Bußgelder wegen unrechtmäßiger Datenverarbeitung

Personenbezogene Daten dürfen nach Art. 6 DS-GVO nur verarbeitet werden, wenn diese explizit von einer Rechtsgrundlage gestattet ist. Die meisten möglichen Rechtsgrundlagen sind in Art. 6 Abs. 1 S. 1 lit. a) bis f) DS-GVO aufgelistet. Hierzu gehören

• die Anbahnung eines Vertrags
• die Erfüllung einer vertraglichen Pflicht
• die Erfüllung einer gesetzlichen Pflicht
• der Schutz lebenswichtiger Interessen
• die Wahrnehmung öffentlich-rechtlicher Aufgaben
• das überwiegende berechtigte Interesse des Unternehmens oder eins Dritten
• die Einwilligung in die Datenverarbeitung

Für spezielle Daten oder Bereiche wie etwa nach Art. 9 DS-GVO besonders sensible Daten oder Datenverarbeitungen im Beschäftigungsverhältnis gibt es weitere Normen mit zusätzlichen Rechtsgrundlagen. Ist keine der Rechtsgrundlagen einschlägig oder sind die Anforderungen an die Rechtsgrundlage nicht erfüllt (z. B. weil nicht alle Voraussetzungen an eine wirksame Einwilligung erfüllt sind oder die Interessensabwägung zu Gunsten der Betroffenen ausging), ist die Verarbeitung der Daten unzulässig. Solch unrechtmäßige Verarbeitungen persönlicher Daten wurden bereits mehrfach von deutschen und anderen europäischen Aufsichtsbehörden sanktioniert.

Deutschland

Das Bußgeld wurde gegen eine Online Bank verhängt. Die Online Bank führte eine „schwarze Liste“ mit Daten von ehemaligen Kunden. Eine solche Liste ist jedoch nur zulässig, wenn es sich um Kunden handelt, die unter Geldwäscheverdacht stehen. Die auf der schwarzen Liste geführten Personen konnten so keine Konten mehr eröffnen.

Eine Modekette sammelte im großen Umfang private Informationen ihrer Mitarbeiter und speicherte diese in einem Dateiordner ab. Unter den Daten waren auch Angaben zu privaten Beziehungen und zum Gesundheitszustand der Mitarbeiter, die unter Art. 9 DS-GVO fallen und als besonders sensibl gelten. Trotz zahlreicher Abhilfemaßnahmen und einer Entschädigungszahlung an die betroffenen Mitarbeiter verhängte die Behörde aufgrund des massiven Verstoßes ein Bußgeld in zweistelliger Millionenhöhe.

 Belgien

Ein Telekommunikationsunternehmen produzierte regelmäßig ein eigenes öffentliches Telefonbuch. Der Betroffene wollte in diesem nicht mehr aufgeführt werden und widerrief seine Einwilligung zur Verarbeitung seiner personenbezogenen Daten. Das Unternehmen kam seiner Zusicherung, die Datenverarbeitung einzustellen und andere Herausgeber über den Widerruf zu unterrichten, nicht nach.

Die Daten fanden sich später sowohl im eigenen Verzeichnis des Unternehmens als auch in denen der anderen Herausgeber wieder.

Italien

Ein italienisches Unternehmen hatte den E-Mail-Account eines ehemaligen Mitarbeiters nach Ende des Beschäftigungsverhältnisses weiter aktiv gehalten und konnte auf die gesamte Kommunikation des Betroffenen zugreifen. Dem betreffenden ehemalige Mitarbeiter wurde allerdings mitgeteilt, dass das Postfach und die Inhalte nach 60 Tagen gelöscht werden, wenn das Arbeitsverhältnis beendet wurde. Über den Weiterbetrieb wurde er nicht informiert.

Ein Mitarbeiter der Stadt Neapel beschwerte sich bei der zuständigen Datenschutzaufsichtsbehörde, da sein Arbeitgeber den Bericht zur Vorbereitung eines Disziplinarverfahrens in das Computerportal der Stadt eingestellt hatte, wo er auch von unbefugten Kollegen eingesehen werden konnte. Darüber hinaus wurde das Dokument per E-Mail und WhatsApp weiteren Personen geschickt.

