl eher dem nach der DS-GVO herangezogenen „Stand der Technik“ entsprechen.

(OVG Lüneburg, Urteil v. 22.07.2020, Az.: 11 LA 104/19)

Urteil des EuGH: EU-US-Privacy-Shield ist ungültig

Fallbeschreibung

Der Österreicher Maximilian Schrems hat gegen die irländische Facebook-Tochter Facebook Ireland Limited zunächst Beschwerde bei der zuständigen Aufsichtsbehörde eingereicht und anschließend Klage gegen das Unternehmen erhoben. Er hielt die Datenübermittlung persönlicher Informationen von Facebook-Nutzern aus der EU an Server der Muttergesellschaft Facebook Inc. in den USA und die dortige Datenverarbeitung für unzulässig. Er begründete seine Ansicht damit, dass in den USA kein angemessenes Datenschutzniveau herrschen würde. Der Rechtsstreit begann bereits im Jahr 2013, wobei mit dem EuGH-Urteil „Schrems I“ bereits das „Safe Harbour“-Abkommen, der Vorgänger des US-Privacy-Shields, gekippt wurde.

Entscheidung des EuGH

Der EuGH stimmt in seinem Urteil vom 16.07.2020 mit der Einschätzung von Herrn Schrems überein und erklärt nun auch das EU-US-Privacy-Shield Abkommen für ungültig. Aufgrund der Zugriffsmöglichkeiten der US-Behörden und fehlender Rechtsmittel für Betroffene, ist in den USA kein angemessenes Datenschutzniveau gewährleistet. Die EU-Standardvertragsklauseln erklärt der EuGH allerdings nicht als ungültig, sie können grundsätzlich weiterhin als Rechtsgrundlage für die Datenübermittlung in die USA herangezogen werden.

(EuGH, Urteil v. 16.07.2020, Az.: C 311/18)

Urteil des EuGH: Auskunftsanspruch zu Datenspeicherung bei Petitionen

Fallbeschreibung

Ein Bürger hatte beim Hessischen Landtag eine Petition eingereicht. Anschließend verlangte er eine Auskunft über seine personenbezogenen Daten, die der Petitionsausschuss gespeichert hat. Das Begehren wurde von dem Landtagspräsidenten jedoch mit der Begründung abgelehnt, dass das Petitionsverfahren eine parlamentarische Aufgabe des Hessischen Landtages darstelle und deshalb nicht unter die Datenschutzgrundverordnung (DS-GVO) falle. Das Verwaltungsgericht Wiesbaden ist zwar der Meinung, dass das deutsche Recht im Rahmen einer Petition kein Recht auf Auskunft über die personenbezogenen Daten vorsehe, gab aber an, dass sich ein solches Recht aus der DS-GVO ergeben könne. Somit leitete das Gericht den Fall an den EuGH weiter und verlangte die Klärung der Frage, ob die DS-GVO, und das darin enthaltene Auskunftsrecht, bei dem Petitionsausschuss des Landtags anwendbar sind.

Entscheidung des EuGH

Der EuGH stellte mit seinem Urteil vom 09.07.2020 fest, dass der Petitionsausschuss eines Bundeslands eines Mitgliedstaats der Europäischen Union (EU) als „Verantwortlicher“ im Sinne der DS-GVO einzustufen ist. Zudem bestätigte der EuGH, dass die Tätigkeiten des Petitionsausschusses des Hessischen Landtags nicht unter eine in dieser Verordnung vorgesehene Ausnahme fallen. Die von einem solchen Ausschuss vorgenommene Verarbeitung personenbezogener Daten unterliegt daher der DS-GVO und damit auch dem Auskunftsanspruch, den betroffene Personen geltend machen können.

ArbG Düsseldorf: unvollständige Auskunft kann Schadensersatzanspruch begründen

Fallbeschreibung

Ein Arbeitnehmer machte gegenüber seinem früheren Arbeitgeber einen Auskunftsanspruch gem. Art. 15 DS-GVO gelten und verlangte Informationen über die von ihm gespeicherten personenbezogenen Daten. Da seine Betroffenenanfrage verspätet und nur unvollständig beantwortet wurde, reichte er gegen das Unternehmen Klage beim Arbeitsgericht ein und verlangte neben verschiedenen Auskünften auch Schadensersatz.

