Seit dem Inkrafttreten der DS-GVO sind fast zwei Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie der Datenschutzpolitik von Facebook, der Arbeitszeiterfassung mittels Fingerabdruck, der Abmahnfähigkeit von DS-GVO-Verstößen, der Reichweite des Auskunftsanspruchs, zu datenschutzrechtlichen Schadensersatzansprüchen oder zu der Einwilligung beim Einsatz von Cookies sowie über aktuell verhängte interessante Bußgelder aus Bonn, Berlin, Österreich, Frankreich, Ungarn, England, Dänemark, Griechenland und Rumänien. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von der Missachtung der Betroffenenrechte über Sicherheitslücken, mangelhafte TOMs und falsche Rechtsgrundlagen bis hin zu Verletzungen der Löschpflichten. Zusätzlich gab es in Deutschland und Norwegen zwei interessante Datenschutzverstöße wegen Ausspionieren der Mitarbeiter bzw. wegen unerlaubten Werbetrackings.

Urteil des KG Berlin: Voreinstellungen zur Privatsphäre bei Facebook nicht datenschutzkonform

Fallbeschreibung

Die Social-Media-Plattform Facebook gerät aufgrund ihrer Verbraucher- und Datenschutzpolitik immer wieder in die Kritik, was bereits mehrfach zu Rechtsstreitigkeiten vor Gericht und der Verhängung von Bußgeldern geführt hat. Hintergrund des neuesten Urteils aus Deutschland war die Klage eines Verbraucherschutzbundes, der Facebook insgesamt 26 Einzelverstöße gegen das Verbraucher- und Datenschutzrecht vorwarf. Der Verband argumentierte, dass die Voreinstellungen zur Privatsphäre und ein Teil der Geschäftsbedingungen gegen bestehendes Recht verstoße. Außerdem sei der Werbeslogan „Facebook ist und bleibt kostenlos“ irreführend, da die Nutzer indirekt mit ihren Daten zahlen müssten, mit deren Nutzung das Unternehmen Gewinne erzielt.

Entscheidung des KG Berlin

Das Kammergericht Berlin (KG) bestätigte das Urteil der Vorinstanz, des Landgerichts Berlin (Urteil v. 16.01.2018, Az.: 16 O 341/15), und gab dem klagenden Verbraucherverband in vielen Punkten recht. Es entschied, dass einige Voreinstellungen nicht datenschutzkonform sind. Zu den beanstandeten Einstellungen gehörte die bei Smartphones standardmäßig aktivierte Ortungsfunktion, die auch Chatpartnern den Standort verriet, sowie der erlaubte Zugriff von Suchmaschinen auf Nutzerfeeds. Beide Anwendungen bedürfen der expliziten Einwilligung des Nutzers (Opt-in), ein voreingestelltes Ankreuzkästchen, das der Nutzer abwählen müsste (Opt-out), ist nicht ausreichend. Weiterhin erklärte das KG einige Klauseln der Geschäftsbedingungen für rechtswidrig. Hierzu gehören unter anderem der Vorbehalt, Namen und Profilbilder für kommerzielle Zwecke zu nutzen, die Klarnamenpflicht sowie das Einverständnis mit allen künftigen Datenrichtlinien.

Nicht recht gab das Gericht dem Verbraucherverband in Bezug auf den Slogan: Dieser sei nicht irreführend und zulässig. Das KG argumentierte, dass die Dienste von Facebook ohne die Zahlung eines Geldbetrags genutzt werden könnten, worauf der Slogan Bezug nimmt.
Außerdem traf das Gericht eine wichtige Grundsatzentscheidung: Verbraucherverbände dürfen wegen Verstöße gegen den Datenschutz klagen, der Auftrag einer betroffenen natürlichen Person ist nicht notwendig.

(KG Berlin, Urteil v. 20.12.2019, Az.: 5 U 9/18; nicht rechtskräftig)

Urteil des ArbG Berlin: Arbeitszeiterfassung mittels Fingerabdrucks nur mit Einwilligung zulässig

Fallbeschreibung

Hintergrund der Entscheidung war ein Rechtsstreit zwischen einem Beschäftigten und seinem Arbeitgeber. Das beklagte Unternehmen hatte im August 2018 ein neues Zeiterfassungssystem eingeführt, bei dem die Mitarbeiter mittels ihres Fingerabdrucks ein- und ausstempeln sollten. Dadurch sollte verhindert werden, dass die Dokumentation der Arbeitszeiten manipuliert wird, indem ein Kollege für einen anderen stempelt. Das System extrahierte und speicherte die Minutien (individuelle Fingerlinienverzweigungen) der Mitarbeiter, um diese bei der An- und Abmeldung abzugleichen. Der Kläger verweigerte die Anwendung dieses Zeiterfassungssystems und wurde deshalb mehrfach abgemahnt. Er forderte die Löschung der Abmahnungen aus seiner Personalakte.

