Seit dem Inkrafttreten der DS-GVO sind bereits mehrere Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie der Bewertung eines Auskunftsanspruchs, die Zulässigkeit der Videoaufsicht bei Prüfungen oder den Anforderungen an eine Einwilligung für Telefonwerbung sowie über aktuell verhängte interessante Bußgelder aus Deutschland, den Niederlanden, Spanien, Frankreich und Italien. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von unzulässiger Werbung über Verstöße auf Websites bei der Cookienutzung und rechtswidriger Videoüberwachung bis hin zu mangelhaften TOMs.

Urteile

LG München: Schadensersatz wegen Nutzung von Google Fonts

Ein Website-Betreiber nutzte auf seiner Seite Google Fonts. Durch den Einsatz dieses externen Dienstes wurde beim Aufruf der Website über die Google-Server die IP-Adressen der Website-Besucher direkt an Google übermittelt. Dieses Vorgehen ist nach Ansicht des Landgerichts (LG) München rechtswidrig, da es keine Rechtsgrundlage für die Übermittlung gibt. Aus diesem Grund hat das Landgericht den Website-Betreiber zu einem Schadensersatz von 100 Euro verurteilt. Das Urteil ist noch nicht rechtskräftig.

(LG München, Urteil v. 20.01.2022, Az.: 3 O 17493/20)

LG München: Schadensersatz nach Datenleck

Bei einem Finanzdienstleistungsunternehmen, einem Online-Broker, kam es im Jahr 2020 zu einer Datenpanne, als sich ein ehemaliger Partner insgesamt drei Mal unbefugt Zugriff auf Kundendaten des Unternehmens verschafften. Das ehemalige Partnerunternehmen zog die Daten ab und bot sie im Darknet zum Verkauf an. Betroffen waren mehrere hunderttausend Datensätze von rund 33.000 Nutzern. Einer der betroffenen Kunden forderte in Folge des Vorfalls Schadensersatz von dem Unternehmen. Das Landgericht (LG) München sprach dem Betroffenen im darauffolgenden Verfahren einen Schadensersatz in Höhe von 2.500 Euro zu. Grund der Entscheidung waren die unzureichenden technischen und organisatorischen Maßnahmen zur Sicherstellung einer sicheren Datenverarbeitung.

(LG München, Urteil v. 09.12.2021, Az.: 31 O 16606/20)

LG Mainz: Schadensersatz wegen rechtswidrigem Schufaeintrag

Ausgangspunkt des Rechtsstreits war eine nicht beglichene Stromrechnung eines Betroffenen von Juni 2018. Nach erfolglosem Mahnverfahren unter Einbeziehung eines Inkasso-Unternehmens folgte schließlich ein Vollstreckungsbescheid über die Forderung. Am selben Tag erfolgte auch ein Negativeintrag bei der Schufa. Kurze darauf beglich der Betroffene den ausstehenden Betrag und forderte die Schufa im Rahmen einer einstweiligen Verfügung zur Löschung des Eintrags auf. Die Löschung erfolgte nur wenige Tage später. Der Betroffene empfand die Einmeldung des Stromversorgers bei der Schufa als rechtswidrig und forderte nach der Löschung auch Schadensersatz. Das Landgericht (LG) Mainz folgte der Argumentation des Betroffenen und sprach ihm einen Schadensersatz in Höhe von 5.000 Euro wegen der erlittenen wirtschaftlichen Nachteile zu.

(LG Mainz, Urteil v. 12.11.2021, Az.: 3 O 12/20)

AG Pfaffenhofen: 300 Euro Schadensersatz für eine Werbe-E-Mail

Eine Werbe-E-Mail, die an eine im Internet frei zugängliche E-Mail-Adresse geschickt wird, muss zwingend den Datenschutzvorschriften der DS-GVO genügen. Die Verwendung einer solchen E-Mail-Adresse, die unzweifelhaft personenbezogen ist, stellt eine Verarbeitung nach Art. 4 Nr. 2 DS-GVO dar. Eine Rechtsgrundlage gem. Art. 6 Abs. 1 DS-GVO lag nicht vor, denn weder hatte der Kläger eine Einwilligung Art. 6 Abs. 1 S. 1 lit. a) DS-GVO, Art. 7 DS-GVO erteilt noch lag ein berechtigtes Interesse gem. Art. 6 Abs. 1 S. 1 lit. f) DS-GVO vor. Dies führt nach Art. 82 DS-GVO zu einem Schadensersatzanspruch.

