Jeden Monat verhängen die Datenschutzaufsichtsbehörden Bußgelder für Verstöße gegen die DSGVO, was Unternehmen wertvolle Einblicke in aktuelle Prüfungsprioritäten und die Sanktionspraxis bietet. Im Folgenden präsentieren wir die Top 5 der Bußgelder im August 2024.
Unzulässiger Datentransfer in die USA
Die niederländische Datenschutzbehörde verhängte ein erhebliches Bußgeld gegen Uber Technologies und Uber BV wegen rechtswidriger Datenübermittlungen in die USA. Über einen Zeitraum von etwa zwei Jahren wurden Daten zahlreicher Mitarbeiter ohne geeignete Schutzmaßnahmen gemäß Art. 44 ff. DSGVO an die Muttergesellschaft in den USA sowie an andere US-Unternehmen übermittelt. 172 betroffene Uber-Fahrer aus Frankreich wandten sich zunächst an eine Menschenrechtsorganisation, bevor der Fall an die französische Datenschutzbehörde und schließlich an die niederländische Autoriteit Persoonsgegevens weitergeleitet wurde. Die übermittelten Daten umfassten nicht nur grundlegende Informationen und Fahrerlizenzen, sondern auch Standortdaten, Kontodaten, Vorstrafen und Gesundheitsinformationen.
Uber war ursprünglich nach dem Privacy Shield zertifiziert, versäumte jedoch, nach dessen Ungültigkeitserklärung durch den EuGH weitere Schutzmaßnahmen zu ergreifen. Inzwischen ist das Unternehmen nach dem neuen Data Privacy Framework zwischen der EU und den USA zertifiziert.
- Behörde: Autoriteit Persoonsgegevens (AP)
- Branche: Personenbeförderung/Dienstleistung
- Verstoß: Art. 44 DSGVO
- Bußgeld: 290 Mio. Euro
Auch wenn das Data Privacy Framework den Datentransfer in die USA erleichtert hat, bleibt Vorsicht geboten. Nur zertifizierte US-Unternehmen sind abgedeckt, sodass ohne Zertifizierung auf Standarddatenschutzklauseln zurückgegriffen werden muss. Diese wurden Mitte 2021 von der EU-Kommission aktualisiert, frühere Fassungen sind nicht mehr gültig. Darüber hinaus ist häufig ein Transfer Impact Assessment erforderlich, um die Rechte der Betroffenen zu schützen.
Nicht beantwortetes Auskunftsersuchen
Ein belgisches Telekommunikationsunternehmen änderte die Verträge von Privatkunden, ohne sie darüber zu informieren. Als eine Kundin von den Änderungen erfuhr, stellte sie ein Auskunftsersuchen nach Art. 15 DSGVO, das unbeantwortet blieb. Auch die Kontaktaufnahme mit der Datenschutzbeauftragten des Unternehmens verlief erfolglos. Trotz mehrfacher Aufforderungen erhielt die Kundin keine Auskunft und wandte sich schließlich an die belgische Aufsichtsbehörde.
- Behörde: Autorité de protection des données/Gegevensbeschermingsautoriteit (APDD)
- Branche: Telekommunikation
- Verstoß: Art. 15 DSGVO
- Bußgeld: 100.000 Euro
Wie oft in unserem Blog betont, sind fehlerhafte oder ausbleibende Antworten auf Auskunftsersuchen ein häufiger Streitpunkt für Gerichte und Aufsichtsbehörden. Neben Bußgeldern drohen Unternehmen auch Schadensersatzforderungen, die je nach Fall erheblich variieren können.
Unerlaubte Videoüberwachung durch Privatperson
Die spanische Datenschutzbehörde untersuchte den Fall einer Privatperson, die eine Kameraüberwachung betrieb, die nicht nur das eigene Grundstück, sondern auch das Nachbarhaus und den öffentlichen Raum erfasste. Ein Anwohner des Nachbarhauses fühlte sich in seinen Rechten verletzt und reichte eine Beschwerde ein. Weder Genehmigung noch ausreichende Hinweise auf die Überwachung waren vorhanden, und die gespeicherten Daten wurden erst gelöscht, wenn der Speicher voll war.
- Behörde: Agencia Española Protección Datos (AEPD)
- Branche: Privatperson
- Verstoß: Art. 5 Abs. 1 lit. c DSGVO
- Bußgeld: 300 Euro
Dieser Fall ist besonders bemerkenswert, da hier eine Privatperson statt eines Unternehmens oder einer öffentlichen Stelle zur Rechenschaft gezogen wurde. Obwohl Privatpersonen oft unter die sogenannte Haushaltsausnahme nach Art. 2 Abs. 2 lit. c DSGVO fallen, zeigt dieser Fall, dass eine genaue Abwägung notwendig ist.
Nicht verschlüsselte, gestohlene Computer
Im Fokus stand eine kleine Gemeinde in Dänemark, die der Aufsichtsbehörde meldete, dass fünf Laptops aus einer von ihr betriebenen Schule gestohlen wurden. Das Problem: Die Geräte waren nicht verschlüsselt, sodass sensible Daten über Schüler und Lehrer leicht zugänglich waren. Bei der Untersuchung stellte sich heraus, dass in der Gemeinde bis zu 300 ungeschützte Computer im Einsatz waren.
- Behörde: Datatilsynet
- Branche: Behörde
- Verstoß: Art. 32 DSGVO
- Bußgeld: 26.803 Euro (200.000 DKK)
Dieser Fall verdeutlicht die Notwendigkeit, angemessene technische und organisatorische Maßnahmen gemäß Art. 32 DSGVO umzusetzen, um Datenschutzvorfälle zu vermeiden.
Fehlversand von Gehaltsabrechnungen
Auch im August war die spanische Aufsichtsbehörde aktiv. In diesem Fall wurde Uniqlo, eine bekannte Modemarke, sanktioniert. Ein ehemaliger Dienstleister von Uniqlo in Spanien beschwerte sich, nachdem er neben seinen eigenen Gehaltsabrechnungen auch die von 446 anderen Personen erhalten hatte. Die Aufsichtsbehörde führte den Vorfall auf unzureichende technische und organisatorische Maßnahmen in der Personalabteilung zurück.
Das Bußgeld wurde zunächst auf 450.000 Euro festgesetzt, aber nach einem Schuldeingeständnis und der Umsetzung von Maßnahmen auf 270.000 Euro reduziert.
- Behörde: Agencia Española Protección Datos (AEPD)
- Branche: Einzelhandel
- Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 DSGVO
- Bußgeld: 270.000 Euro
Dieser Fall unterstreicht die Bedeutung geeigneter technischer und organisatorischer Maßnahmen, insbesondere bei der Verarbeitung von Personaldaten.
Bildrechte: kostenloses Bild von Pixabay: Geld Banknoten Die Euro-Banknoten - Kostenloses Foto auf Pixabay - Pixabay
Inhaltslizenz: Zusammenfassung der Inhaltslizenz (pixabay.com)