Entscheidung des Arbeitsgerichts

Das ArbG Düsseldorf sprach dem Kläger in seinem Urteil Schadensersatz in Höhe von 5000 Euro zu. Das Gericht begründete seine Entscheidung damit, dass das Unternehmen die Vorgaben aus Art. 15 DS-GVO verletzt habe, wodurch das Auskunftsrecht des Betroffenen beeinträchtigt wurde. Durch die Ungewissheit und fehlende Kontrolle, was mit seinen Daten passiere, sei dem Kläger ein immaterieller Schaden entstanden. Bei der Bemessung der Schadensersatzhöhe griff das Arbeitsgericht auf Erwägungsgrund Nr. 146 der DS-GVO zurück und argumentierte, dass der Schadensersatz abschreckend wirken muss.

Das Urteil ist allerdings noch nicht rechtskräftig, da die Berufung zugelassen wurde. Der Fall liegt nun beim Landgericht Düsseldorf (Az.: 14 Sa 294/20).

(ArbG Düsseldorf, Urteil v. 05.03.3030, Az.: 9 Ca 6557/18)

Hamburg: Zahlreiche Beschwerden wegen offener Corona-Kontaktlisten in Restaurants

Seit mehreren Monaten müssen Restaurantbetreiber aufgrund der geltenden Corona-Bestimmungen die Kontaktdaten ihrer Besucher erfassen. Viele der Betreiber verkennen aber, dass hierbei die Vorgaben der DS-GVO für die Verarbeitung der persönlichen Informationen der Gäste beachtet werden müssen. Zahlreiche Gäste haben sich daher bereits gegenüber den Aufsichtsbehörden beschwert. Die Verstöße reichen von offenliegenden und frei zugänglichen Kontaktlisten bis hin zum Missbrauch der Daten für Werbemaßnahmen oder gar private Zwecke wie Flirt-Nachrichten.

Der Hamburgische Datenschutzbeauftragte hat deshalb im Juni rund 100 Gewerbe- und Gaststättenbetriebe stichprobenartig kontrolliert und dabei festgestellt, dass in einem Drittel der Fälle die Kontaktlisten unzulässigerweise frei zugänglich waren. Daraufhin stellte die Aufsichtsbehörde Praxishinweise für die Inhaber zur Verfügung, um sie zu sensibilisieren. Gegen vier Restaurants, die die Missstände auch nach dieser Maßnahme nicht behoben haben, wurde nun ein Bußgeldverfahren eingeleitet.

Deutschland: 1,2 Millionen Euro Bußgeld wegen der unrechtmäßigen Nutzung personenbezogener Gewinnspiel-Daten für Werbemaßnahmen

Eine Krankenkasse in Baden-Württemberg veranstaltete von 2015 bis 2019 eine Reihe von Gewinnspielen. Dabei wurden personenbezogene Daten der Teilnehmer, wie bspw. Kontaktdaten oder Krankenkassenzugehörigkeit, abgefragt. Die notwendige Einwilligung für die Verwendung der Daten zu Werbezwecken holte die Krankenkasse zwar ein. Sie stellte aber nicht sicher, dass später auch nur die Daten von Personen für Werbemaßnahmen genutzt werden, die ihre Zustimmung erteilt hatten.  Am Ende erhielten rund 500 Teilnehmer aus den Gewinnspielen Werbung, obwohl sie gerade keine Einwilligung erteilt haben. Die zuständige Aufsichtsbehörde verhängte für den Verstoß ein Bußgeld von 1,2 Millionen Euro.

