Seit dem Inkrafttreten der DS-GVO sind bereits mehrere Jahre vergangen, weshalb es mittlerweile zu einigen Fragestellungen des Datenschutzes gerichtliche Urteile gibt. Dieser Artikel gibt einen Überblick über aktuelle datenschutzrechtliche Gerichtsentscheidungen zu Themen wie der Bewertung eines Auskunftsanspruchs, die Zulässigkeit der Videoaufsicht bei Prüfungen oder den Anforderungen an eine Einwilligung für Telefonwerbung sowie über aktuell verhängte interessante Bußgelder aus Deutschland, den Niederlanden, Spanien, Frankreich und Italien. Der Strauß der sanktionierten Pflichtverletzungen ist bunt und reicht von unzulässiger Werbung über Verstöße auf Websites bei der Cookienutzung und rechtswidriger Videoüberwachung bis hin zu mangelhaften TOMs. Besonders hoch fiel mit 10,4 Millionen Euro in Deutschland ein Bußgeld wegen unzulässiger Videoüberwachung aus.

LAG Berlin-Brandenburg: Auskunftsanspruch regelmäßig nicht vermögensrechtlicher Natur

Fallbeschreibung

Ein Arbeitnehmer klagte vor dem Arbeitsgericht (ArbG) Berlin, um sich gegen seine Kündigung zur Wehr zu setzen und offene Urlaubsansprüche geltend zu machen. Teil des Verfahrens war auch ein Auskunftsersuchen des Arbeitnehmers nach Art. 15 DS-GVO. Das Verfahren endete mit einem Vergleich, der unter anderem beinhaltete, dass der verklagte Arbeitgeber die Auskunft nicht erteilen muss (ArbG Berlin, Beschluss v. 25.11.2020, Az.: 3 Ca 12278/20). Das Arbeitsgericht bewertete den Auskunftsanspruch des Klägers dabei mit 500 Euro (Streitwert), was dieser allerdings als zu gering ansah und deshalb Beschwerde einreichte.

Entscheidung des LAG Berlin-Brandenburg

Das Landesarbeitsgericht (LAG) Berlin-Brandenburg teilte die Einschätzung zum festgesetzten Streitwert der Vorgängerinstanz und wies die Beschwerde zurück. Nach Ansicht des Gerichts ist der Auskunftsanspruch an sich nicht vermögensrechtlicher Natur, auch wenn er Hinweise liefern kann, um ggf. Schadensersatzansprüche nach Art. 82 Abs. 1 DS-GVO geltend zu machen. Bei der Festsetzung des Streitwerts müssen die Gesamtumstände des Einzelfalls betrachtet werden. Soll mit der Auskunft ein reines Informationsinteresse des Betroffenen erfüllt werden, geht die herrschende Meinung von einem Wert von 500 Euro aus.

(LAG Berlin-Brandenburg (26. Kammer), Beschluss v. 18.03.2021, Az.: 26 Ta (Kost) 6110/20)

OVG Schleswig-Holstein & OVG Nordrhein-Westfalen: Videoaufsicht bei elektronischen Prüfungen an Uni zulässig

Fallbeschreibung

Zwei Studierende der Christian-Albrechts-Universität zu Kiel und der Fernuniversität Hagen reichten Klage gegen die Videoaufsicht bei elektronischen Prüfungen der Universitäten bzw. gegen die kurzfristige Speicherung der Aufzeichnungen ein. Beide Einrichtungen hatten aufgrund der Corona-Pandemie als Alternative für Präsenzprüfungen, die nicht durchgeführt werden konnten, die Möglichkeit einer elektronischen Prüfung in ihre Satzung/ Prüfungsordnung aufgenommen und Prüfungen digital durchgeführt. Zur Wahrung der Chancengleichheit wurden die Prüflinge, wie in der Satzung/ Prüfungsordnung vorgesehen, über Video- und Tonaufzeichnungen überwacht.

Entscheidung der OVG

Das Oberverwaltungsgericht (OVG) Schleswig-Holstein und das OVG Nordrhein-Westfalen wiesen die Klagen der Studierenden ab. Das OVG Schleswig-Holstein geht davon aus, dass die Satzungsregelung der Universität Kiel rechtmäßig und die Datenverarbeitung im Rahmen der Videoaufsicht erforderlich ist. Der Eingriff in die Privatsphäre diene der Sicherung der Chancengleichheit und sei damit gerechtfertigt. Zudem sei die Teilnahme an der elektronischen Prüfung insoweit freiwillig, dass die Studierenden alternativ auch zu einem späteren Zeitpunkt an einer Präsenzprüfung teilnehmen können.