(AG Pfaffenhofen, Urteil v. 09.09.2021, Az.: 2 C 133/21)

OLG Schleswig-Holstein: Löschanspruch bei Schufa sechs Monate nach Restschuldbefreiung

Fallbeschreibung

Über das Vermögen eines Schuldners wurde ein Insolvenzverfahren eröffnet und dies gemäß der Verordnung zu öffentlichen Bekanntmachungen in Insolvenzverfahren im Internet (InsoBekVO) auf dem amtlichen Internetportal veröffentlicht. Im weiteren Verlauf wurde eine Restschuldbefreiung erteilt. Die Wirtschaftsauskunftei Schufa übernahm die Informationen in ihren Datenbestand, um sie bei Auskunftsersuchen zu dem Schuldner berücksichtigen zu können. Da der Schufa-Eintrag für die betroffene Person erhebliche wirtschaftliche und finanzielle Nachteile mit sich brachte (unter anderem konnte kein Bankkonto eröffnet werden), beantragte er bei der Schufa die Löschung der Daten. Die Auskunftei lehnte dies ab und verwies auf die Verhaltensregeln des Verbandes „Die Wirtschaftsauskunfteien e.V.“, die eine Löschfrist von drei Jahren nach Speicherung vorsahen. Daraufhin reichte der Schuldner erfolgreich Klage ein.

Entscheidung des OLG Schleswig-Holstein

Nachdem das Landgericht (LG) Kiel im ersten Verfahren der beklagten Auskunftei Recht gab (Urteil v. 17.09.2020, Az.: 11 O 21/20) und den Einspruch des Klägers abwies (Urteil v. 12.02.2021, Az.: 2 O 10/21), legte dieser Berufung vor dem Oberlandesgericht (OLG) Schleswig-Holstein ein. Das OLG hob das Versäumnisurteil des LG auf und entscheid, dass der Kläger sechs Monate, nachdem die Entscheidung des Amtsgerichts (AG) über die Restschuldbefreiung rechtskräftig geworden ist, die Löschung seiner Daten verlangen kann. Diese Frist ist in der InsoBekVO vorgesehen, eine längere Speicherung und Verarbeitung seitens der Schufa ist nach Ansicht des Gerichts unzulässig. Die Begründung der Schufa, dass diese Informationen bonitätsrelevant und von berechtigtem Interesse für Vertragspartner seien, erkannte das OLG nicht an.

(OLG Schleswig-Holstein, Urteil v. 02.07.2021, Az.: 17 U 15/21)

Urteil des LG Bonn: Kein Schadensersatz bei verspäteter Auskunftserteilung

Fallbeschreibung

Eine Mandantin machte gegenüber ihrem ehemaligen Anwalt das Auskunftsrecht nach Art. 15 DS-GVO geltend. Dieser erteilte die Auskunft gegenüber der Betroffenen allerdings erst nach acht Monaten, obwohl Art. 12 Abs. 3 S. 1 DS-GVO eine grundsätzliche Frist von maximal einem Monat nach Eingang des Antrags vorsieht. Daraufhin verlangte die betroffene Mandantin immateriellen Schadensersatz („Schmerzensgeld“) nach Art. 82 DS-GVO.

