Schlagwort: Bußgeld
27. September 2021
Der (interimsweise) amtierende Hamburger Datenschutzbeauftragte (HmbBfDI) Ulrich Kühn verhängte gegen den Energiekonzern Vattenfall jüngst ein Bußgeld in Höhe von ca. 900.000 Euro. Grund dafür war, dass Vattenfall Kundendaten ohne legitimen Grund gespeichert hatte. Zwar dürfen Energieversorger grundsätzlich bis zu 10 Jahren Kundendaten speichern, dies allerdings nur wenn ein Grund vorliegt, wie etwa dass diese Daten dem Finanzamt vorgelegt werden müssen. Alternativ kann auch eine Einwilligung der Kunden zur Speicherung vorliegen, was hier allerdings nicht der Fall war.
Im vorliegenden Fall hatte Vattenfall die gespeicherten Daten genutzt, um sogenannte “Bonusshopper” als Neukunden abzulehnen. Bonusshoppper sind Kunden, die durch häufiges Wechseln ihrer Strom- und Gasverträge Geld sparen und Boni sammeln. Um solche von vorneherein auszusortieren und keinen Vertrag mit Ihnen einzugehen, hatte Vattenfall zwischen August 2018 und Dezember 2019 die Daten von potenziellen Neukunden mit älteren Kundendaten verglichen. So sollte festgestellt werden, ob die potenziellen Neukunden, die eine Anfrage für einen bestimmten Vertrag gestellt hatten, bereits früher einen Vertrag mit Vattenfall abgeschlossen hatten und dann gewechselt waren. Betroffen waren davon rund 500.000 Kunden.
Die Kunden wussten über diese Praxis nicht Bescheid, sodass HmbBfDI Kühn davon ausging, dass Vattenfall seiner Informationspflicht nicht nachgekommen sei. Das nun verhängte Bußgeld hätte deutlich höher ausfallen können, allerdings kooperierte Vattenfall umfassend mit der Hamburger Datenschutzbehörde. In dieser Zusammenarbeit wurde von Vattenfall ein Verfahren aufgebaut, mit dem sie in Zukunft Daten abgleichen dürfen. Voraussetzung dafür ist dann aber eine Einwilligung der Betroffenen.
4. August 2021
Die Nutzung einer veralteten Website-Software birgt datenschutzrechtliche Risiken, auf die in dem vorliegenden Fall eindeutig vom Landesbeauftragten für den Datenschutz Niedersachen (LfD) reagiert wurde.
Weil ein Unternehmen aus Niedersachsen für das Betreiben ihrer Website eine veraltete Software nutzte, die den aktuellen technischen Standards nicht mehr entsprach, wurde gegen das Unternehmen ein Bußgeld in Höhe von 65.000 Euro durch den LfD verhängt. Im 26. Tätigkeitsbericht 2020 des LfD wird auf die zunehmende Komplexität von Verarbeitungsprozessen aufgrund der Digitalisierung in Wirtschaft und Verwaltung hingewiesen. Dabei ist ein deutlicher Anstieg von Meldungen und Beschwerden im Jahr 2020 zu verzeichnen.
Die technischen Standards, die die DSGVO für Verarbeitungsprozesse fordert, sollen einen umfassenden Schutz von personenbezogenen Daten sicherstellen. Diese technischen Standards sind zur Bestimmung von angemessenen geeigneten technischen und organisatorischen Maßnahmen zu berücksichtigen und sollen sich nach dem aktuellen technischen Fortschritt richten.
Grundlage hierfür sind die Vorschriften Art. 25 und Art. 32 der DSGVO. Werden die erforderlichen technischen Standards hiernach nicht beachtet kommt es zu einem Verstoß gegen datenschutzrechtliche Grundsätze.