Entscheidung des ArbG Berlin

Das Arbeitsgericht Berlin gab dem Kläger recht: Das beklagte Unternehmen muss die Abmahnungen aus der Personalakte löschen, da die Zeiterfassung auf diese Weise nicht zulässig ist. Bei Minutien handelt es sich um biometrische Daten, die unter die besondere Kategorie personenbezogener Daten fallen und damit als besonders sensibel und schützenswert eingestuft werden (Art. 9 Abs. 1 DS-GVO). Arbeitgeber dürfen solche Daten nach § 26 Abs. 3 BDSG nur verarbeiten, wenn dies für die Begründung, Durchführung oder Beendigung des Beschäftigungsverhältnisses erforderlich ist. Das Gericht entschied, dass der potenzielle Missbrauch von Zeiterfassungssystemen keine ausreichende Begründung für die Erforderlichkeit einer Zeiterfassung mittels Fingerabdrucks darstellt. Hierfür sei der Eingriff in die Grundrechte und Grundfreiheiten des Betroffenen zu weitreichend. Das heißt, diese Art der Arbeitszeiterfassung ist nur zulässig, wenn der Mitarbeiter einwilligt. Folglich gab das Gericht dem Kläger recht; die Abmahnungen mussten aus der Personalakte gelöscht werden.

(ArbG Berlin, Urteil v. 16.10.2019, Az.: 29 Ca 5451/19)

Urteil des OLG Naumburg: Abmahnfähigkeit von Datenschutzverstößen

Die Abmahnfähigkeit von Datenschutzverstößen ist noch immer viel diskutiert und höchst umstritten. Die Frage, ob Verstöße gegen den Datenschutz nach dem Wettbewerbsrecht abgemahnt werden können, wird von den Gerichten unterschiedlich beantwortet. Während die einen die Reglungen der DS-GVO als abschließend ansehen und die Abmahnfähigkeit verneinen, sehen andere Gerichte gleichzeitig einen Verstoß gegen das Wettbewerbsrecht und bejahen die Abmahnfähigkeit. Das Oberlandesgericht (OLG) Hamburg vertritt dagegen die Ansicht, dass es sich um eine Einzelfallentscheidung handelt, abhängig davon, gegen welche Norm des Datenschutzrechts verstoßen wurde.

Entscheidung des OLG Naumburg

Nun gibt es ein neues Urteil des OLG Naumburg, das sich der Meinung des OLG Hamburg anschloss. Das Gericht entschied, dass die Datenschutznorm, gegen die verstoßen wurde, im Einzelfall überprüft werden muss. Die Schutzziele der DS-GVO gehen nach Ansicht des Gerichts über den Schutz des informationellen Selbstbestimmungsrechts des Betroffenen hinaus. Deshalb muss jede datenschutzrechtliche Norm, gegen die verstoßen wurde, dahingehend überprüft werden, ob sie einen marktverhaltensregelnden Charakter hat. In dem speziellen Fall ging es um die Verarbeitung von Gesundheitsdaten für Werbezwecke (Kaufverhalten bei Medikamenten und Medizinprodukten in einem Onlineshop) ohne die erforderliche Einwilligung, das heißt, ohne Rechtsgrundlage. Da es sich bei Gesundheitsdaten um besonders sensible Daten handelt, lag ein Verstoß gegen Art. 9 Abs. 1 DS-GVO vor. Das Verbot zur Verarbeitung personenbezogener Daten für Werbezwecke ohne Einwilligung des Betroffenen wurde als Marktverhaltensregel eingestuft und damit die Abmahnfähigkeit bejaht.

(OLG Naumburg, Urteil v. 07.11.2019, Az.: 9 U 6/19)

Infokasten: Mehr Informationen zur Abmahnfähigkeit

Mehr Informationen zu den Urteilen zur Abmahnfähigkeit von Datenschutzverstößen können Sie in unserem Artikel „Abmahnfähigkeit von Datenschutz-Verletzungen“ nachlesen.