Entscheidung des LG Bonn

Das Landgericht (LG) Bonn lehnte den Schadensersatzanspruch der betroffenen Mandantin ab, da sie keinen nachvollziehbaren Schaden darlegen konnte. Nach Ansicht des Gerichts stellt das Warten auf eine Auskunft allein noch keinen (immateriellen) Schaden dar. Vielmehr muss zumindest eine spürbare Beeinträchtigung nachweisbar sein und das unabhängig davon, ob eine Erblichkeitsschwelle zugrunde gelegt wird oder nicht. Interessant ist außerdem die Entscheidung zum Streitwert: Das LG Bonn vertritt die Meinung, dass bei einer Datenauskunft kein verallgemeinerter, pauschaler Streitwert festgesetzt werden kann. Das Auskunftsverlangen kann verschiedenen Zwecken dienen, aus denen sich unterschiedliche Wertinteressen ergeben, die bei der Streitwertfeststellung zu berücksichtigen sind. Sind keine Besonderheiten erkennbar, hält das Gericht einen Streitwert von 500 Euro für angemessen.

(LG Bonn, Urteil v. 01.07.2021, Az.: 15 O 372/20)

Urteil des BGH: Auskunftsanspruch umfasst auch interne Vermerke

Fallbeschreibung

Ein Mann schloss 1997 einen Vertrag über eine Lebensversicherung ab und machte dann im Jahr 2016 geltend, dass der Vertrag nie zustande gekommen wäre. Dementsprechend verlangte er von dem Versicherungsunternehmen, die gezahlten Prämien zurückzuerstatten. Nachdem die Versicherung dies ablehnte, forderte er zunächst eine Datenauskunft nach § 34 BDSG. Das Unternehmen erteilte daraufhin mehrfach Auskunft – nach Inkrafttreten der DS-GVO auf gem. Art. 15 DS-GVO – der Mann empfand diese allerdings stets als unvollständig. Daraufhin reichte er mehrfach Klage ein, die sowohl vom Amtsgericht (AG) Brühl (Urteil v. 02.05.2018, Az.: 24 C 407/17) als auch vom Landgericht (LG) Köln (Urteil v. 19.06.2019, Az.: 26 S 13/18) abgewiesen wurde.

Entscheidung des BGH

Im Revisionsverfahren vor dem Bundesgerichtshof (BGH) hatte der klagende Mann allerdings Erfolg: Die Auskunft wurde unvollständig erteilt, da die Korrespondenz mit dem Kläger sowie interne (Telefon-)Vermerke nicht enthalten waren. Nach Ansicht des BGH ist der Begriff „personenbezogene Daten“ weit auszulegen und nicht auf sensible oder private Informationen beschränkt. Umfasst sind sowohl objektive als auch subjektive Informationen (z. B. in Stellungnahmen oder Beurteilungen), wenn sie sich auf eine bestimmte Person beziehen. Das Auskunftsrecht ist entsprechend ebenfalls weitreichend und umfasst auch den Inhalt von Schreiben, die der Betroffene bereits kennt, da die Kenntnis dem Recht auf Auskunft nicht schadet. Unternehmensinterne Vermerke und Kommunikation sind ebenfalls zu beauskunften, sofern Informationen zum Betroffenen enthalten sind. Eine abschließende Entscheidung steht allerdings noch aus, da die beklagte Versicherung anführte, dass der Zweck hinter dem Auskunftsverlangen nichts mit Datenschutz zu tun hat. Die Beweiserhebung zur Klärung der Frage muss bei der Vorinstanz erfolgen, da der BGH ausschließlich Rechtsfragen klärt.

(BGH, Urteil v. 15.06.2021, Az. VI ZR 576/19)

Urteil des OVG NRW: Recht auf kostenlose Kopie von Examensklausuren

Fallbeschreibung

Ein Absolvent des Staatsexamens beantragte beim Landesjustizprüfungsamt (LJPA) NRW Einsicht in seine Aufsichtsarbeiten sowie die Prüfergutachten und bat gleichzeitig um eine Kopie der Unterlagen. Nachdem er die Kopierkosten in Höhe von rund 70 Euro nicht übernehmen wollte, verweigerte das LJPA NRW die Übersendung der Dokumente. Daraufhin klagte der Betroffene auf eine kostenlose Bereitstellung der Kopie gem. Art. 15 Abs. 3 DS-GVO. Das Verwaltungsgericht (VG) Gelsenkirchen gab dem Kläger recht und bestätigte den Anspruch (Urteil v. 27.04.2020, Az.: 20 K 6392/18).