In dem vorliegenden Fall (S. 97 des Tätigkeitsberichts) wurde eine Softwareanwendung genutzt, die seit spätestens 2014 veraltet ist und von dem Hersteller nicht mehr mit Sicherheitsupdates versorgt und aktualisiert wird. Dies hatte zur Folge, dass die Software Sicherheitslücken aufwies, auf die der Hersteller aber auch hingewiesen hatte. Diese Lücken ermöglichten potentiellen Angreifern den Besitz an den Zugangsdaten aller in der Anwendung registrierten Personen. Des Weiteren war es möglich, dass ganze Datenbanktabellen ausgegeben werden konnten. Auch war die Berechnung der Passwörter durch mögliche Angreifer erleichtert, obwohl diese mit der kryptographischen Hashfunktion MD5 gesichert worden waren.
Weil den erforderlichen technischen Maßnahmen nicht Rechnung getragen wurde, wurde ein Verstoß gegen Art. 32 Absatz 1 der DSGVO festgestellt und das Bußgeld verhängt. Die Implementierung weiterer technischer Maßnahmen, sei für das Unternehmen mit einem verhältnismäßigen Aufwand durch neuere Versionen der Software möglich gewesen.
1. Juni 2021
Die Nichtregierungs-Organisation Non-OF-Your-Business (NOYB) – vor allem bekannt durch ihren Mitgründer Max Schrems – hat über 500 Beschwerden gegen verschiedene Unternehmen aus der EU und den USA eingereicht. NOYB wirft diesen Unternehmen vor, durch rechtswidrige Cookie-Banner Einwilligungen in das Datentracking eingeholt zu haben, die ohne diese unzulässigen Cookie-Banner nicht erteilt worden wären. Um – nach Ansicht von NOYB – rechtswidrige Cookie-Banner identifizieren zu können, nutze die Organisation eine selbst entwickelte Software. Diese spüre nicht nur die fraglichen Cookie-Banner auf, sondern generiere auch automatisch entsprechende Beschwerden, welche an die Unternehmen versendet werden.
“Beschwerdewelle” erst der Anfang
Eigenen Angaben zufolge hat NOYB die größten Webseiten aus 33 verschiedenen Staaten kontrolliert, aber bereits angekündigt, bis zu 10.000 der meistbesuchten Seiten in Europa überprüfen zu wollen. Ziel der Überprüfug sei – anders als bei deutschen Abmahnanwälten – aber nicht der Bezug von Gebühren, sondern die Einhaltung der gesetzlichen Vorschriften. Unternehmen würden laut NOYB die DS-GVO als Sündenbock für komplizierte Cookie-Banner vorschieben, obwohl diese Regelungen klar seien. Aus diesem Grund werde NOYB zunächst auch auf formelle Beschwerden verzichten und stattdessen die Möglichkeit bieten, die Cookie-Banner anzupassen; nur wennn dies nicht innerhalb eines Monats erfolge, würden behördliche Maßnahmen eingeleitet.
Cookie-Banner oft irreführend
NOYB erachtet verschiedene Gestaltungen des Cookie-Banners als rechtswidrig, kritistiert aber insbesondere fehlende Möglichkeiten, bereits auf der erste Ebene der Website funktionelle Cookies abzulehnen. Auch sei es leider üblich, Nutzer durch eine irreführende Farbgebung zum Klick auf den Button zur Zulassung sämtlicher Cookies zu bewegen. NOYB betont diesbezüglich, dass die Ablehnung von Cookies ebenso leicht sein müsse wie die Zustimmmung in die Nutzung.
Bei der durchgeführten Überprüfung habe NOYB auf dem Großteil der geprüften Webseiten Mängel hinsichtlich der Cookie-Banner festgestellt. Für die Unternehmen wird die Nutzung von Cookie-Bannern jedoch auch dadurch erschwert, dass die entsprechenden Anforderungen in den Mitgliedsstaaten der EU teilweise variieren, außerdem sind diese noch nicht abschließend gerichtlich festgestellt. Gleichwohl drohen diesbezüglich empfindliche Bußgelder: Diese bewegen sich regelmäßig im Bereich zwischen wenigen Tausend und einigen Zehntausend Euro, gegen Google wurden wegen der rechtswidrigen Nutzung von Cookies aber auch schon Bußgelder von 35-60 Millionen Euro verhängt.