(OVG Schleswig-Holstein, Beschluss v. 03.03.2021, Az.: 3 MR 7/21)

Das OVG Nordrhein-Westfalen lehnte den Eilantrag auf Aussetzen der kurzfristigen Speicherung der Bild- und Tonaufnahmen der Fernuniversität Hagen bei der Videoaufsicht ab, da die Rechtmäßigkeit der Datenverarbeitung nicht in einem Eilverfahren geklärt werden kann. Das Gericht geht allerdings davon aus, dass die Aufzeichnung sowie die vorübergehende Speicherung der Aufnahmen erforderlich und geeignet ist, um Täuschungsversuche zu unterbinden und, falls notwendig, Beweise sichern zu können.

(OVG Nordrhein-Westfalen, Beschluss v. 04.03.2021, Az.: 14 B 278/21.NE)

LAG Baden-Württemberg: Kein Schadensersatzanspruch ohne nachweisbaren Schaden

Fallbeschreibung

Ein Arbeitnehmer und Vorsitzender des Betriebsrates führte mit seinem Arbeitgeber über mehrere Jahre hinweg einen Rechtsstreit. Dieser umfasste unter anderem die Übermittlung personenbezogener Daten an die vormalige Konzernmutter des beklagten Unternehmens in die USA im Rahmen der Einführung eines cloudbasierten Personalinformationssystems, das zu Testzwecken mit Echtdaten von Mitarbeitern befüllt wurde. Dies geschah zunächst auf Basis einer „Duldungs-Betriebsvereinbarung“ und später auf zwei dauerhaften Betriebsvereinbarungen. Der betroffene Arbeitnehmer sah die Datenübermittlung an die Konzernmutter als unzulässig an, da es für die Verarbeitung keine Rechtsgrundlage gäbe und die Voraussetzungen für einen Datentransfer in ein Drittland nicht erfüllt seien. Die Befüllung der Personalsoftware sei ebenfalls unzulässig. Er forderte deshalb (immateriellen) Schadensersatz in Höhe von 3.000 Euro.

Entscheidung des LAG Baden-Württemberg

Das Landesarbeitsgericht Baden-Württemberg lehnte die Schadensersatzforderung des Klägers ab, da er nicht nachweisen konnte, einen Schaden erlitten zu haben. Zwar war die Datenübermittlung zumindest teilweise unzulässig, ein Verstoß gegen die Vorschriften der DS-GVO allein reicht allerdings nicht aus, um einen Schadensersatzanspruch nach Art. 82 DS-GVO zu begründen. Vielmehr muss der Betroffene nachweisen, dass ihm durch die unzulässige Datenverarbeitung tatsächlich Nachteile entstanden sind.

Noch interessanter als die Entscheidung bezüglich des Schadensersatzes ist allerdings die Prüfung der Rechtmäßigkeit der Datenverarbeitung zu Testzwecken. Bereits die Duldungs-Betriebsvereinbarung war nicht für alle betroffenen Daten als Rechtsgrundlage geeignet, da eine Vielzahl von Datenkategorien verarbeitet wurden, die dort nicht aufgeführt waren. Für Zwecke des Beschäftigungsverhältnisses (§ 26 BDSG) ist die Verarbeitung von Echtdaten zu Testzwecken ebenfalls nicht erforderlich, die Grundlage greift somit ebenfalls nicht. An der Erforderlichkeit scheitert auch Art. 6 Abs. 1 S. 1 lit. f) DS-GVO (überwiegendes berechtigtes Interesse), da fiktive Daten ebenso geeignet sind wie Echtdaten, um das System zu testen.

(LAG Baden-Württemberg, Urteil v. 25.02.2021, Az.: 17 Sa 37/20)

LG Berlin: Bußgeld gegen Deutsche Wohnen SE aufgrund eines Formfehlers unwirksam

Fallbeschreibung

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hatte im November 2019 ein Bußgeld in Höhe von 14,5 Millionen Euro gegen die Immobiliengesellschaft Deutsche Wohnen SE verhängt. Das Archivsystem des Unternehmens, in dem Mieterdaten gespeichert waren, entsprach nicht den datenschutzrechtlichen Anforderungen. Geahndet wurden Verstöße gegen Löschpflichten sowie unzulässige Datenverarbeitungen. Die Deutsche Wohnen SE legte gerichtlich Widerspruch gegen den Bußgeldbescheid ein.