Entscheidung des OVG NRW

Das Oberverwaltungsgericht (OVG) Nordrhein-Westfalen (NRW) teilte die Ansicht der Vorgängerinstanz und wies die Berufung zurück. Nach Ansicht des Gerichts fallen sowohl die Aufsichtsarbeiten als auch die Prüfergutachten unter Art. 15 Abs. 3 DS-GVO. Das LJPA NRW muss dem Betroffenen dementsprechend kostenlos eine Kopie der Unterlagen zur Verfügung stellen.

(OVG NRW, Urteil v. 08.06.2021, Az.: 16 A 1582/20)

ArbG Münster: Schadensersatz für Werbung mit Foto ohne Einwilligung

In dem hier entschiedenen Fall hat der Arbeitgeber der Klägerin ein Lichtbild von der Frau ohne eine schriftliche Einverständniserklärung in einer Werbebroschüre verwendet. Aus diesem Grund hat die Mitarbeiterin einen Anspruch auf Schadensersatz bzw. Schmerzensgeld. Das Arbeitsgericht (ArbG) Münster sprach ihr nun einen Anspruch in Höhe von 5000 Euro zu.

(ArbG Münster, Urteil v. 25.03.2021, Az.: 3 Ca 391/20)

OVG Saarland: Unzulässigkeit von Telefonwerbung

Für die Telefonwerbung gegenüber Verbrauchern ist deren wirksame Einwilligung erforderlich, wobei hier ein Double-Opt-In-Verfahren über E-Mail nicht geeignet ist. Da nicht zwangsläufig ein Zusammenhang zwischen der Rufnummer und der E-Mail-Adresse besteht, ist eine Dokumentation der Einwilligung über das Double-Opt-In-Verfahren über E-Mail nicht möglich. Dadurch fehlt es an einer Nachweisbarkeit der Einwilligung und die Voraussetzungen der Art. 6 Abs. 1 S. 1 lit. a), 7 DS-GVO werden nicht erfüllt. Ein Rückgriff auf Art. 6 Abs. 1 S. 1 lit. f) DS-GVO (überwiegendes berechtigtes Interesse) ist aufgrund von § 7 Abs. 2 Nr. 2 UWG, der die Zulässigkeit von Werbemaßnehmen regelt, nicht möglich.

(OVG Saarland, Beschluss v. 16.02.2021, Az.: 2 A 355/19)

Bußgelder

Belgien: 250.000 Euro wegen Datenschutzverstößen bei verbreitetem Mechanismus für Online-Marketing

Bei der belgischen Datenschutzaufsichtsbehörde gingen seit 2019 mehrere Beschwerden gegen ein Unternehmen ein, das ein „Transparency & Consent Framework“ (TCF) entwickelt hatte. Das TCF erleichtert die Verwaltung von Nutzerpräferenzen für personalisierte Online-Werbung und spielt eine zentrale Rolle für automatisierte und sofortige Online-Auktionen von Nutzerprofilen für den An- und Verkauf von Werbeflächen im Internet (Real Time Bidding, RTB). Rufen User eine Website oder Anwendung auf, die Werbeflächen enthält, können sie beim ersten Aufruf über eine Schnittstelle mit einem Consent Management System Einwilligungen in verschiedene Verarbeitungen erteilen. Das TCF speichert diese Entscheidung als sog. „TC String“ und teilt sie mit Teilnehmern am OpenRTB-System. Mithilfe der TC-Strings werden Nutzerprofile zusammengestellt, welche die Grundlage für die Echtzeit-Werbeauktionen bilden.