Frankreich: 250.000 Euro wegen Verstoß gegen die Grundsätze der Datenminimierung, der Speicherbegrenzung und der Transparenz

Ein europaweit tätiger Schuhversandhändler erhielt von der französischen Aufsichtsbehörde (CNIL) ein Bußgeld in Höhe von 250.000 Euro, da er gegen verschiedene Grundsätze der Datenverarbeitung nach der DS-GVO verstoßen hatte. Das Unternehmen zeichnete Telefongespräche mit Kunden auf, um diese angeblich für Schulungszwecke zu verwenden. Aus dem gleichen Grund wurden Bankdaten der Anrufer erhoben und gespeichert. Nach Ansicht der CNIL sei weder die Auszeichnung der vollständigen Gespräche noch die Erhebung der Bankdaten erforderlich und die Verarbeitungen damit unzulässig. Hinzu kam, dass der Versandhändler Zahlungsdaten unverschlüsselt speicherte und Informationen länger aufbewahrt wurden als dies notwendig gewesen sei. Teilweise war gar keine Löschfrist definiert. Die Datenschutzerklärung auf der Website des Unternehmens entsprach ebenfalls nicht den datenschutzrechtlichen Anforderungen, da unter anderem falsche Rechtsgrundlagen genannt wurden.

Spanien: 24.000 Euro wegen Versand einer Stromrechnung an die falsche Person

Ein spanisches Stromerzeugungs und -vertriebsunternehmen mit Sitz in Bilbao wollte per E-Mail eine Stromrechnung an einen Kunden versenden. Jedoch erhielt nicht der betroffene Kunde die Rechnung, sondern ein unbeteiligter Dritter. Der Fall wurde der Aufsichtsbehörde bekannt, die sich daraufhin direkt damit beschäftigte. Bei der Überprüfung, wie es zu dem Fehlversand kommen konnte, stellte die Aufsichtsbehörde mangelnde technische und organisatorische Maßnahmen fest. Die Aufsichtsbehörde verhängte aufgrund des Datenschutzverstoßes ein Bußgeld in Höhe von 40.000 Euro, dieses wurde jedoch durch eine fristgerechte Zahlung und ein Schuldanerkenntnis des Stromerzeugers um 20% auf 24.000 Euro gesenkt.

Spanien: 4.000 Euro Bußgeld wegen eines Werbeanrufs trotz Widerspruch

Der Betroffene beschwerte sich am 09.07.2019 bei der spanischen Datenschutzbehörde über ein Unternehmen, dass ihn trotz Widerspruchs mit einem Werbeanruf belästigt hat. Durch den Werbewiderspruch durfte das Unternehmen die personenbezogenen Daten des Betroffenen eigentlich nicht mehr für Werbezwecke nutzen. Die spanische Aufsichtsbehörde sah in dem Vorgehen des Unternehmens deshalb einen Datenschutzverstoß und verhängte ein Bußgeld von 4.000 Euro.

Spanien: 75.000 Euro wegen der unerlaubten Verarbeitung personenbezogener Daten eines ehemaligen Kunden

Ein ehemaliger Kunde eines spanischen Mobilfunkbetreibers beschwerte sich bei der lokalen Verbraucherschutzstelle und der zuständigen Datenschutzbehörde in Spanien. Er gab an, seit September 2018 regelmäßig E-Mails von dem Mobilfunkbetreiber zu erhalten, obwohl er seit September 2017 kein Vertragskunde mehr ist. Die E-Mails beinhalteten sowohl Nachrichten mit  Zahlungsaufforderungen sowie Androhungen auf die Meldung der Kreditunwürdigkeit und Zahlungsunfähigkeit des Betroffenen an offizielle Stellen, sollte sich dieser weiterhin in Verzug befinden. Da der Betroffene der Nutzung seiner personenbezogenen Daten zudem ausdrücklich widersprochen hatte, konnte das Unternehmen keine Erlaubsnisgrundlage für die Kontaktierung nachweisen. Der Mobilfunkbetreiber hatte damit die personenbezogenen Daten des Betroffenen ohne Rechtsgrundlage verarbeitet und erhielt auf Grund dessen ein Bußgeld von 75.000 Euro.