Entscheidung des LG Berlin

Das Landgericht (LG) Berlin erklärte den Bußgeldbescheid der Berliner Aufsichtsbehörde für unwirksam – allerdings aufgrund eines Formfehlers. Die Datenschutzverstöße an sich waren deshalb nicht mehr Gegenstand des Verfahrens. Der Bescheid war allein deshalb unwirksam, weil keine konkrete Person benannt wurde, die für den Datenschutzverstoß verantwortlich ist. Die Gesellschaft als juristische Person ist selbst nicht handlungsfähig, weshalb ihr die Handlung ihrer Organmitglieder oder Repräsentanten zugerechnet werden muss. Eine solche natürliche Person, deren Verschulden der Gesellschaft zugerechnet werden soll, wurde in dem Bescheid allerdings nicht erwähnt.

(LG Berlin, Beschluss v. 18.02.2021, Az.: (526 OWi LG) 212 JsOWi 1/20)

Urteil des OVG Saarland: Double-Opt-In-Verfahren über E-Mail nicht für Telefonwerbung geeignet

Fallbeschreibung

Zwei Betroffene wandten sich 2018 an die Datenschutzaufsichtsbehörde, nachdem sie ohne Zustimmung Werbeanrufe von einem Callcenter erhielten. Die Behörde leitete daraufhin Ermittlungen gegen das verantwortliche Unternehmen ein, das im Bereich der Versicherungsvermittlung, der Vermögensanlage sowie der Finanzierung tätig ist. Hierbei wurde festgestellt, dass die Einwilligungen für die Datenverarbeitung im Rahmen der Telefonwerbung über ein Double-Opt-In-Verfahren über E-Mail eingeholt wurden. Die Online-Registrierung für ein Gewinnspiel sowie die Bestätigung über die E-Mail konnte das Unternehmen nachweisen und der Behörde vorlegen. Die E-Mail-Adressen waren den Betroffenen allerdings nicht bekannt. Die Datenschutzaufsicht untersagte dem werbenden Unternehmen daraufhin die Verwendung der Rufnummern für Werbezwecke, die über dieses Verfahren erhoben wurden und forderte zudem deren Löschung. Das Unternehmen klagte gegen den Beschluss und verlor in erster Instanz (VG Saarland, Urteil v. 29.10.2019, Az.: 1 K 732/19), woraufhin es Berufung einlegte.

Entscheidung des OVG Saarland

Ein Double-Opt-In-Verfahren über E-Mail ist nicht geeignet, um die für Telefonwerbung gegenüber Verbraucher erforderliche Einwilligung einzuholen. Es besteht nicht zwangsläufig ein Zusammenhang zwischen der Rufnummer und der E-Mail-Adresse, weshalb eine Bestätigung via E-Mail nicht als Nachweis ausreicht, dass wirklich die betroffene Person die Einwilligung erteilt hat. Dadurch sind die Voraussetzungen der Art. 6 Abs. 1 S. 1 lit. a), 7 DS-GVO an eine wirksame Einwilligung nicht erfüllt. Ein Rückgriff auf Art. 6 Abs. 1 S. 1 lit. f) DS-GVO (überwiegendes berechtigtes Interesse) ist nicht möglich, da § 7 Abs. 2 Nr. 2 UWG ausdrücklich die Zustimmung des Betroffenen fordert.

(OVG Saarland, Beschluss v. 16.02.2021, Az.: 2 A 355/19)

Urteil des LG Bonn: Unzureichendes Authentifizierungsverfahren ist Verstoß gegen Art. 32 DS-GVO

Fallbeschreibung

Hintergrund der Klage war ein Bußgeld in Höhe von 9,55 Millionen Euro, das der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI) gegen den Telekommunikationsdienstleister 1&1 Telekom GmbH Anfang Dezember 2019 verhängte. Nach Ansicht des BfDI sei das Authentifizierungsverfahren des telefonischen Kundenservices unzureichend. Die eingesetzten technischen und organisatorischen Maßnahmen würden den Ansprüchen des Art. 32 DS-GVO nicht genügen, was einen bußgeldbewährten Verstoß darstellt. Die 1&1 Telecom GmbH empfand die Höhe der Geldbuße als unangemessen hoch und legte Einspruch ein. Dabei wurde neben der Angemessenheit von Bußgeldern eine weitere Grundsatzfrage aufgeworfen, ob Unternehmen überhaupt haftbar gemacht werden können.