Die belgische Aufsichtsbehörde stellte fest, dass es sich bereits bei den TC Strings um personenbezogene Daten handelt, da Betroffene über die Kombination mit der IP-Adresse identifiziert werden können. Für die Verarbeitung dieser Daten konnte der Entwickler des TCF keine Rechtsgrundlage benennen, die Rechtsgrundlage für die Weiterverarbeitung bei den Werbetreibenden war ebenfalls unzureichend. Hinzu kamen Verstöße gegen Transparenzpflichten, da den Usern die Art und der Umfang der Verarbeitung nicht ausreichend kenntlich gemacht wurde. Des Weiteren kam das Unternehmen verschiedenen weiteren Pflichten aus der DS-GVO nicht nach, darunter die Rechenschaftspflicht, die Pflicht zur Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten, die Erstellung einer Datenschutz-Folgenabschätzung, die Pflicht zur Benennung eines Datenschutzbeauftragten und die Pflicht zur Sicherstellung eines dem Risiko angemessenen Schutzniveaus für personenbezogene Daten. Das Unternehmen lehnt die Verantwortlichkeit für die Weiterverarbeitung der Daten ab und hat angekündigt, gegen die Entscheidung rechtliche Schritte einzuleiten.

Irland: 60.000 Euro wegen unzureichender Schutzmaßnahmen und verspäteter Meldung

In Irland wurde gegen einen Lehrerrat ein Bußgeld in Höhe von 60.000 Euro, nachdem es bei dem Rat in Folge eines Phishing-Angriffs zu einem Datenleck kam. Nach Ansicht der irischen Aufsichtsbehörde hatte die Organisation dem Risiko angemessenes Schutzniveau der Daten sichergestellt. Hinzu kam, dass der Rat den Vorfall erst nach drei Wochen und damit nicht fristgerecht an die Aufsichtsbehörde gemeldet hatte.

Österreich: 8.000.000 Euro wegen Datenschutzverstoß im Kundenbindungsprogramm

Die österreichische Aufsichtsbehörde verhängte gegen den Rewe-Konzern ein Bußgeld in Höhe von 8 Millionen Euro. Dem Lebensmittelhändler werden nach einem Bericht in den Salzburger Nachrichten Datenschutzverstöße beim gemeinsamen Kundenbindungsprogramm von Rewe, OMV und weiteren Partnern vorgeworfen. Die Muttergesellschaft Rewe International AG, gegen die das Bußgeld verhängt wurde, legte allerdings Rechtsmittel gegen den Bescheid ein, da die Datenschutzverletzungen von einem rechtlich selbstständigen Tochterunternehmen begangen wurden. Die Muttergesellschaft trage keinerlei Verantwortung für die rechtswidrige Datenverarbeitung. Weitere Informationen zu den konkreten Verstößen und dem Fall sind aktuell nicht bekannt.

Bayern: 7.000 Euro wegen Verweigerung des Zutritts gegenüber der Aufsichtsbehörde

Ein Unternehmen in Bayern verweigerte der zuständigen Aufsichtsbehörde bei einer unangekündigten Vorortkontrolle den Zutritt zu seinen Geschäftsräumen und den Datenverarbeitungsanlagen. Zu solchen Kontrollen ist die Aufsichtsbehörde gem. Art. 58 Abs. 1 lit. f) DS-GVO allerdings befugt. Daraufhin verhängte das Bayerische Landesamt für Datenschutzaufsicht ein Bußgeld in Höhe von 20.000 Euro gegen die verantwortliche Stelle. Das Unternehmen legte gegen den Bescheid Rechtsmittel ein, woraufhin das Bußgeld auf 7.000 Euro reduziert wurde.