Urteil des EuGH: Einwilligung bei Cookies

Fallbeschreibung

Das verklagte Unternehmen veranstaltete eine Reihe von Gewinnspielen, bei denen die Teilnahme an die Zustimmung zum Erhalt von Werbung gekoppelt war. Der User konnte zwei Haken setzen bzw. entfernen – einen, um der Kontaktaufnahme verschiedener Firmen zu Werbezwecken zuzustimmen, und einen für die Einwilligung zur Nutzung von Tracking-Cookies. Problematisch war die Zustimmung zum Setzen des Tracking-Cookies, da hier der Haken bereits voreingestellt war. Der User musste den Haken also aktiv entfernen, um das Setzen des Cookies zu verhindern (Opt-Out-Verfahren).

Entscheidung des EuGH

Ziel der datenschutzrechtlichen Vorgaben ist es, die Privatsphäre des Nutzers zu schützen. Im Bereich der Cookies kann dieser Schutz effektiv nur gewährleistet werden, wenn es für die Einwilligung keine Rolle spielt, ob die im Endgerät des Nutzers gespeicherten Daten personenbezogen sind oder nicht.

Sowohl nach der alten Datenschutzrichtlinie als auch nach der DS-GVO kann dem EuGH zufolge eine informierte Einwilligung nicht erteilt werden, ohne dabei selbst aktiv zu werden. Schließlich ist es bei einem voreingestellten Ankreuzkästchen durchaus möglich, dass der Nutzer die Information gar nicht wahrnimmt, sondern übersieht. Es ist deshalb praktisch unmöglich, in objektiver Weise zu klären, ob der Nutzer einer Website dadurch, dass er ein voreingestelltes Ankreuzkästchen nicht abgewählt hat, tatsächlich seine Einwilligung zur Verarbeitung seiner Daten gegeben hat.

(EuGH, Urteil v. 01.10.2019, Az.: C-673/17)

Infokasten: Mehr Informationen zum Urteil

Die Entscheidung des EuGH stellt klar, dass viele Cookiebanner einer gerichtlichen Prüfung nicht standhalten werden. Eine ausführliche Darstellung des Urteils sowie Antworten auf die wichtigsten Fragen zur Notwendigkeit und Gestaltung von Cookiebannern finden Sie in unserem Artikel „EuGH-Urteil zu Cookies: Ohne aktive Zustimmung keine Einwilligung“.

Urteil des LG Darmstadt: Veröffentlichung von Videomaterial ohne Einwilligung der Gefilmten

Fallbeschreibung

Eine Rockband ließ ihr Konzert filmen, um das Bildmaterial für ein Musikvideo zu verwenden, das u. a. auf YouTube veröffentlicht wurde. Auf dem Video waren nicht nur die Musiker, sondern auch Besucher und Polizisten der Bereitschaftspolizei zu sehen. Die Polizisten waren im Einsatz, um auf dem Konzert für Sicherheit zu sorgen. Die Zugführerin der eingesetzten Polizisten war mit ihrer Aufnahme nicht einverstanden und machte gegen die Band einen Unterlassungsanspruch geltend. Zusätzlich verlangte sie die Übernahme ihrer Anwaltskosten sowie eine Geldentschädigung („Schmerzensgeld“) in Höhe von 5000 €.

Entscheidung des LG Darmstadt

Das Landgericht (LG) Darmstadt gab der Klägerin recht und bejahte sowohl den Unterlassungsanspruch als auch die Geldforderungen. Interessant dabei ist, dass das LG bei der Urteilsbegründung den Datenschutz und die DS-GVO mit keinem Wort erwähnt. Es stützt seine Entscheidung allein auf das Kunsturheberrechtsgesetz, nach dem eine Verbreitung und Veröffentlichung von Bildmaterial grundsätzlich nur mit Einwilligung des Abgebildeten zulässig ist (§ 22 KUG). Die Höhe der Geldentschädigung begründet das Gericht damit, dass das allgemeine Persönlichkeitsrecht der Polizistin schuldhaft verletzt wurde, der Eingriff schwerwiegend war und das Video durch seine Veröffentlichung auf YouTube weitreichend verbreitet wurde. Zudem wurde durch das Musikvideo der Gewinn der Band gesteigert.