Irland: 40.000 Euro Bußgeld wegen des Versands eines Briefes mit Missbrauchsvorwürfen an die falsche Person

Nach den Datenschutzverletzungen im Zeitraum von Februar bis Mai 2019 und dem darauffolgenden Bußgeld in Höhe von 75.000 Euro wurde nun erneut ein Bußgeld gegen die irische Kinder- und Familienbehörde verhängt. Diesmal beläuft sich das Bußgeld auf 40.000 Euro. Der Grund für das zweite Bußgeld lag in dem Versand eines Briefs an einen Dritten. Die Kinder- und Familienbehörde hat laut Angaben der Aufsichtsbehörde (DPC) einen Brief mit Missbrauchsvorwürfen nicht an den Betroffenen versendet, sondern an einen unbeteiligten Dritten. Dieser veröffentlichte den Inhalt des Briefs auf einer Social Media Plattform. Die Kinder- und Familienbehörde meldete den  Datenschutzverstoß erst 29 Wochen später der Aufsichtsbehörde. Somit beging die Behörde gleich zwei Datenschutzverletzungen, zum einen den Briefversand an den unbeteiligten Dritten und zum anderen die viel zu späte Meldung der Datenpanne. Die irische Aufsichtsbehörde für Datenschutz verhängte daraufhin ein Bußgeld von 40.000 Euro gegen die Kinder- und Familienbehörde.

Norwegen: 111.127 Euro Bußgeld wegen des unberechtigten Zugriffs auf Patientenakten

Ein norwegisches Krankenhaus speicherte die Patientendaten auf einem für alle Mitarbeiter zugänglichen Netzlaufwerk. Im Zeitraum von 2013 bis 2019 hatten somit alle Mitarbeiter des Krankenhauses u.a. Zugriff auf rund 13.800 Patientenakten und 26.596 Entlassungen. Zudem gab es in dem Krankenhaus auch keinerlei Protokollierung, die erfassen könnte, wer wann auf welche Daten zugegriffen hat. Im Rahmen ihrer Überprüfung stellte die Aufsichtsbehörde zudem fest, dass es kein Datenschutzmanagementsystem gab, das eine Überprüfung von Schutzmaßnahmen sicherstellen könnte. Das gegen das Krankenhaus verhängte Bußgeld belief sich daher auf insgesamt umgerechnet 111.127 Euro.

Norwegen: 27.846 Euro wegen einer Bewertung der Kreditwürdigkeit eines Einzelunternehmers ohne Geschäftsbeziehung

Ein Haushaltswarengeschäft aus Norwegen bewertete einen Einzelunternehmer in Bezug auf dessen Kreditwürdigkeit – Problem hierbei war nur: es bestand keine Geschäftsbeziehung zwischen den beiden Unternehmen. Da es sich bei dem bewerteten Unternehmen um ein Einzelunternehmen handelt, stellte die Aufsichtsbehörde fest, dass die finanziellen Angaben mit dem Eigentümer des Unternehmens in Beziehung stehen und Rückschlüsse auf dessen private finanzielle Situation ermöglichen. Damit wurden bei dem Vorgang personenbezogene Daten im Sinne der DS-GVO verarbeitet. Das Haushaltswarengeschäft verstieß somit gegen die Grundlagen aus Art. 6 DS-GVO, denn danach hätte die Bewertung der Kreditwürdigkeit entweder auf Grundlage einer geschäftlichen Beziehung oder einer Einwilligung des Betroffenen erfolgen müssen. Da keiner der Rechtfertigungsgründe aus Art. 6 DS-GVO erfüllt war, wurden die personenbezogenen Daten unrechtmäßig verarbeitet und begründen somit einen Datenschutzverstoß, der von der norwegischen Aufsichtsbehörde mit 27.846 Euro geahndet wurde.

Dänemark: 6.700 Euro Bußgeld wegen der unrechtmäßigen Löschung von personenbezogenen Daten

Ein dänisches Unternehmen wurde der Datenschutzaufsichtsbehörde gemeldet und erhielt ein Bußgeld über 6.700 Euro. Grund hierfür war die Löschung von personenbezogenen Daten. Der Betroffene verlangte von dem Unternehmen Auskunft über die von ihm gespeicherten personenbezogenen Daten. Das Unternehmen kam der Aufforderung über Auskunft jedoch nicht nach, sondern löschte stattdessen die persönlichen Informationen. Nach Ansicht der Datenschutzbehörde hat das Unternehmen mit diesem Vorgehen das grundsätzliche Zugangsrecht zu gespeicherten personenbezogenen Daten der DS-GVO nicht erfüllt. Ein Auskunftsersuchen darf nicht dadurch umgangen werden, dass die gespeicherten Informationen einfach gelöscht werden. Die Aufsichtsbehörde ahndete den Verstoß mit einem Bußgeld in Höhe von 6.700 Euro.