11. März 2021
Der Landesdatenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink, hat die VfB Stuttgart 1893 AG (im Folgenden “VfB AG”) mit einem Bußgeld in Höhe von 300.000 Euro belegt. Der Verein hat die Sanktion akzeptiert und verzichtet auf Rechtsmittel. Das am 03. Februar begonnene Verfahren ist damit beendet.
Die VfB AG hat ihre Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO fahrlässig verletzt und muss deshalb das Bußgeld zahlen. Zwischen 2016 und 2018 sollen leitende Angestellte wiederholt Mitgliederdaten an Dritte weitergegeben haben. Im Zentrum steht die Weitergabe von Mitgliederdaten (auch jugendlicher Mitglieder) im Vorfeld der Jahreshauptversammlung 2017. Auf dieser wurde über die Ausgliederung der Abteilung Profifußball abgestimmt. Mithilfe der Daten sollten die Mitglieder im Rahmen eines sog. Guerilla-Marketings zur Zustimmung zur Ausgliederung gebracht werden. Wegen Verjährungsvorschriften konnten allerdings nicht alle in der Öffentlichkeit diskutierten Themen aufgeklärt werden.
Die DS-GVO sieht Bußgelder bis zu 20 Millionen Euro vor. Vor diesem Hintergrund liegt das gegen die VfB AG ausgesprochene Bußgeldes im unteren Bereich. Ein wesentlicher Punkt für die verhältnismäßig niedrige Summe sei die „ungewöhnlich“ gute Kooperation seitens des VfB gewesen, so Stefan Brink. Dies verdeutlicht, wie wichtig die Kooperation und Mitwirkung an der Aufklärung ist. Neben dem Bußgeld wird sich die VfB AG auch am Projekt „Datenschutz geht zur Schule“ beteiligen.
26. Februar 2021
Noch im Herbst 2019 hatte die Berliner Datenschutzbeauftragte Maja Smoltczyk einen Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen (wir berichteten) – das bis dahin höchste Bußgeld in Deutschland auf Grundlage der DSGVO. Nun hat das LG Berlin den Bußgeldbescheid für unwirksam erklärt.
Die Ausgangslange
Bereits 2017 ist die Deutsche Wohnen der Berliner Datenschutzbehörde aufgefallen. Die Datenschützer warfen dem Immobilienunternehmen vor, Daten in einem Archivsystem zu speichern, das es nicht ermögliche, nicht mehr erforderliche Daten zu löschen. Auf diese Weise entstanden über Zeit “Datenfriedhöfe”, auf denen Daten von Personen lagen, die schon gar keine Mieter mehr waren. Dieser Zustand ermöglichte es, dass teils Jahre alte Daten von Mieterinnen und Mietern, etwa Sozial- und Krankenversicherungsdaten, Arbeitsverträge oder sonstige Informationen über die eigenen finanziellen Verhältnisse, noch immer eingesehen und verarbeitet werden konnten.
An diesem Zustand änderte sich auch bis zur nächsten Kontrolle im März 2019 nichts, woraufhin die Behörde das Rekordbußgeld in Höhe von 14,5 Millionen Euro verhängte. Die Deutsche Wohnen hatte bereits nach Erhalt des Bußgeldbescheides angekündigt, diesen gerichtlich überprüfen zu lassen.
Die Entscheidung des LG Berlin
Die 26. Große Strafkammer des LG Berlin hat das Verfahren eingestellt. Das Gericht kam zu der Überzeugung, dass der Bußgeldbescheid “gravierende Mängel” aufweist und damit “unwirksam war”. Die Kammer begründete ihren Beschluss laut Sprecherin damit, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne. Nur eine natürliche Person sei imstande, eine Ordnungswidrigkeit vorwerfbar zu begehen. Der Bußgeldbescheid enthalte keine Angaben zu konkreten Tathandlungen eines Organs des Unternehmens und könne in der konkreten Form nicht Grundlage des Verfahrens sein.
Die Entscheidung überrascht, denn damit vertritt das LG Berlin eine andere Ansicht als das LG Bonn in einem ähnlich gelagerten Fall. Im November des vergangenen Jahres reduzierte das LG Bonn zwar den Bußgeldbescheid gegen 1&1 auf 900.000€, bestätigte aber gleichzeitig einen Verstoß gegen die DSGVO (wir berichteten). Das LG Bonn bejahte die Geltung des Europäischen Unternehmensbegriffes, wonach Bußgelder auch jenseits des Ordnungswidrigkeitengesetzes (OWiG) möglich sind.