Die gleichen Rechte hat die Polizistin im Ergebnis aber auch nach der DS-GVO, denn bei der rechtswidrigen Verarbeitung personenbezogener Daten steht betroffenen Personen auch nach der DS-GVO ein Unterlassungsanspruch und immaterieller Schadensersatz in Form einer Geldentschädigung zu. Bildaufnahmen dürfen entweder nach Art. 6 Abs. 1 lit. a) DS-GVO mit Einwilligung der Betroffenen oder nach Art. 6 Abs. 1 lit. f) DS-GVO auf Basis des überwiegenden berechtigten Interesses des Unternehmens veröffentlicht werden. Letzteres erfordert aber eine umfangreiche Interessenabwägung und deutlich sichtbare Hinweise auf die Filmaufnahmen beim Konzert inklusive Hinweis auf das Widerspruchsrecht der gefilmten Personen.

(LG Darmstadt, Urteil v. 04.09.2019, Az.: 23 O 159/18)

Urteil des LG Feldkirch (Österreich): 800 Euro Schmerzensgeld bei unzulässiger Datenverarbeitung

Fallbeschreibung

Ein Betroffener erhob gegen die Österreichische Post Klage wegen verschiedener Verstöße gegen die DS-GVO. Das Unternehmen soll gegen verschiedene Datenschutzvorschriften verstoßen haben, unter anderem sollen im Rahmen von Marketinganalyseverfahren Daten über politische Affinitäten des Klägers verarbeitet worden sein. Die österreichische Post argumentierte, dass es sich um eine anonyme Erhebung genereller, wahrscheinlichkeitsbezogener Durchschnittsaussagen handle und damit der Personenbezug fehle. Insbesondere handle es sich nicht um besondere Kategorien von Daten nach Art. 9 Abs. 1 DS-GVO, da keine konkreten Aussagen zur politischen Meinung enthalten waren.

Entscheidung des LG Feldkirch

Das Landesgericht (LG) Feldkirch widersprach der Ansicht des beklagten Unternehmens und bejahte sowohl den Personenbezug der betreffenden Daten als auch deren besondere Sensibilität. Da die Aussagen zu politischen Affinitäten einzelnen Personen zugeordnet werden können, handelt es sich um personenbezogene Daten und eben nicht um eine allgemeine Statistik. Zudem bilden sie politische Meinungen ab und fallen somit unter die besondere Kategorie von Daten nach Art. 9 Abs. 1 DS-GVO. Da das Postunternehmen für die Verarbeitung der Daten keine Einwilligung eingeholt und den Betroffenen auch nicht nach Art. 14 DS-GVO informiert hatte, hat das LG dem Kläger eine Geldentschädigung („Schadensersatz“) in Höhe von 800 € zugesprochen.

(LG Feldkirch, Beschluss v. 07.08.2019, Az.: 57 Cg 30/19b – 15)

Hinweis: Die österreichische Datenschutzbehörde hat nach dem Verfahren außerdem gegen das Unternehmen ein Bußgeld in Höhe von 18 Mio. Euro wegen unzulässiger Datenverarbeitung verhängt.

Urteil des OLG Köln: Große Reichweite des Auskunftsanspruchs

Fallbeschreibung

Ein Betroffener machte im Rahmen eines Rechtsstreits mit seiner Versicherung seinen Auskunftsanspruch gegenüber dem Unternehmen nach der DS-GVO geltend. Dabei verlangte er explizit auch die Offenlegung von Gesprächsnotizen und Telefonvermerken, die das Versicherungsunternehmen verweigerte. Begründet hat das Unternehmen die Verweigerung der Auskunft damit, dass der Anspruch nach Art. 15 DS-GVO solche Informationen nicht umfasse.

Entscheidung des OLG Köln

Das Oberlandesgericht (OLG) widersprach der Ansicht der Beklagten und bestätigte das Auskunftsrecht des Betroffenen. Das Gericht begründete seine Entscheidung damit, dass der Begriff „personenbezogene Daten“ weit zu fassen ist und sich nicht nur auf Identifikationsmerkmale wie Name und Geburtsdatum oder äußere Merkmale wie Geschlecht und Größe bezieht. Vielmehr sind auch innere Zustände wie Wünsche und Wertvorstellungen sowie sachliche Informationen wie Vermögens- und Eigentumsverhältnisse, Kommunikations- und Vertragsbeziehungen umfasst. Personenbezogen sind ebenfalls Aussagen, die eine subjektive und/oder objektive Einschätzung von Betroffenen zulassen.

Besonders betonte das OLG, dass es „[…] durch die Entwicklung der Informationstechnologie mit ihren umfassenden Verarbeitungs- und Verknüpfungsmöglichkeiten […] keine belanglosen Daten mehr [gibt]“.