Entscheidung des LG Bonn

Das Landgericht Bonn teilte die Auffassung, dass ein unzureichendes Authentifizierungsverfahren einen Verstoß gegen Art. 32 DS-GVO darstellt. Zudem bestätigte es, dass Unternehmen für Datenschutzverstöße, die von natürlichen Personen verursacht wurden, haftbar gemacht werden können. Die Höhe des verhängten Bußgelds stufte das Gericht allerdings als unangemessen hoch ein und reduzierte die Geldbuße daher deutlich auf 900.000 Euro.

(LG Bonn, Urteil v. 11.11.2020, Az.: 29 OWi 1/20 LG)

Urteil des AG Hildesheim: Verkäufer ist für die Löschung der Daten von Altgeräten verantwortlich

Fallbeschreibung

Eine Privatperson kaufte bei einem Unternehmen einen neuen PC mit zwei Festplatten, bei dem kurze Zeit später allerdings ein Mangel auftrat. Daraufhin sendete er das Gerät an den Verkäufer zurück, ohne zuvor seine gespeicherten Daten zu löschen – obwohl er hierzu in den Hinweisen zur Retoure ausdrücklich aufgefordert wurde. Danach sei der Käufer für die Löschung seiner Daten selbst verantwortlich. Das Unternehmen bereitete die Hardware wieder auf und veräußerte sie an einen Dritten weiter. Es prüfte dabei aber nicht, ob auf den Festplatten noch Daten des ursprünglichen Käufers vorhanden waren. Dadurch erhielt der zweite Käufer Zugriff auf personenbezogene Daten des ersten Käufers. Zu den Daten zählte auch dessen Steuererklärungen.

Entscheidung des AG Hildesheim

Mit seinem kürzlich bekannt gewordenem Urteil sprach das Amtsgericht (AG) Hildesheim dem betroffenen Käufer Schadensersatz in Höhe von 800 Euro zu, da das Unternehmen einem unberechtigten Dritten die personenbezogenen Daten des Betroffenen ohne Rechtsgrundlage übermittelt und ihm Zugriff auf die Informationen verschafft hat. Das Unternehmen sei für die Löschung der Daten von den Festplatten verantwortlich gewesen, ein pauschaler Haftungsausschluss, der durch die Hinweise zur Retoure praktisch erwirkt werden soll, widerspricht dem Schutzzweck der DS-GVO.

(AG Hildesheim, Urteil v. 05.10.2020, Az.: 43 C 145/19)

Niederlande: 475.000 Euro wegen verspäteter Datenpannenmeldung

Die niederländische Aufsichtsbehörde verhängte gegen das Online-Reisebuchungsportal Booking.com ein Bußgeld in Höhe von 475.000 Euro wegen nicht fristgerechter Meldung eines Datenschutzverstoßes. Bereits im Jahr 2019 gelangten Kriminelle an Zugangsdaten von Hotelmitarbeitern in den Vereinigten Arabischen Emiraten und erhielten dadurch Zugriff auf Daten von Hotelgästen. Betroffen waren neben Namen, Adressen, Telefonnummern und Buchungsdetails in 283 Fällen auch Kreditkarteninformationen, in 97 Fällen inklusive Sicherheitsnummer. Anstatt innerhalb der gesetzlichen Frist von 72 Stunden, erfolgte die Meldung der Datenschutzverletzung an die zuständige Aufsichtsbehörde erst 25 Tage, nachdem das Unternehmen von dem Vorfall Kenntnis erlangte.