Damit dürfte allerdings nur vorerst das letzte Wort gesprochen sein. Die Berliner Datenschutzbehörde hat nun eine Woche Zeit, um sofortige Beschwerde beim Kammergericht einzulegen. Smoltczyk kündigte bereits an, die Staatsanwaltschaft zu bitten, von diesem Recht gebrauch zu machen. Man darf also gespannt sein, wie es weitergeht.
8. Februar 2021
Die norwegische Datenschutzbehörde “Datatilsynet” hat die Dating-App Grindr frühzeitig über ein Bußgeld in Höhe von 100.000.000 NOK (ca. 9,6 Millionen Euro) informiert.
Vorangegangen war eine Beschwerde des Norwegischen Verbraucherrats “Forbrukerrådet” und dem Europäischen Zentrum für digitale Rechte (noyb). Die Beschwerde richtete sich gegen Grindr sowie fünf weitere Handelspartner der Dating-App.
Die Norwegische Datenschutzbehörde ist der Ansicht, dass Grindr ohne rechtliche Grundlage personenbezogene Daten mit zahlreichen Werbepartnern geteilt hat. Besonders schwerwiegend sei dabei die Tatsache, dass bereits die Nutzung von Grindr einen Einblick in die sexuelle Orientierung des Nutzers gewährleistet. Damit ergibt sich der Anwendungsbereich des Art. 9 DSGVO, welcher einen besonderen Schutz der sensiblen Daten durch den Verantwortlichen voraussetzt.
Den Usern wurde eine effektive Nutzung der App nur unter Zustimmung der Datenschutzbestimmungen gestattet. Auch hatten die Nutzer keine Möglichkeit eine Einwilligung bezüglich der Weitergabe der Daten an Dritte abzugeben. Dies verstößt gegen die Bestimmungen der Datenschutzgrundverordung. Zwar ist Norwegen als Nicht-EU-Mitglied nicht direkt von der DSGVO betroffen, als Mitglied des Europäischen Wirtschaftsraums (EWR) führte es die DSGVO aber trotzdem ein.
Das Bußgeld könnte das höchste in der Geschichte des norwegischen Datenschutzes werden. Zuvor hat Grindr jedoch die Möglichkeit sich zu den erhobenen Vorwürfen zu äußern.
3. Februar 2021
Das Call-Center “Cell it!” hatte im Auftrag des Mobilfunkanbieters Mobilcom-Debitel Abonnements für Hörbücher, Versicherungen, Sicherheitssoftwares und Zeitschriften verkauft und zuvor unerlaubt Telefonwerbung für diese Produkte betrieben. Die Betroffenen erhielten dabei im Nachgang des Telefonats Zusatzdienstleistungen in Rechnung gestellt, die sie nicht bestellt hatten. Auch für den Pay-TV Anbieter Sky Deutschland hatte “Cell it!” versucht, telefonisch Neukunden zu akquirieren, obwohl die Betroffenen zuvor keine Werbeeinwilligung abgegeben oder diese sogar ausdrücklich widerrufen hatten. “Cell it!” hatte dafür Adresskontingente bei Adresshändlern eingekauft.
“Cell it!” verstößt demnach mehrfach gegen Art. 6 DSGVO sowie gegen § 7 Abs. 2 und 3 UWG. Auch wenn Direktwerbung von dem in Art. 6 Abs. 1 S. 1 lit. f DSGVO genannten berechtigen Interesse gedeckt sein kann, wird dies durch das Gesetz gegen den unlauteren Wettbewerb eingegrenzt. So liegt eine unzumutbare Belästigung gegenüber Verbrauchern nach § 7 Abs. 2 Nr. 2 UWG vor, wenn Werbung durch einen Telefonanruf ohne die vorherige ausdrückliche Einwilligung des Verbrauchers erfolgt. Aufgrund dessen verhängte die Bundesnetzagentur gegen “Cell it!” GmbH&Co. KG ein Bußgeld in Höhe von 145.000 Euro.