Ein Callcenter-Betreiber hatte es seinen Mitarbeitern im Rahmen der „Clean Desk Policy“ untersagt, private Gegenstände auf dem Tisch zu haben. Medikamente, die Arbeitnehmer während der Arbeitszeit einnehmen mussten, waren hiervon nur insoweit ausgenommen, dass diese in den Pausen aus dem Spind geholt werden mussten. Sie durften nur am Arbeitsplatz gelagert werden, wenn dies zwingend erforderlich war, der Arbeitgeber informiert wurde und die Notwendigkeit vom Betriebsarzt bestätigt wurde. Die Aufsichtsbehörde stellte fest, dass keine Einwilligung für die Verarbeitung von Gesundheitsdaten vorlag und die Mitarbeiter nicht über die Verarbeitung informiert wurden. Zudem verstoße das Vorgehen gegen den Grundsatz der Datenminimierung.

Zur Neukundenakquise beauftragte ein Unternehmen ein Callcenter, für ein drittes Unternehmen neue Kunden zu akquirieren. Zur Akquise nutze das Callcenter seine eigenen Kontakte. Hatten die Angerufenen Interesse am Abschluss eines Vertrags, wurden ihre Daten an das Unternehmen weitergeleitet. Das beauftragende Unternehmen als verantwortliche Stelle wurde dabei nirgends erwähnt und alle Vorgänge erfolgten, ohne die Betroffenen über die Datenverarbeitung zu informieren und sie über ihre Rechte aufzuklären Zudem lag keine schriftliche Einwilligung der angerufenen Personen vor, die für die telefonische Kaltakquise zwingend erforderlich gewesen wäre. Die Behörde stellte 78 Verstöße wegen unrechtmäßiger Datensammlung und 155 Verstöße wegen unzulässiger Datenverarbeitung fest.

Ein Supermarktbetreiber veröffentlichte die Kündigung gegenüber seinem Mitarbeiter für alle Kunden und Mitarbeiter sichtbar am schwarzen Brett des Marktes. Die Behörde kam zu dem Ergebnis, dass diese Veröffentlichung ohne Rechtsgrund erfolgte und zudem gegen den Grundsatz der Verhältnismäßigkeit verstieß.

Ein Mobilfunkunternehmen verarbeitete personenbezogene Daten zu Werbezwecken ohne (wirksame) Einwilligung der Betroffenen. Zudem verstießen Geschäftspraktiken gegen die Vertraulichkeit und Integrität von Daten oder waren nicht mit den datenschutzrechtlichen Grundsätzen vereinbar. Das Unternehmen wollte unter anderem Verträge abschließen, in dem der Betroffene auf Video aufgezeichnet wird, während er erklärt, den Vertrag abschließen zu wollen. Hinzu kommt, dass bei der Speicherung und Verarbeitung von Telefon- und Telematikverkehrsdaten kein angemessenes Schutzniveau gewährleistet war.

Der Verantwortliche eines italienischen Theaters veröffentlichte ein Dokument auf der Website des Theaters, welches neben den Namen der Mitarbeiter auch sensible Gesundheitsdaten enthielten. So konnte man durch die auf dem Dokument angegebenen Daten Rückschlüsse auf die Gesundheit der Mitarbeiter ziehen.

Lettland

Ein lettisches Unternehmen hatte eine Rundmail an alle Mitarbeiter versendet, um diese über den Gesundheitszustand eines Kollegen zu informieren, bei dem zuvor eine Infektionskrankheit diagnostiziert wurde. Bei der Bemessung der Bußgeldhöhe berücksichtigte die Aufsichtsbehörde positiv, dass es sich um einen Einzelfall handelte.

 Niederlande

Ein niederländisches Unternehmen führte im Jahr 2017 unangekündigt ein Zeiterfassungssystem ein, bei dem die Mitarbeiter ihre Zeiten über einen Fingerabdruckscan erfassen mussten. Dadurch sollte ein missbräuchlicher Gebrauch verhindert werden. Der Verantwortliche konnte allerdings keine wirksame Einwilligung der Beschäftigten nachweisen. Eine Ausnahmeregelung zum Einwilligungserfordernis lag nach Ansicht der Aufsichtsbehörde nicht vor, der Fingerabdruckscan sei weder erforderlich noch verhältnismäßig. Zudem waren die Daten neben dem Zeiterfassungssystem auch in einem anderen Dateisystem gespeichert. Unter den gespeicherten Informationen befanden sich auch biometrische Daten von bereits ausgeschiedenen Mitarbeitern.