Baden-Württemberg: 300.000 Euro wegen fahrlässigem Verstoß gegen die Rechenschaftspflicht

Weil die Unternehmen Datenflüsse personenbezogener Daten nicht nachvollziehen konnten, ermittelte die zuständige Aufsichtsbehörde gegen die VfB Stuttgart 1893 AG sowie den zugehörigen Verein. Hintergrund war, dass Mitgliederdaten an Dritte übermittelt wurden, die Übermittlung der Daten allerdings nicht dokumentiert war. Dies stellt einen fahrlässigen Verstoß gegen die Rechenschaftspflicht dar, der bei der AG mit einem Bußgeld geahndet wurde. Bei der Bemessung der Bußgeldhöhe wurde die Kooperationsbereitschaft des Fußballbunden sowie die Umstrukturierung und Verbesserung des Datenschutzmanagements positiv berücksichtigt. Zudem unterstützt der Verein soziale Projekte zur datenschutzrechtlichen Sensibilisierung von Minderjährigen.

Spanien: 60.000 Euro wegen Sperrung statt Löschung von Daten nach Löschersuchen

In Italien reichte ein Betroffener Beschwerde bei der Aufsichtsbehörde ein, nachdem eine Bank nach seiner Löschanfrage die Daten lediglich vorübergehend gesperrt, aber nicht endgültig gelöscht hatte. Bekannt wurde dies, nachdem die betroffene Person ein neues Konto eröffnen wollte und anschließend ein Schreiben erhielt, um seine personenbezogenen Daten für die Kontoeröffnung wieder entsperren zu lassen. Über das beiliegende Formular sollte er das Recht auf Löschung „widerrufen“ und der Wiederverarbeitung seiner Daten zustimmen. Die Ermittlungen der spanischen Aufsichtsbehörde ergaben, dass dieses Vorgehen das protokollarisch festgeschriebene Standardvorgehen der Bank darstellt. Sie betonte, dass die DS-GVO einen Widerruf des Löschrechts nicht vorsieht und personenbezogene Daten nach einem rechtmäßigen Löschersuchen dauerhaft gelöscht werden müssen. Nur wenn eine Löschung aus rechtlichen Gründen nicht möglich ist, sind die Daten zu sperren. Das gilt auch dann, wenn eine neue Vertragsbeziehung zustande kommt und der neue Verarbeitungszweck dem alten entspricht. Da das Unternehmen sofort zahlte und die Schuld anerkannte, wurde das ursprüngliche Bußgeld von 100.000 Euro auf 60.000 Euro herabgesetzt.

Italien: 4,5 Millionen Euro wegen zahlreicher, systematischer Verstöße gegen die DS-GVO

Die italienische Aufsichtsbehörde verhängte gegen einen dort ansässigen Telekommunikationsdienstleister ein Bußgeld in Höhe von 4.501.868 Euro, da das Unternehmen unter anderem bei der Telefonwerbung über Callcenter die Datenschutzvorgaben weitgehend missachtet hat. Die verwendeten Rufnummern stammten von Partnerunternehmen, wobei über 7.542.000 betroffene Personen nicht in die Übermittlung der Daten und/ oder die Verwendung ihrer Daten für Telefonwerbung eingewilligt hatten. Zudem waren die Telefonnummern, unter denen die Anrufe getätigt wurden, häufig nicht im italienischen Register für Kommunikationsbetreiber gelistet. Bei dem angebotenen Rückruf-Service wurden die Betroffenen außerdem nicht darüber informiert, wie invasiv das Vorgehen hierbei ist – sie wurden innerhalb von 15 Minuten bis zu 20 Mal zurückgerufen. Damit war die Einwilligung unwirksam. Des Weiteren fehlte es an einer Widerspruchsmöglichkeit, da der Rückruf-Service nicht wieder deaktiviert werden konnte.

Neben den Verstößen bei Werbemaßnahmen hatte das Unternehmen keine ausreichenden Maßnahmen zum Schutz der personenbezogenen Daten ergriffen. Dies betraf insbesondere das CRM-System, da gespeicherte Telefonnummern offenkundig in die Hände von Kriminellen gelangt waren. Darüber hinaus wurden die Betroffenenrechte nach Art. 15 bis 22 DS-GVO nicht ordnungsgemäß erfüllt und infolgedessen das Prinzip der Datenrichtigkeit verletzt. Grund hierfür waren Verzögerungen uns Systemfehler bei Korrekturanforderungen betroffener Personen.