Frankreich: 50.000.000 Euro wegen der Missachtung der Transparenzpflicht

Die französische Datenschutzbehörde CNIL hat gegen den Internetkonzern Google eine Strafzahlung in Höhe von 50 Millionen Euro verhängt. Die Aufsichtsbehörde ist der Meinung, dass Google zum einen seine Transparenz- und Informationspflichten verletzt habe. Dies wird dadurch begründet, dass Google den Nutzern Informationen zur Verwendung der erhobenen Daten und zum Speicherzeitraum nicht einfach genug zugänglich macht. Die Informationen sind über mehrere Dokumente verteilt und zudem nur über mehrere Links und Buttons erreichbar. Außerdem sind einige der Informationen unklar formuliert. Weiterhin bemängelte die Behörde, dass die von Google eingeholte Zustimmung zur Anzeige personalisierter Werbung ungültig sei, weil die Nutzerinnen nicht ausreichend informiert würden.

Zwar legte Google gegen das Bußgeld der CNIL eine Beschwerde ein, diese wurde jedoch vom obersten französischen Verwaltungsgericht, dem Conseil d’ Etat nun, zurückgewiesen. Google begründete die Einwände gegen das Bußgeld damit, dass die CNIL überhaupt nicht zuständig gewesen sei, da sich der europäische Hauptsitzt von Google in Irland befindet. Laut dem „One-Stop-Shop-Prinzip“ (Art. 56 DS-GVO) erhält jedes Unternehmen für grenzüberschreitende Datenverarbeitungsvorgänge einen einheitlichen Ansprechpartner – im Regelfall die Aufsichtsbehörde am Sitz der Hauptniederlassung. Diese Aufsichtsbehörde trägt sodann auch die Hauptverantwortung.

Doch genau dieses One-Stop-Shop-Prinzip wurde Google hier zum Verhängnis, da darin nämlich klar geregelt ist, dass die Aufsichtsbehörde am Sitz der „Hauptniederlassung“ zuständig ist. Die Datenschutzmängel gingen auf das Konto der Stammfirma „Google LLC“ diese hat ihren Hauptsitz in den USA, womit das Prinzip aus Art. 56 DS-GVO hier nicht mehr anwendbar ist und die CNIL tatsächlich zum maßgeblichen Zeitpunkt befugt war, das Bußgeld gegen Google zu verhängen.

Insgesamt stellte der Conseil d’Etat fest, dass es der Entscheidung der CNIL nichts auszusetzen gebe. Die CNIL habe die Schlüsselprinzipien rund um die Bereiche Transparenz- und Informationspflichten korrekt angewendet.

Berlin: 6.000 Euro wegen der Veröffentlichung von Kontaktdaten ohne Einwilligung

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit verhängte ein Bußgeld in Höhe von 6.000 Euro gegen den Landesverband einer Berliner Partei. Dieser veröffentlichte im Februar 2018 auf seiner Internseite eine Karte von Google Maps, auf der Einrichtungen für Asylsuchende verzeichnet waren. Zu jedem dieser Standorte wurden auch die Namen, Telefon- und Handynummern sowie die E-Mail-Adressen der dort tätigen Helfer angegeben. Die Karte wurde zwar von Goolge gesperrt, da diese auch Verletzungen gegen die eigenen Richtlinien von Google aufwies, jedoch waren die Daten weiterhin leicht über den Quelltext der Seite abzurufen.