(OLG Köln, Urteil v. 26.07.2019, Az.: 20 U 75/18)

Bonn: 9,55 Millionen Euro wegen unzureichender Technisch-Organisatorischer Maßnahmen

Der Bundesdatenschutzbeauftragte verhängte gegen einen der führenden Telekommunikationsdienstleister in Deutschland ein Bußgeld in Höhe von 9,55 Millionen Euro wegen unzureichender Maßnahmen zum Schutz von Kundendaten. Die Behörde sah das Authentifizierungsverfahren bei telefonischen Anfragen als nicht ausreichend an, um die Person eindeutig identifizieren zu können. Teilweise hatte die Angabe des Namens und des Geburtsdatums ausgereicht, um weitere persönliche Informationen zu erhalten.

Das Unternehmen hat zwar rasch reagiert und das Verfahren angepasst, der Bundesdatenschutzbeauftragte entschied sich aber dennoch, ein Bußgeld zu verhängen. Als Grund nannte er, dass das unzureichende Authentifizierungsverfahren ein Risiko für den gesamten Kundenstamm des Unternehmens darstellte. Bei der Bemessung der Bußgeldhöhe wurde die Kooperationsbereitschaft allerdings positiv berücksichtigt.

Bonn: 10.000 Euro wegen Nichtbestellung eines Datenschutzbeauftragten

Der Bundesdatenschutzbeauftragte verhängte gegen einen verhältnismäßig kleinen Telekommunikationsanbieter ein Bußgeld in Höhe von 10.000 Euro, da das Unternehmen seiner Pflicht zur Bestellung eines Datenschutzbeauftragten nicht nachkam. Die Behörde hatte den Anbieter im Vorfeld bereits mehrfach aufgefordert, seiner Bestellpflicht nachzukommen, dieser kam den Aufforderungen jedoch nicht nach. Bei der Bemessung der Bußgeldhöhe wurde berücksichtigt, dass es sich um ein Kleinstunternehmen handelt.

Rheinland-Pfalz: 105.000 Euro wegen Defiziten im Patientenmanagement

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz verhängte gegen ein Krankenhaus ein Bußgeld in Höhe von 105.000 Euro wegen struktureller Defizite im Patientenmanagement. Grund für das Bußgeldes waren mehrere Verstöße gegen die DS-GVO wegen unzureichender Technisch-Organisatorischer Maßnahmen beim Patientenmanagement. Bekannt wurden die Schwächen im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten, die eine falsche Rechnungsstellung zur Folge hatte.

Berlin: 14,5 Millionen Euro wegen fehlender Löschmöglichkeit im Archivsystem

Die Berliner Beauftragte für den Datenschutz und Informationssicherheit hat gegen eine Immobiliengesellschaft Deutschlands bisher höchstes Bußgeld in Höhe von rund 14,5 Millionen Euro wegen Verletzung der Löschpflichten verhängt. Das Bußgeld ahndet insgesamt 16 Datenschutzverstöße – einen strukturellen Verstoß und 15 konkrete Einzelfälle –, bei denen personenbezogene Daten von Mietern unzulässig gespeichert wurden. Die Bußgelder für die letzten Verstöße belaufen sich auf jeweils 6.000 bis 17.000 Euro.

Software ohne Löschfunktion

Aus struktureller Sicht ist das eingesetzte Archivsystem technisch nicht in der Lage, nicht mehr erforderliche Daten zu löschen. Des Weiteren wurden personenbezogene Daten gespeichert, ohne dass die Zulässigkeit dieser Verarbeitung geprüft wurde. Betroffen waren persönliche und finanzielle Informationen von Mietern, beispielsweise Gehaltsbescheinigungen, Kontoauszüge sowie Steuer-, Sozial- und Krankenversicherungsdaten. Der Berliner Datenschutzbeauftragten zufolge sind derartige Datenfriedhöfe in der Praxis nach wie vor weitverbreitet, datenschutzrechtlich aber hochkritisch. Die Datensammlungen rücken meist erst viel zu spät in den Fokus, wenn massenhaft Daten abgeschöpft werden. Ebendies soll aber durch die DS-GVO verhindert werden, weshalb die Möglichkeit des Sanktionierens auch vor einem Datenschutzvorfall so wichtig ist.