Niedersachen: 65.500 Euro wegen Sicherheitsrisiken durch veraltete Webshop-Anwendung

Bei den Ermittlungen in Folge einer Datenpannenmeldung gem. Art. 33 DS-GVO gegen einen Webshop-Betreiber, stellte die niedersächsische Aufsichtsbehörde fest, dass im Webshop eine veraltete Version einer Webshop-Anwendung verwendet wurde. Diese wurde vom Softwarehersteller seit 2014 nicht mehr mit Sicherheitsupdates beliefert, was erhebliche Sicherheitsrisiken mit sich brachte. Veraltete und nicht dem Stand der Technik entsprechende Sicherheitsmaßnahmen ermöglichten es unter anderem, mit geringem Aufwand die Passwörter der Shop-Kunden im Klartext zu erhalten. Damit verletzte der Seitenbetreiber nach Ansicht der Aufsichtsbehörde seine Pflicht, durch technische und organisatorische Maßnahmen ein angemessenes Schutzniveau für personenbezogene Daten zu gewährleisten. Diesen Verstoß ahndete die niedersächsische Datenschutzaufsicht mit einem Bußgeld in Höhe von 65.500 Euro.

Österreich: 2 Millionen Euro wegen Profiling ohne wirksame Einwilligung

Der Betreiber eines Kundenbindungsprogramms erstellte individuelle Kundenprofile, um möglichst zielgenaues Marketing betreiben und Kaufentscheidungen beeinflussen zu können (sog. Profiling). Hierfür ist allerdings die Einwilligung der betroffenen Personen erforderlich, anderenfalls ist die Verarbeitung personenbezogener Daten unzulässig. Das Unternehmen holte zwar die benötigten Zustimmungen ein, allerdings waren die Erklärungen versteckt und damit unwirksam. Die Informationen über die Datenverarbeitung waren so positioniert und formuliert, dass die Einwilligung zum Profiling effektiv verschleiert wurde, da sie für die betroffenen nicht erkennbar war. Dieses Vorgehen entspricht nicht den Anforderungen an eine wirksame Einwilligung, weshalb das Profiling der rund 2,3 Millionen betroffenen Nutzer unrechtmäßig erfolgte.

Nach einem ersten Verfahren bei der Aufsichtsbehörde stellte das Unternehmen den Prozess um, sodass die Einwilligungen ab dann ordnungsgemäß eingeholt wurden. Allerdings wurde die Verarbeitung der bereits erhobenen Daten, für die keine wirksame Zustimmung vorlag, nicht eingestellt. Aufgrund der andauernden unrechtmäßigen Verarbeitung verhängte die österreichische Datenschutzaufsicht ein Bußgeld in Höhe von 2 Millionen Euro gegen das Unternehmen. Dabei wurde die eher schlechte wirtschaftliche Situation aufgrund der COVID-19-Pandemie mildernd berücksichtigt.

Italien: 2,5 Millionen Euro wegen zahlreicher Verstöße im System zur Fahrerverwaltung

Ein italienischer Essenlieferdienst verwendete für die Verwaltung von rund 8.000 Fahrern ein zentralisiertes System, das von der Muttergesellschaft verwaltet wurde. Über eine App, die auf den Smartphones der Fahrer installiert und mit deren Telefonnummer und E-Mail-Adresse verknüpft war, wurden Arbeitsschichten verwaltet. Bei den hinter der Auswertung stehenden Algorithmen gab es allerdings einige Missstände, unter anderem gab es kein System zur Gewährleistung der Genauigkeit und Korrektheit der Ergebnisse und die betreffenden Fahrer wurden nicht ausreichend über die Funktionsweise informiert. Darüber hinaus stellte die Aufsichtsbehörde Verstöße gegen die Grundsätze der Datenminimierung und der Speicherbegrenzung fest. Über das System wurden mehr Daten erhoben und verwertet als erforderlich (z. B. Kommunikation mit dem Kundendienst, detaillierte Standortbestimmung) und die Aufbewahrungsfrist betrug pauschal sechs Jahre.

Hinzu kamen weitere Verstöße wegen unzureichender Schutzmaßnahmen, dem Fehlen einer Datenschutzfolgenabschätzung trotz der großen Menge an verarbeiteten Daten, der Verletzung der Prinzipien von Datenschutz durch Technikgestaltung und datenschutzfreundlicher Voreinstellungen. Das Verzeichnis der Verarbeitungstätigkeiten entsprach ebenfalls nicht den gesetzlichen Anforderungen, insbesondere fehlte eine detaillierte Beschreibung der technischen und organisatorischen Maßnahmen. Darüber hinaus wurden die Kontaktdaten des betrieblichen Datenschutzbeauftragten der Aufsichtsbehörde erst verspätet mitgeteilt.