Interessant an dem kürzlich bekannt gewordenen Fall ist, dass die gesammelten Kontaktdaten aus anderen öffentlichen Quellen stammen und so und so bereits im Internet aufzufinden waren. Die Verarbeitung von personenbezogenen Daten ist jedoch nur rechtmäßig, wenn einer der Gründe, wie z. B. das berechtigte Interesse, aus Art. 6 DS-GVO zutrifft. Ein berechtigtes Interesse des Landesverbands war aus Sicht der Aufsichtsbehörde jedoch hier nicht gegeben. Die schutzwürdigen Interessen der Flüchtlingshelfer, dass deren Kontaktdaten nicht auf einer Plattform für Flüchtlingsgegnerinnen- und gegner bekannt gemacht werden, wiegen eindeutig höher, als das Interesse des Verbandes die Daten zu veröffentlichen.

Folglich hätte der Verband Einwilligungen der betroffenen Personen einholen müssen. Da dies vorliegend nicht der Fall war und die Daten ohne Zustimmung der Betroffenen veröffentlicht wurden, verhängte die Aufsichtsbehörde ein Bußgeld. Gegen den Bußgeldbescheid wurde Einspruch erhoben. Eine Gerichtsentscheidung hierzu steht  noch aus.

Irland: 75.000 Euro wegen der Offenlegung von Kontakt- bzw. Standortdaten von Kindern

Die irische Datenschutzaufsichtsbehörde verhing erstmalig ein Bußgeld gegen eine öffentliche Stelle aufgrund von Verstößen gegen die DSGVO. Eine irische Behörde für Kinder und Familien meldete im Zeitraum von Februar bis Mai 2019 drei Datenschutzverletzungen, die daraufhin von der Datenschutzbehörde untersucht wurden:

  1. Die Kontakt- und Standortdaten eines Kindes und deren Mutter wurden gegenüber einem mutmaßlichen Täter (Missbrauch) offengelegt
  2. Die Adress-, Standort- und Schuldaten eines Kindes und dessen Pflegefamilie wurden den Großeltern des Kindes offengelegt. Die Großeltern konnten das Kind somit kontaktieren.
  3. Die Adressdaten eines Kindes und dessen Pflegefamilie wurden dem inhaftierten leiblichen Vater des Kindes offengelegt.

In allen drei Fällen bemängelte die Behörde auch die mangelhafte Umsetzung technischer und organisatorischer Maßnahmen im Umgang mit den personenbezogenen Daten der Betroffenen. Die Organisation gab an, an einem verbesserten Konzept für den Umgang mit personenbezogenen Daten zu arbeiten.

Rumänien: 5.000 Euro wegen der Übermittlung von Ausweiskopien via Whatsapp

Die rumänische Aufsichtsbehörde verhängte ein Bußgeld in Höhe von 5.000 Euro gegen eine Bank. Grund hierfür war das fehlerhafte Verhalten eines Mitarbeiters. Dieser hatte Ausweiskopien von Kunden, zu denen auch minderjährige Personen und deren gesetzliche Vertreter zählten, per Whatsapp versandt. Hierzu nutzte der Bankmitarbeiter sein privates Smartphone. Die Aufsichtsbehörde kam hier zum Schluss, dass die Bank keinerlei Maßnahmen ergriffen hatte, um sicherzustellen, dass die Verarbeitung von Daten nur auf Anweisung erfolgt. Weiterhin wurde auch festgestellt, dass bei der Bank keine Maßnahmen vorhanden sind, die ein angemessenes Schutzniveau der Daten sicherstellen können.

Schweden: 18.700 Euro wegen der verspäteten Meldung einer Datenpanne

Bei einem Unternehmen in Schweden, das für die Koordinierung der Verwaltung von Regierungsbehörden zuständig ist, führte ein Fehler im IT-System der Gehaltsabrechnung zu einer Datenpanne. Durch den Fehler erhielten Unbefugte Zugriff auf personenbezogene Daten des Personals. Das Unternehmen informierte jedoch weder die betroffenen Personen, noch meldete sie die Datenpanne der zuständigen Aufsichtsbehörde. Die Meldung an die Aufsichtsbehörde erfolgte erst nach 3 Monaten und die Benachrichtigung der betroffenen Personen erst nach 5 Monaten. Die schwedische Datenschutzbehörde verhängte daher  ein Bußgeld in Höhe von umgerechnet 18.700 Euro.