Bemessung der Bußgeldhöhe

Bei der Bemessung des Bußgeldes kam erschwerend hinzu, dass die Aufsichtsbehörde den Verantwortlichen bereits im Jahr 2017 auf die Problematik aufmerksam gemacht und ihn zur Behebung der Mängel aufgefordert hatte. Das Unternehmen konnte auch eineinhalb Jahre später nicht nachweisen, der Aufforderung der Behörde nachgekommen zu sein. Dabei wurde positiv berücksichtigt, dass zumindest erste Maßnahmen ergriffen wurden und die Zusammenarbeit mit der Aufsichtsbehörde formal gut funktionierte. Der Bescheid ist noch nicht rechtskräftig, da die Immobilienfirma noch Rechtsmittel einlegen kann.

Berlin: 195.407 Euro für die Missachtung von Betroffenenrechten

Die Berliner Beauftragte für den Datenschutz und Informationssicherheit hat gegen einen Lieferdienst ein Bußgeld in Höhe von 195.407 Euro für eine Reihe von einzelnen Verstößen verhängt. Bei den meisten geahndeten Einzelverstößen handelt es sich um die Verletzung von Betroffenenrechten wie unerwünschte Werbung, die Missachtung von Löschfristen, die Missachtung des Werbewiderspruchs sowie von Auskunftsersuchen. Bei der Bemessung des Bußgeldes spielte die hohe Anzahl an wiederholten Verstößen sowie das Ausbleiben weiterer Maßnahmen zur pflichtgemäßen Erfüllung von Betroffenenrechten eine Rolle. Die Aufsichtsbehörde hatte das Unternehmen bereits im Vorfeld mehrfach aufgefordert, seine grundsätzlichen strukturellen Organisationsprobleme zu beheben.

Infokasten: Mehr Informationen zum Bußgeld

Eine ausführliche Aufarbeitung des obigen Bußgelds sowie eine Darstellung der wichtigsten Betroffenenrechte finden Sie in unserem Artikel „Auskunft, Löschung, Widerruf, Widerspruch – Betroffenenrechte richtig erfüllen“.

Frankreich: 500.000 Euro wegen Defizite im Kundenmanagement

Die französische Aufsichtsbehörde (CNIL) verhängte gegen ein Unternehmen ein Bußgeld in Höhe von 500.000 Euro wegen verschiedener Defizite im Kunden- und Interessentenmanagement. Bei den Verstößen handelte es sich um die fehlende Dokumentation von Werbewidersprüchen, die Missachtung von Informationspflichten sowie die Übermittlung von Daten in Drittländer ohne ausreichende Rechtsgrundlage. Hauptgrund für die Verhängung des Bußgeldes war allerdings der Verstoß gegen den Grundsatz der Datenminimierung im CRM-System des Unternehmens.

Während der Telefonate mit Interessenten und Kunden wurden unter anderem auch Informationen zum Gesundheitszustand sowie Unmutsäußerungen des Gesprächspartners gesammelt und im CRM-System – über das die Kundenkontakte abgewickelt wurden – gespeichert. Die CNIL betonte, dass solche unangemessenen Einträge in der CRM-Datenbank nicht nur gelöscht, sondern vielmehr von vorneherein verhindert werden müssen.

Bei der Bemessung der Bußgeldhöhe kam erschwerend hinzu, dass die Aufsichtsbehörde den Verantwortlichen bereits Ende September 2018 dazu aufgefordert hatte, die Missstände zu beheben und dem Grundsatz der Datenminimierung zu entsprechen. Zusätzlich zeigte sich das Unternehmen bei den Ermittlungen der CNIL wenig kooperativ und verstieß damit gegen seine Mitwirkungspflicht.

Infokasten: Mehr Informationen zum Bußgeld

Mehr Informationen über die einzelnen Verstöße und die Hintergründe des Bußgeldes sowie zur Entscheidung der Aufsichtsbehörde finden Sie in unserem Artikel „Frankreich: Bußgeld wegen unangemessener Informationen im CRM-System“.

Ungarn: 3,6 Millionen Euro wegen irreführender Werbung

Die ungarische Aufsichtsbehörde (GVH) verhängte gegen die Social-Media-Plattform Facebook ein Bußgeld in Höhe von rund 3,6 Millionen Euro wegen irreführender Werbung. Das Unternehmen wirbt damit, kostenlos zu sein, was aber nicht der Fall sei. Zwar müssen User für die Nutzung keine Gebühr bezahlen, dafür sammelt das Unternehmen die persönlichen Daten seiner Kunden. Die Daten werden ausgewertet und damit beispielsweise durch individualisierte Werbung Gewinne generiert.