Auch gegen die beiden beteiligten Unternehmen Mobilcom-Debitel und Sky Deutschland verhängte die Bundesnetzagentur Bußgelder. “Wir ahnden unerlaubte Telefonwerbung und gehen konsequent gegen alle beteiligten Unternehmen vor“, so Jochen Hamann, Präsident der Bundesnetzagentur.
12. Januar 2021
Die Datenschutzbeauftragte des Landes Niedersachsen (LfD Niedersachsen) hat gegen die notebooksbilliger.de AG wegen Datenschutzverstößen ein Bußgeld in Höhe von 10,4 Millionen Euro verhängt. Dabei handelt es sich um eines der höchsten Bußgelder, das bisher von einer deutschen Aufsichtsbehörde wegen eines Verstoßes gegen Datenschutzbestimmungen verhängt wurde. Der Bußgeldbescheid ist allerdings noch nicht rechtskräftig. Auch hat das Unternehmen seine Videoüberwachung nach Angaben des LfD Niedersachsens mittlerweile in rechtmäßiger Weise ausgestaltet.
Vorwurf: Umfassende Videoüberwachung ohne konkrete Verdachtsmomente
Hintergrund des verhängten Bußgeldes ist die im Unternehmen durchgeführte Videoüberwachung von Beschäftigten, die von der Datenschutzbeauftragten des LfD Niedersachsen – Barbara Thiel – als “schwerwiegend” bezeichnet und für unzulässig erklärt wurde. Mit dem Ziel, Straftaten zu verhindern und aufzuklären habe das Unternehmen eine weiträumige Videoüberwachung eingeführt, die sowohl Arbeitsplätze als auch Verkaufsräume, Lager sowie Aufenthaltsbereiche erfasse. Zudem seien die Aufnahmen oftmals 60 Tage lang gespeichert worden sein.
Der Umfang der Videoüberwachung wurde nun durch das LfD Niedersachsen als unzulässig eingestuft. Zur Verhinderung und Aufdeckung von Straftaten dürfe eine Videoüberwachung nur anlassbezogen erfolgen, und auch nur dann, wenn mildere Mittel wie Taschenkontrollen nicht in Betracht kommen. Im Falle eines begründeten Verdachts dürften einzelne Personen überwacht werden, wobei die Überwachung zeitlich begrenzt werden müsse. Ein Generalverdacht oder eine Präventivfunktion seien hingegen nicht ausreichend, sodass die Überwachung aller Beschäftigter unrechtmäßig sei. Zudem seien hier auch Kunden von der Videoüberwachung betroffen gewesen.
Besondere Schwere des Grundrechtseingriffs betont
Die Datenschutzbeauftragte betonte noch einmal, dass es sich bei der Videoüberwachung von Beschäftigten um einen besonders intensiven Eingriff in das Persönlichkeitsrecht handle, “da damit theoretisch das gesamte Verhalten eines Menschen beobachtet und analysiert werden kann. Das kann nach der Rechtsprechung des Bundesarbeitsgerichts dazu führen, dass die Betroffenen den Druck empfinden, sich möglichst unauffällig zu benehmen, um nicht wegen abweichender Verhaltensweisen kritisiert oder sanktioniert zu werden.“ Aus diesem Grund muss die Videoüberwachung strengen Kriterien folgen.