Bei der Bemessung der Höhe der Geldbuße wurden die Schwere der Verstöße und das damit einhergehende Hohe Risiko für Betroffene, die große Anzahl Betroffener, der lange Zeitraum der Verstöße und die Fahrlässigkeit des Unternehmens erschwerend berücksichtigt. Zudem hatte die Behörde bereits im Vorfeld ähnliche Anordnungen ausgesprochen, denen das Unternehmen nicht nachgekommen ist. Dennoch wurde die Kooperation im Rahmen des Bußgeldverfahrens positiv berücksichtigt.

Rumänien: 5.000 Euro wegen unzulässiger Videoüberwachung und Verletzung der Rechenschaftspflicht

Ein Nahrungsmittelhersteller hatte in der Kantine sowie in den Umkleideräumen seiner Beschäftigten Videokameras installiert. Die Kameras sollten dem Schutz der Ware dienen und die Mitarbeiter vor Diebstählen abschrecken. Nach Ansicht der rumänischen Aufsichtsbehörde sei eine solch umfangreiche Überwachung allerdings nicht erforderlich oder zweckdienlich, was einen Verstoß gegen die Prinzipien der Zweckbindung und Datenminimierung darstellt. Darüber hinaus konnte das Unternehmen nicht nachweisen, dass die Datenverarbeitung im Rahmen der Videoüberwachung rechtmäßig war und verstieß damit gegen die Rechenschaftspflicht. Die Aufsichtsbehörde ahndete die Verstöße mit einem Bußgeld in Höhe von 5.000 Euro.

Spanien: 200.000 Euro wegen des Versands von Rechnungen per E-Mail ohne Rechtsgrundlage

Ein Betroffener erhielt auch nach Ende des Vertragsverhältnisses mit Vodafone Spanien weiterhin Rechnungen per E-Mail, obwohl keine Beträge mehr offen waren. Er machte deshalb wiederholt sein Widerspruchsrecht geltend und forderte das Unternehmen zur Löschung seiner Daten auf. Diese Maßnahmen blieben allerdings ohne Erfolg, weshalb er sich an die zuständige Aufsichtsbehörde wendete. Erschwerend kam hinzu, dass gegen das Unternehmen in der gleichen Sache bereits zwei Bußgelder in Höhe von 75.000 Euro und 60.000 Euro (nach Reduzierung) verhängt wurden. Aufgrund des fortwährenden Verstoßes, des langen Zeitraums der unrechtmäßigen Verarbeitung und der groben Fahrlässigkeit stufte die Aufsichtsbehörde den Verstoß als besonders schwer ein. Sie verhängte ein Bußgeld in Höhe von 200.000 Euro, das nach Schuldanerkenntnis und aufgrund sofortiger Zahlung, auf 120.000 Euro reduziert.

Italien: 8.000 Euro Bußgeld wegen mangelhafter Zugriffkontrolle und fehlender Sicherheitskopie

Eine italienische Umweltschutzbehörde meldete der für sie zuständigen Aufsichtsbehörde einen Datenschutzverstoß, nachdem eine externe Festplatte verloren gegangen war. Auf dieser waren unter anderem Ausweiskopien, Steuerunterlagen, Lohnabrechnungen, Rückerstattungsunterlagen und Daten zu Gerichtsverfahren gespeichert. Die Behörde untersuchte den Vorfall und stellte dabei fest, dass die Festplatte, die mit einem behördeninternen Server verbunden war, nicht ausreichend vor unbefugtem Zugriff geschützt war. Vor dem Verlust befand sie sich in einem Raum, der für alle Mitarbeiter der Umweltschutzbehörde sowie einer zugehörigen Unternehmenssparte offen zugängliche war. Erschwerend kam hinzu, dass keine Sicherheitskopie angefertigt wurde, was den unwiderruflichen Verlust eines Großteils der Daten zur Folge hatte. Die mangelhaften Maßnahmen zum Schutz personenbezogener Daten ahndete die Aufsichtsbehörde mit einem Bußgeld in Höhe von 8.000 Euro.