Die Aufsichtsbehörde begründete das Bußgeld damit, dass das Geschäftsmodell von Facebook darin besteht, detaillierte Daten über die Nutzer zusammenzustellen und gezielte Werbemöglichkeiten an Geschäftskunden zu verkaufen. Der Preis für die Nutzung sind die persönlichen Daten der User, die Werbung mit einer kostenlosen Mitgliedschaft sei damit falsch und irreführend. Das Unternehmen wurde seit dem Jahr 2010 mehrfach ermahnt, dennoch wurden die Nutzungsbedingungen nach Ansicht der Aufsichtsbehörde nicht ausreichend angepasst. Bei der Bemessung der Bußgeldhöhe wurde nur ein Teil der Werbeeinnahmen in Ungarn berücksichtigt.

England: 204 Millionen Euro für Sicherheitslücke im Online-Buchungssystem

Die britische Aufsichtsbehörde (ICO) kündigte im Juli an, gegen die Fluggesellschaft British Airways ein Bußgeld in Höhe von 204,6 Mio. Euro zu verhängen. Die vorgeschlagene Geldbuße bezieht sich auf einen Cybervorfall, der im September 2018 von British Airways beim ICO gemeldet wurde. Dieser Vorfall betraf unter anderem die Weiterleitung des Nutzerverkehrs auf der Firmenhomepage zu einer betrügerischen Website, über die Kundendaten von den Hackern gesammelt wurden. Es wird angenommen, dass seit Juni 2018 personenbezogene Daten von ungefähr 500.000 Kunden betroffen waren. Die Untersuchung des ICO ergab, dass aufgrund der unzureichenden Sicherheitsvorkehrungen im Unternehmen eine Reihe von Informationen abgegriffen wurden, einschließlich Log-in-Daten, Zahlungsinformationen und Reisebuchungsdetails sowie Namen und Adressen.

Griechenland: 150.000 Euro für fehlerhafte Rechtsgrundlage, mangelhafte Transparenz und Verletzung der Rechenschaftspflicht

Die griechische Datenschutzbehörde (HDPA) verhängte ebenfalls im Juli gegen PwC Business Solutions ein Bußgeld in Höhe von 150.000 Euro, da bei der Verarbeitung von Arbeitnehmerdaten die Rechtsgrundlage der Datenverarbeitung unzureichend war und Informationspflichten nicht ausreichend erfüllt wurden. Die HDPA erklärte es als unangemessen, die Datenverarbeitung auf eine Einwilligung zu stützen, wenn diese eigentlich auf der Erfüllung von (Arbeits-)Verträgen, der Einhaltung gesetzlicher Pflichten oder anderen Rechtsgrundlagen basiert. Zudem wurde der Grundsatz der Transparenz verletzt, da gegenüber den Angestellten der Eindruck erweckt wurde, die Daten werden auf Grundlage einer Einwilligung verarbeitet, obwohl dies eigentlich aufgrund einer anderen Rechtsgrundlage geschah. Dies geht mit einem Verstoß gegen die Informationspflichten einher.

Darüber hinaus konnte das Unternehmen gegenüber der HDPA nicht nachweisen, dass geeignete Rechtsgrundlagen geprüft wurden, was zusätzlich gegen die Rechenschaftspflicht verstößt. Neben dem Bußgeld hat die Behörde das Unternehmen per Anordnung auch dazu verpflichtet, innerhalb von drei Monaten die datenschutzkonforme Verarbeitung der Mitarbeiterdaten zu gewährleisten, die ordnungsgemäße Anwendung der zentralen Grundsätze aus Art. 5 DS-GVO sicherzustellen und der Behörde nachzuweisen.

Dänemark: 200.800 Euro für zu lange Speicherung von Kundendaten

Im Juni hat die dänische Aufsichtsbehörde ein Bußgeld in Höhe von 200.800 Euro wegen mangelhafter Umsetzung der Löschfristen veröffentlicht. Die Behörde hat im Rahmen einer Prüfung untersucht, ob es bei einem Möbelhersteller Löschfristen für Kundendaten gibt und ob diese eingehalten werden. Dabei stellte sich heraus, dass ein Teil der Möbelgeschäfte noch mit einer veralteten Software arbeitete, in der unrechtmäßigerweise noch 385.000 Kundensätze mit persönlichen Kontaktdaten und Kaufhistorie gespeichert waren.