Spanien: 1.000 Euro wegen fehlender Kontaktdaten des Verantwortlichen auf Plakat zur Videoüberwachung

Ein Unternehmen hatte es unterlassen, auf einem Plakat, das über die Videoüberwachung informieren sollte, die Kontaktdaten der verantwortlichen Stelle anzugeben. Da dies einen Pflichtinhalt nach Art. 13 Abs. 1 lit. a) DS-GVO darstellt, sah die spanische Aufsichtsbehörde darin einen Verstoß gegen Informationspflichten und verhängte ein Bußgeld in Höhe von 1.000 Euro gegen den Betreiber der Videoüberwachung.

Niederlande: 15.000 Euro wegen unzulässiger Erhebung von Gesundheitsdaten von Beschäftigten

Ein niederländisches Unternehmen erfragte und speicherte nicht nur Krankheitstagen, sondern auch Krankheitsursachen, spezifische Beschwerden sowie Schmerzen der betroffenen Beschäftigten. Wie die Aufsichtsbehörde betonte, ist bereits die Frage nach Gründen und Ursachen unzulässig. Ausnahmen gibt es nur, wenn die Informationen für das Beschäftigungsverhältnis bzw. für Gefahrensituationen relevant ist (z. B. Epilepsie). Eine solch umfangreiche Dokumentation sei nicht erforderlich. Hinzu kam, dass bei dem Online-Formular, über das Beschäftigte Krankheitstage melden konnten, nur unzureichende Sicherheitsmaßnehmen getroffen wurden, da der Zugriff mittels einfachen Logins (Benutzername und Passwort) erfolgte. Dies sei gerade bei Gesundheitsdaten nicht ausreichend.

Niederlande: 12.000 Euro wegen unverschlüsselter Übermittlung personenbezogener Daten

Die niederländische Aufsichtsbehörde verhängte gegen eine orthopädische Praxis ein Bußgeld wegen unzureichender Sicherheitsmaßnahmen nach Art. 32 DS-GVO. Die Praxis stellte auf ihrer Website ein Formular zur Verfügung, um sich als Patient zu registrieren. Neben einigen Pflichtfeldern mit Angaben zur Person des Patienten konnten in dem zugehörigen Formular auch Informationen zu Eltern, Haus- und Zahnärzten sowie der Krankenkasse angegeben werden. Die Ermittlungen der Aufsichtsbehörde ergaben allerdings, dass die Übermittlung an die Praxis ungeschützt über eine unverschlüsselte Verbindung erfolgte. Damit war kein angemessenes Schutzniveau für die Daten gewährleistet.

Italien: 40.000 Euro wegen unzulässiger Datenverarbeitung im Produktivitätsmanagementsystem

Ein Unternehmen verwendete ein Produktivitätsmanagementsystem (PPMS) und dokumentierte dort Performance-Daten von Beschäftigten. Die gesammelten Daten sollten für die Bewertung von Arbeitsfortschritten sowie für die Identifikation etwaiger Sicherheits-, Qualitäts- oder Logistikprobleme verwendet werden. Die Informationen wurden auf unbestimmte Zeit gespeichert. Durch die Zusammenführung mit anderen Verzeichnissen und Protokollen war es allerdings möglich, Rückschlüsse auf die Beschäftigten zu ziehen. Über diese Verarbeitung wurden die Beschäftigten bei der Datenerhebung auch nicht ordnungsgemäß informiert. Die Aufsichtsbehörde ahndete die Verstöße gegen die Prinzipien der Rechtmäßigkeit, Transparenz und Speicherbegrenzung mit einem Bußgeld in Höhe von 40.000 Euro.