 Polen

Die Geldbuße betraf das Verfahren im Zusammenhang mit der Tätigkeit eines Unternehmens, das die Daten der betroffenen Personen aus öffentlich zugänglichen Quellen verarbeitete und die Daten für kommerzielle Zwecke nutzte. Das Unternehmen hat aus Kostengründen ausschließlich die Betroffenen informiert, deren E-Mail-Adressen bekannt waren. Die Übrigen wurden nicht direkt in Kenntnis gesetzt, sondern nur über eine Informationsklausel auf der Website. Dies reicht nach Ansicht der polnischen Aufsichtsbehörde nicht aus.

Rumänien

Ein rumänisches Unternehmen verschickte eine Rundmail mit offenem Verteiler an 295 Bewerber. Dadurch wurden die E-Mail-Adressen der Betroffenen unbefugten Dritten offengelegt und die Vertraulichkeit der Daten verletzt.

 Spanien

Eine Bank hatte ihren Kunden keine Möglichkeit eingeräumt, beim Akzeptieren der Datenschutzbestimmungen die Einwilligung für die Übermittlung der Daten an andere Mitglieder der Unternehmensgruppe zu verweigern. Zudem entsprachen die Datenschutzinformationen für Kunden nicht den Anforderungen an die Transparenz.

Der Verantwortliche hat per WhatsApp ein Dokument an einen Dritten geschickt, das Vor- und Nachname sowie Personalausweisnummer (DNI) einer Mutter und ihrer zwei Kinder enthielt. Er hatte die Betroffenen weder informiert noch deren Einwilligung eingeholt.

Eine Bank kontaktierte einen ehemaligen Kunden im Zusammenhang mit einer Rechtsangelegenheit. Dieser hatte allerdings bereits seit 16 Jahren weder eine geschäftliche noch vertragliche eine Beziehung zu der Bank mehr. Die Bank konnte auch nicht darlegen, weshalb die Kundendaten über einen derart langen Zeitraum gespeichert wurden.

Ein Telekommunikationsanbieter führte bei dem Datensatz eines Kunden eine Adress- und Namensänderung durch, ohne den Kunden in aus, ohne die Informationen ausreichend zu verifizieren. Dies führte dazu, dass die Informationen mit Daten eines Dritten verknüpft wurden. Dieser Vorgang stellte nach Ansicht der Behörde eine Datenverarbeitung ohne Einwilligung des Betroffenen dar, für den aber keine andere Rechtsgrundlage vorliegt.

 Ungarn

Die Geldbuße wurde gegen das Bürgermeisteramt der Stadt Kecskemét verhängt, nachdem das Amt den Namen eines Whistleblowers offengelegt hatte. Ein Mitarbeiter einer von ihr beaufsichtigten Organisation hatte eine Beschwerde gegen seinen Arbeitgeber eingereicht. Nachdem die Organisation von der Beschwerde erfahren hatte, bat sie um Einzelheiten, um Nachforschungen anzustellen zu können. Dabei gab die örtliche Regierung versehentlich den Namen des Beschwerdeführers bekannt. Erschwerend kam hinzu, dass der betreffende Mitarbeiter im Anschluss entlassen wurde.

Ein Unternehmen verwendete aus Sicht der Aufsichtsbehörde eine falsche Rechtsgrundlage für die Verarbeitung personenbezogener Daten (Art. 6. Abs. 1 lit. b) DS-GVO) für die Abtretung von Ansprüchen und verstieß damit gegen den Grundsatz der Transparenz.

Ein ungarisches Unternehmen führte zur Fehleranalyse und -behebung eine Testdatenbank, in der über neun Jahre hinweg durchgehend personenbezogene Daten gespeichert wurden. Nach Ansicht der Aufsichtsbehörde fehle es sowohl für die Erhebung als auch für die Verarbeitung der Daten an einem zulässigen Zweck. Zudem waren die technischen und organisatorischen Maßnahmen nicht ausreichend, was eine große Gefahr von Missbrauch und Hacking mit sich brachte.

Die Höhe des Bußgeldes orientiert sich an der langen Dauer der unrechtmäßigen Datenerhebung sowie an dem Ausmaß der Datenbank.