Rumänien: 129.700 Euro wegen unzureichender TOMs

Ebenfalls im Juni verhängte die rumänische Aufsichtsbehörde gegen eine Bank ein Bußgeld in Höhe von 129.700 Euro. Aufgrund mangelhafter technischer- und organisatorischer Maßnahmen legte die Bank bei Überweisungen den Empfängern die Identifikationsnummer und Adresse des Auftraggebers offen. Dadurch wurde der Grundsatz Data Protection by Design verletzt, denn die technischen Prozesse bei der Bank waren damit nicht so gestaltet, dass die Rechte und Freiheiten der Betroffenen angemessen geschützt wurden. Betroffen von der unrechtmäßigen Übermittlung waren etwa 337.000 Kunden.

Hamburg: Bußgeldverfahren wegen Verstoß gegen den Beschäftigtendatenschutz

Ende Januar eröffnete der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit gegen eine bekannte Modekette ein Bußgeldverfahren wegen Verstöße gegen den Beschäftigtendatenschutz. Mitarbeiter des Unternehmens am Standort Nürnberg sammelten bei Gesprächen mit ihren Angestellten in großem Umfang private Informationen über diese. Die Gesprächsnotizen, die unter anderem Angaben zu privaten Beziehungen und zum Gesundheitszustand der Arbeitnehmer enthielten, wurden in einem Dateiordner gespeichert. Die betroffenen Mitarbeiter hatten keine Kenntnis davon, dass diese Daten gesammelt wurden, bis einige Angestellte den Ordner zufällig entdeckten. Bei den betreffenden Daten handelt es sich um personenbezogene Daten im Sinne der DS-GVO, wobei Gesundheitsdaten nach Art. 9 DS-GVO als besonders sensibel und schützenswert gelten und nur in wenigen Ausnahmefällen verarbeitet werden dürfen.

Das Unternehmen rechtfertigte die Speicherung der Daten damit, dass diese zur besseren Planung der Arbeitsschichten benötigt würden. Ob diese Argumentation vor der Aufsichtsbehörde Bestand hat, scheint mehr als fraglich. Das Ausspionieren der Mitarbeiter dürfte wohl kaum erforderlich sein, um einen Schichtplan zu erstellen. Insbesondere da das Unternehmen, nachdem es den Vorfall der Aufsichtsbehörde gemeldet hatte, ankündigte, den Ordner zeitnah löschen zu wollen. Erschwerend kommt hinzu, dass die Daten heimlich gesammelt und die Betroffenen nicht bzw. erst nach Bekanntwerden informiert wurden. Es bleibt abzuwarten, wie der Hamburgische Datenschutzbeauftragte den Vorfall beurteilt und ob ein Bußgeld verhängt wird.

Norwegen/England: Beschwerde wegen unzulässiger Datenverarbeitung durch Tracking zu Werbezwecken

Bis jetzt noch zu keinem Bußgeld, aber zu einer Beschwerde bei der norwegischen Datenschutz-Aufsichtsbehörde hat die unzulässige Weitergabe von Userdaten des Betreibers einer Dating-App an Werbekunden geführt. Eine norwegische Verbraucherschutzagentur testete im Rahmen einer Studie insgesamt zehn Apps und analysierte die Datenschutzerklärungen der Anbieter sowie direkt zu beobachtende Datenkommunikation der Anwendungen. Dabei stellten die Verbraucherschützer fest, dass die Apps personenbezogene Daten von Usern sammelten, darunter Standortdaten und eindeutige Kennungen der verwendeten Smartphones wie die IP-Adresse. Die personenbezogenen Daten wurden an insgesamt 135 Drittfirmen übermittelt, die die Daten zu Werbezwecken nutzten. Die Anbieter informierten die User weder ausreichend, noch hatten diese dem Tracking und Profiling zugestimmt. Die Unternehmen verwendeten das Opt-out-Verfahren, das heißt, der User hätte dem Tracking und Profiling widersprechen müssen, wobei die untersuchten Apps diese Option gar nicht anboten.

Zu einem ähnlichen Ergebnis kam eine gemeinsame Studie einer englischen, einer amerikanischen und einer dänischen Universität. Sie untersuchten die 100 meistbesuchten Websites in England und stellen dabei fest, dass nur rund 12 Prozent datenschutzkonform aufgebaut waren. Es waren einwilligungsbedürftige Anwendungen wie Tracking-Cookies auf den Websites eingebunden, die personenbezogene Daten des Users verarbeiteten, ohne dass eine wirksame Einwilligung eingeholt wurde. Die Cookie-Banner entsprachen nicht den Anforderungen der DS-GVO, die meisten Websites unterstellten die Zustimmung durch die Nutzung der Seite oder verwendeten das Opt-out-Verfahren.