Bußgelder gegen Privatpersonen oder Arbeitnehmer
Bisher wird hauptsächlich davon berichtet, dass Unternehmen, Organisationen oder Vereine bei Verstößen gegen die DS-GVO Bußgeldtechnisch belangt werden. Vielen völlig unbekannt ist jedoch, dass es auch einzelne Personen treffen kann. Denn grundsätzlich müssen auch Privatpersonen, die personenbezogene Daten erheben und verarbeiten, die DS-GVO beachten. Eine Ausnahme hiervon stellt Art. 2 Abs. 2 lit. c DSGVO dar, denn danach ist die DS-GVO nicht anwendbar, solange die personenbezogenen Daten im persönlichen oder privaten Umfeld verwendet werden. Anders sieht das Ganze dann wieder aus, wenn man personenbezogene Daten online veröffentlich und diese somit einer breiten Öffentlichkeit zugänglich macht. In einem solchen Fall handelt es sich dann nicht mehr um eine Verarbeitung zu ausschließlich persönlichen Zwecken.
Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.
Deutschland
Ein Polizist hat unter Verwendung seiner amtlichen Benutzerkennung für private Zwecke das Kennzeichen und anschließend die Telefonnummern einer Person abgefragt und diese telefonisch kontaktiert – ohne offiziellen Grund oder das Einverständnis des Betroffenen.
Im August 2020 filmte ein Mann in einem Einkaufszentrum junge, leicht bekleidete Mädchen in verdeckter Weise. Ein Passant, der dies bemerkt hatte, rief den Sicherheitsdienst des Kaufhauses. Dieser verständigte daraufhin die Polizei. Bei einer Durchsuchung des Rucksacks des Mannes stellten die Beamten neben einer Digitalkamera acht Speicherkarten sicher, auf denen sich insgesamt 156 Videodateien aus den Jahren 2013 bis 2020 befanden. Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) hat wegen eines Verstoßes gegen Art. 83 Abs. 5 lit. a) i. V. m. Art. 5 Abs. 1 lit. a), 6 Abs. 1 DS-GVO in 13 Fällen eine Geldbuße in Höhe von 5.000 Euro verhängt. Dies stellt seit Geltung der DS-GVO das höchste Bußgeld einer deutschen Behörde dar, das jemals gegenüber einer Privatperson verhängt wurde.
Mehr Informationen zu dem Bußgeld finden Sie in unserem Artikel „Heimliche Videoaufnahmen: Staatsanwaltschaft schaltet Datenschutzaufsicht ein“.
Der Bußgeldempfänger ist LKW-Fahrer, der während seiner Fahrten Straßenverkehrsaufnahmen mithilfe einer Dashcam anfertigt. Die aufgenommen Szenen veröffentlicht er anschließend auf seinem Youtube-Kanal. Problematisch ist jedoch, dass der anlasslose Einsatz von dauerhaft aufzeichnenden Dashcams datenschutzrechtlich unzulässig ist (Az.: VI ZR 233/ 17). Zudem hat die Aufsichtsbehörde festgestellt, dass auf den veröffentlichten Videos vereinzelt die Kfz-Kennzeichen von anderen Verkehrsteilnehmern deutlich zu erkennen sind.
Eine Privatperson veröffentlichte über einen Social-Media-Account personenbezogene Daten eines Dritten. Dieser hatte seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten nicht gegeben.
Einem Merseburger kamen seine Wut-E-Mails teuer zu stehen. Der Mann versendete mehrere E-Mails an einen Empfängerkreis von bis zu 1.600 Personen. Die E-Mails enthielten eine Reihe von personenbezogenen Daten, die für jeden einzelnen Empfänger offen einsehbar waren. Daraufhin verhängte die Aufsichtsbehörde ein Bußgeld aufgrund einer unrechtmäßigen Verarbeitung personenbezogener Daten.
Mehrere Geldbußen wurde gegen eine Privatperson verhängt, die zwischen Juli und September 2018 mehrere E-Mails verschickte, in denen sie persönliche, für alle Empfänger sichtbare E-Mail-Adressen verwendete. So konnte jeder Empfänger unzählige andere Empfänger lesen. Dem Mann wurden zwischen Mitte Juli und Ende Juli 2018 zehn Straftaten vorgeworfen. Laut Schreiben der Behörde waren zwischen 131 und 153 persönliche E-Mail-Adressen in seiner Mailingliste erkennbar. Das Bußgeld wirkt auf den ersten Blick eher gering. Da es aber gegen eine Privatperson verhängt wurde, ist es doch verhältnismäßig hoch.
Italien
Ein Arzt hatte sich bei einem Krankenhaus beworben und als Nachweis für seine Berufserfahrung medizinische Dokumente früherer Tätigkeiten beigelegt. Darin enthalten waren auch Gesundheitsdaten der Patienten wie die Diagnose oder durchgeführte Operationen. Der Arzt hatte es unterlassen, die Unterlagen zu schwärzen und damit zu anonymisieren, es waren teilweise die vollständigen Namen der Patienten sichtbar. Die Verwendung von Initialen ist nach Ansicht der Aufsichtsbehörde bereits ausreichend, um die Patienten identifizieren zu können und damit unzureichend.
Spanien
Ein Arzt hatte seine Zahnarztpraxis an einen neuen Betreiber abgetreten und in diesem Zuge alle Patienten informiert, dass er künftig in einer neuen Praxis tätig ist. Für die Verarbeitung der Kontaktdaten fehlte es allerdings an einer Rechtsgrundlage. Zudem war es ihm laut Kaufvertrag ausdrücklich untersagt, Kopien der verkauften Unterlagen anzufertigen, unter denen 15.000 Datensätze von Patienten waren.
Ein Betroffener hatte mit dem Geschäftsführer eines Unternehmens einen Vertrag geschlossen. Dieser war bei der Erhebung der Daten des Betroffenen seiner Informationspflicht nach Art. 13 DS-GVO allerdings nicht nachgekommen, woraufhin der Betroffene Beschwerde bei der Aufsichtsbehörde einreichte. Wegen sofortiger Zahlung und Schuldanerkenntnis wurde das Bußgeld auf 900 Euro reduziert.
Ein Mitarbeiter eines Unternehmens hatte ohne Einwilligung seiner Kollegin ein Profil über sie auf einer Erotikwebsite erstellt. Das Profil enthielt sowohl Kontaktdaten als auch ein Bild der Frau und Angaben zur sexuellen Natur. Die spanische Datenschutzaufsichtsbehörde stellte hier eine unrechtmäßige Verarbeitung von personenbezogenen Daten fest. Das Bußgeld fiel nur aufgrund der Tatsache, dass bei dem Mitarbeiter eine psychische Erkrankung diagnostiziert wurde, gering aus.
Bei der spanischen Aufsichtsbehörde ging eine Beschwerde über vier Überwachungskameras auf der Veranda eines privaten Grundstücks ein. Die Kameras hatten nicht nur das private Grundstück, sondern auch Teile des Nachbargrundstücks sowie öffentliche Bereiche aufzeichnete.
Ein Unbekannter fotografierte im Strandbereich andere Badegäste ohne deren Einwilligung. Die alarmierte Polizei meldete den Verstoß an die Datenschutzaufsichtsbehörde. Diese stellte fest, dass es sich dabei um eine unrechtmäßige Verarbeitung von personenbezogenen Daten handelt, da keine Einwilligung der Betroffenen vorlag.