Spanien: Bußgelder wegen fehlender Datenschutzinformationen und Cookie-Einstellungen auf Websites

Die spanische Aufsichtsbehörde verhängte gegen drei Websitebetreiber Bußgelder zwischen 2.000 Euro und 5.000 Euro wegen der Verletzung von Informationspflichten auf der Website sowie der fehlenden Möglichkeit, Cookies einzeln zu deaktivieren. Bemängelt wurde zum einen, dass auf der Website Kontaktformulare eingesetzt wurden, ohne dass die User auf der Homepage gem. Art. 13 DS-GVO über die damit verbundene Verarbeitung ihrer personenbezogenen Daten informiert wurden. Zudem gab es auf den Websites keine Möglichkeit, Cookies einzeln zu aktivieren bzw. zu deaktivieren. Die Betreiber verwiesen lediglich auf die Einstellungsmöglichkeiten im Browser. Ein Unternehmen stellte auf der Website weder Datenschutzinformationen noch eine Einstellungsmöglichkeit zur Verfügung, die beiden anderen verstießen jeweils nur gegen eine der Datenschutzpflichten.

Spanien: 2.000 Euro Bußgeld wegen der Ausrichtung inaktiver Kameras auf öffentlichen Raum

Der Inhaber hatte an der Fassade seines Ladens Kameras installiert, die unter anderem auf den Zugang zum Haus sowie zum angeschlossenen Warenlager ausgerichtet waren. Sie wurden lediglich zu Abschreckungszwecken angebracht und waren nicht in Betrieb, das heißt, es fand keine Aufzeichnung statt. Für die Betroffenen war allerdings nicht erkennbar, dass die Kameras inaktiv waren, weshalb die spanische Aufsichtsbehörde den Fall dennoch als Eingriff in die Privatsphäre einstufte. Aus diesem Grund war es unzulässig, die Kameras auf den öffentlichen Raum auszurichten. Der Ladenbesitzer erkannte die Schuld an und zahlte sofort, weshalb das ursprüngliche Bußgeld in Höhe von 2.000 Euro auf 1.200 Euro reduziert wurde.

Bußgelder wegen Direktwerbung ohne Einwilligung der Betroffenen

Die Aufsichtsbehörden in Großbritannien und Spanien verhängten im Januar und Februar 2021 mehrfach Bußgelder gegen Unternehmen, die im Rahmen von Direktmarketingkampagnen SMS-Nachrichten oder E-Mails an Betroffene versendete oder Werbeanrufe tätigten. Für diese Datenverarbeitungen lagen nicht nur keine Einwilligungen vor, sondern in einer Vielzahl der Fälle waren die Werbeempfänger sogar auf der Robinsonliste aufgeführt, da sie ihr Widerspruchsrecht geltend gemacht hatten.

Die britische Datenschutzaufsicht verhängte überwiegend Bußgelder in sechsstelliger Höhe wegen einer Vielzahl unzulässiger Werbeanrufe, teilweise wurden im Betrachtungszeitraum über eine Million Anrufe getätigt. In einigen Fällen stammten die Rufnummern von Dritten und die Unternehmen hatten nach dem Kauf der Kontaktdaten nicht ordnungsgemäß geprüft, ob die Einwilligungen der Betroffenen vorlagen.

In Spanien fielen die Bußgelder betragsmäßig geringer aus und lagen überwiegend im vierstelligen Bereich. Allerdings war dort die Anzahl der betroffenen Personen deutlich niedriger, größtenteils wurden die Werbe-E-Mails bzw. Textnachrichten nur in Einzelfällen ohne Einwilligung des Betroffenen versendet.

Norwegen: 19.331 Euro wegen fehlender Information über die Weiterleitung bei einem beruflichen E-Mail-Account

Nachdem das Beschäftigungsverhältnis mit einem ehemaligen Mitarbeiter beendet war, leitete ein Unternehmen E-Mails, die auf dessen beruflichen E-Mail-Account eingingen, automatisch an eine andere Stelle im Unternehmen weiter. Diese Weiterleitung erfolgte über mehrere Monate hinweg, wobei das Unternehmen den Betroffenen allerdings nicht über dieses Vorgehen informiert hatte. Die norwegische Aufsichtsbehörde ahndete den Verstoß gegen das Transparenzgebot mit einem Bußgeld in Höhe von umgerechnet 19.331 Euro.

