Bußgelder wegen Verstoß gegen das Prinzip der Datenminimierung

Das Prinzip der Datenminimierung verbirgt sich in Art. 5 Abs. 1 lit. c) DS-GVO und gehört damit zu den Grundpfeilern der DS-GVO. Demnach muss immer darauf geachtet werden, dass nur so wenige personenbezogene Daten wie möglich verarbeitet werden. Entscheidend für die Art der Daten ist stets der Zweck der Datenverarbeitung. Im Rahmen dieser gesetzlich zwingend vorgeschriebenen Datenminimierung ist insbesondere darauf zu achten, dass:

  • personenbezogene Daten dem „Zweck angemessen“ sind
  • personenbezogene Daten auf das „notwendige Maß beschränkt“ werden und
  • unnötige Datenkopien vermieden werden

Der Leitgedanke der Datenminimierung zieht sich wie ein roter Faden durch alle Bereiche der Datenverarbeitung – vom Umfang der Verarbeitung der personenbezogener Daten über die Dauer der Aufbewahrung bis hin zu den Zugriffsberechtigungen. Wird der Grundsatz nicht ausreichend beachtet, verhängen die Aufsichtsbehörden regelmäßig Bußgelder.

Die Übersicht der Bußgelder ist noch in Arbeit und wird in Kürze ergänzt.

Dänemark

Während das Unternehmen die Namen seiner Kunden nach zwei Jahren aus all seinen Aufzeichnungen löschte, umfasste die Löschung nicht die übrigen Aufzeichnungen der Fahrten (etwa 8.873.333 Taxifahrten). Damit hielt das Unternehmen zu Unrecht an den Telefonnummern der Einzelpersonen fest.

Eine Möbelkette hatte personenbezogene Daten von rund 385.000 Kunden länger als für die Zwecke, für die sie verarbeitet wurden, erforderlich, verarbeitet. Darüber hinaus hatte das Unternehmen in seinem neuen CRM-System keine Fristen für die Löschung personenbezogener Daten festgelegt und dokumentiert. Die für das alte System festgelegten Fristen wurden nach Ablauf der Frist für die Information nicht gelöscht. Außerdem wurden die Löschvorgänge für personenbezogene Daten nicht ausreichend dokumentiert.

Frankreich

Das Bußgeld wurde gegen eine Immobilienfirma verhängt, da sensible Benutzerdokumente, die von Mietkandidaten hochgeladen wurden, online zugänglich waren, ohne dass ein Authentifizierungsverfahren vorhanden war. Obwohl die Sicherheitslücke dem Unternehmen seit März 2018 bekannt war, wurde sie erst im September 2018 endgültig behoben. Darüber hinaus bewahrte das Unternehmen die von den Bewerbern zur Verfügung gestellten Unterlagen länger als erforderlich auf. Die Aufsichtsbehörde berücksichtigte unter anderem die Schwere des Verstoßes (mangelnde Sorgfalt bei der Beseitigung von Sicherheitslücken und die Tatsache, dass die Dokumente sehr intime Aspekte des Lebens der Nutzer enthüllten), die Größe des Unternehmens und seine finanzielle Leistungsfähigkeit.

Die französische Aufsichtsbehörde (CNIL) verhängte gegen ein Unternehmen ein Bußgeld in Höhe von 500.000 Euro. Bei den Verstößen handelte es sich um die fehlende Dokumentation von Werbewidersprüchen, die Missachtung von Informationspflichten sowie die Übermittlung von Daten in Drittländer ohne ausreichende Rechtsgrundlage. Hauptgrund für die Verhängung des Bußgeldes war allerdings der Verstoß gegen den Grundsatz der Datenminimierung im CRM-System des Unternehmens.

Während der Telefonate mit Interessenten und Kunden wurden unter anderem auch Informationen zum Gesundheitszustand sowie Unmutsäußerungen des Gesprächspartners gesammelt und im CRM-System gespeichert. Bei der Bemessung der Bußgeldhöhe kam hinzu, dass die Aufsichtsbehörde den Verantwortlichen bereits Ende September 2018 dazu aufgefordert hatte, die Missstände zu beheben und dem Grundsatz der Datenminimierung zu entsprechen. Das Unternehmen zeigte sich jedoch wenig kooperativ und verstieß damit gegen seine Mitwirkungspflicht.

Ein Versandhändler für Schuhe speicherte Daten von über 11 Millionen Kunden und von über 30 Millionen Interessenten. Bei gut 2/3 der Interessenten war der letzte Kontakt allerdings vor Mai 2015 und 5,8 Millionen Kunden waren seit 2015 nicht mehr in dem Online-Portal aktiv. Die Behörde sah hierin einen Verstoß gegen den Grundsatz der Speicherminimierung und -begrenzung. Zudem wurden sämtliche Telefongespräche des Kundenservice für angebliche Schulungszwecke aufgezeichnet und bei telefonischen Bestellungen selbst die Bankdaten gespeichert – angeblich wiederum für Schulungszwecke.

Litauen

Bei einer Inspektion stellte die Datenschutzbehörde fest, dass der für die Verarbeitung Verantwortliche, ein Zahlungsdienstleister, mehr Daten verarbeitete als zur Erfüllung des Zwecks erforderlich waren. Darüber hinaus wurde bekannt, dass vom 09. bis 10. Juli 2018 Zahlungsdaten aufgrund unzureichender technischer und organisatorischer Maßnahmen im Internet öffentlich verfügbar waren. Betroffen waren 9.000 Zahlungen mit 12 Banken aus verschiedenen Ländern. Die notwendige Meldung des Datenverstoßes gem. Art. 33 DS-GVO blieb aus.

Tschechische Republik

Die Daten wurden nicht nur dann verarbeitet, wenn dies für die Zwecke, für die sie verarbeitet werden, angemessen, relevant und auf das Notwendige beschränkt ist („Datenminimierung“). Außerdem erfolgte die Verarbeitung nicht nur in einer Form, die die Identifizierung der betroffenen Personen nicht länger als erforderlich ermöglicht für die Zwecke, für die die personenbezogenen Daten verarbeitet werden („Speicherbeschränkung“).