Spanien: 40.000 Euro Bußgeld wegen unterlassener Auskunft trotz Aufforderung der Aufsichtsbehörde

Ein Betroffener reichte bei der spanischen Aufsichtsbeschwerde Beschwerde ein, nachdem ein Telekommunikationsdienstleister sein Auskunftsersuchen nicht ordnungsgemäß erfüllt hatte. Die Behörde hatte das Unternehmen aufgefordert, die Erfüllung des Auskunftsrechts nachzuweisen, um den Sachverhalt klären zu können. Da der Telekommunikations-dienstleister den geforderten Nachweis nicht innerhalb der Frist von zehn Tagen erbracht hatte, verhängte die Behörde ein Bußgeld in Höhe von 40.000 Euro. Dieses wurde auf 24.000 Euro reduziert, da das Unternehmen sofort zahlte und die Schuld anerkannte.

Italien: 20.000 Euro Bußgeld wegen Weiterbetrieb eines E-Mail-Accounts nach Beschäftigungsende

Ein Betroffener wendete sich an die italienische Aufsichtsbehörde, da sein ehemaliger Arbeitgeber seinen geschäftlichen E-Mail-Account nach Ende des Arbeitsverhältnisses weiterbetrieben und Zugriff auf die gesamte Kommunikation des Betroffenen hatte. Das Unternehmen unterließ es nicht nur, den Arbeitnehmer hierüber zu informieren. Vielmehr wurde ihm gegenüber kommuniziert, dass der Account nach Ende seiner Beschäftigung deaktiviert und alle Inhalte nach Ablauf von 60 Tagen gelöscht werden. In Folge der Beschwerde verhängte die italienische Datenschutzaufsicht ein Bußgeld in Höhe von 20.000 Euro.

Belgien: 10.000 Euro Bußgeld wegen Betrieb einer Facebook-Fanpage unter dem Namen eines Betroffenen

Ein belgisches Unternehmen hatte unter dem Namen eines Betroffenen eine Facebook-Fanpage unterhalten, ohne hierfür die Einwilligung des Betroffenen einzuholen. Auf den Widerspruch der betroffenen Person gegen die Verwendung seines Vor- und Nachnamens reagierte das Unternehmen nicht fristgerecht und nur unzureichend. Die zuständige Aufsichtsbehörde ahndete den Verstoß mit einem Bußgeld in Höhe von 10.000 Euro.

Niedersachsen: 10,4 Millionen Euro Bußgeld wegen unzulässiger Videoüberwachung

In Niedersachsen verhängte die Landesbeauftragte für den Datenschutz (LfD) das dort bisher höchste Bußgeld gegen den Versandhändler notebooksbilliger.de AG. Die Aufsichtsbehörde ahndete die unzulässige Videoüberwachung im Betrieb des Unternehmens mit einer Geldbuße in Höhe von 10,4 Millionen Euro. Die installierten Kameras erfassten unter anderem Arbeitsplätze, Verkaufsräume, Lager und Aufenthaltsbereiche und dienten der Verhinderung von Straftaten sowie der Nachverfolgung des Warenflusses in den Lagern. Betroffen waren insbesondere Beschäftigte des Unternehmens, die durch die Kameras bei ihrer Arbeit einem ständigen Überwachungsdruck ausgesetzt waren, sowie Kunden in Verkaufs- und Sitzbereichen. Die zuständige Aufsichtsbehörde erachtete die Videoüberwachung als unrechtmäßigen, schwerwiegenden Eingriff in die Persönlichkeitsrechte der Betroffenen, der nicht mit einem Generalverdacht gerechtfertigt werden kann. Das Bußgeld ist noch nicht rechtskräftig.

Spanien: 6 Millionen Euro Bußgeld wegen Verstoßes gegen Informationspflichten und unzulässiger Verarbeitung

Die spanische Aufsichtsbehörde verhängte gegen eine Bank ein Bußgeld in Höhe von 6 Millionen Euro. Das Bußgeld wurde unter anderem wegen fehlender Rechtsgrundlage für Verarbeitungen und Verstößen gegen die Informationspflichten nach Art. 13, 14 DS-GVO verhängt. Das Unternehmen hatte Kunden keine Möglichkeit eingeräumt, beim Akzeptieren der Datenschutzbestimmungen die Einwilligung zu verweigern, dass Daten an andere Unternehmen der Unternehmensgruppe übermittelt werden. Zudem waren die Datenschutzinformationen für Kunden unvollständig, uneinheitlich sowie ungenau und wurden aufgeteilt an verschiedenen Stellen zur Verfügung gestellt, was nach Ansicht der Behörde nicht den datenschutzrechtlichen Anforderungen entspricht.