notebooksbilliger.de kündigt Einspruch an
Die notebooksbilliger.de AG hat angekündigt, gegen den Bußgeldbescheid juristisch vorzugehen. Der CEO des Unternehmens, Oliver Hellmold, bezeichnet die Höhe des Bußgeldes in Relation zur Größe und Finanzkraft des Unternehmens sowie zur Schwere des Verstoßes als unverhältnismäßig. Auch wird bestritten, dass es zu einer systematischen Überwachung der Beschäftigten gekommen sei. Das Videosystem sei hierfür technisch gar nicht ausgelegt gewesen. Durchaus schwer wiegt der Vorwurf des Unternehmens, die Aufsichtsbehörde habe den Sachverhalt nicht ausreichend ermittelt, insbesondere habe man sich vor Ort kein Bild von der Ausgestaltung der Videoüberwachung gemacht. Stattdessen wolle man ein Exempel statuieren, um “ein möglichst abschreckendes Bußgeldregime in Sachen Datenschutz zu etablieren.“ Ziel des juristischen Vorgehens sei aber nicht nur, die Höhe des Bußgeldes anzugreifen und stellvertretend für alle mittelständischen Unternehmen gegen “ungerechte Verfahren” vorzugehen, sondern auch prüfen zu lassen, “ob die Datenschutzbehörde darauf verzichten konnte, einen konkreten Verstoß einer Leitungsperson im Unternehmen festzustellen.“ Gegenstand der juristischen Auseinandersetzung sollen also auch grundlegende Fragen werden, sodass es sich anbietet, das kommende Verfahren aufmerksam zu verfolgen.
22. Dezember 2020
Nicht selten steht der unterschiedliche Umgang der zuständigen nationalen Aufsichtsbehörden mit Datenschutzverstößen in der Kritik. Insbesondere der irischen Aufsichtsbehörde – welche u.a. für die Big-Tech-Konzerne Facebook und Twitter zuständig ist – wird regelmäßig ein zu lasches Vorgehen gegen die ihr unterstellten Konzerne vorgeworfen, selbst von anderen Behörden. Hintergrund der Kritik ist auch, dass Datenschutzverstöße solcher Big-Player regelmäßig die Bürger aller EU-Staaten betreffen, es aber grundsätzlich in der Hand einer Behörde liegt, die Verstöße zu ahnden. Um hier ein einheitliches Vorgehen der nationalen Behörden zu gewährleisten, wurde in der Datenschutz-Grundverordnung das sog. Kohärenzverfahren geregelt (Art. 63 ff. DS-GVO). In diesem Verfahren tauschen sich die Aufsichtsbehörden – ggf. unter Einbindung der Kommission – untereinander aus, um eine einheitliche Rechtsanwendung sicherzustellen. Besteht diesbezüglich Uneinigkeit, ist es Aufgabe des Europäischen Datenschutzausschusses (EDSA), die Streitigkeiten zwischen den nationalen Behörden über den Umgang mit Datenschutzverstößen beizulegen. Zum ersten Mal hat der EDSA nun einen solchen Beschluss erlassen und sich dabei auch zur Berechnung von Bußgeldern geäußert.
Datenpanne durch Veröffentlichung geschützter Tweets
Grundlage des Kohärenzverfahrens war eine Datenpanne bei Twitter, welche durch eine fehlerhafte Programmierung ausgelöst wurde. Änderten Nutzer auf Android-Geräten ihre zum Account gehörende E-Mail-Adresse, wurden alle geschützten Tweets der Nutzer öffentlich (über die Follower hinaus), ohne dass dies für den Nutzer ersichtlich war. Die Datenpanne wurde im Dezember 2018 bekannt. Insgesamt waren wohl 88.726 Nutzer innerhalb der EU/des EWR von der Datenpanne betroffen. Bei der Überprüfung der Datenpanne durch die zuständige irische Aufsichtsbehörde stellte diese Verstöße gegen Art. 33 Abs. 1 DS-GVO (Verletzung der Mitteilungspflicht gegenüber der Aufsichtsbehörde) und Art. 33 Abs. 5 DS-GVO (Verletzung der entsprechenden Dokumentationspflicht) fest und schlug ein Bußgeld in Höhe von 135.000 bis 275.000 Euro in Bezug auf die Verletzung dieser Kooperationspflichten vor.
Nachdem die irische Behörde diese Informationen entsprechend Art. 60 Abs. 3 DS-GVO an die anderen europäischen Aufsichtsbehörden übermittelte, erhoben einige Behörden – insbesondere aus Deutschland – Einspruch gegen diese Entscheidung. Gerügt wurde u.a. die Berechnung der Bußgeldhöhe. Der EDSA befasste sich eingehend mit den erhobenen Rügen, wies aber eine Vielzahl davon als unzulässig ab. Geprüft wurde aber insbesondere, ob die Berechnung der Bußgeldhöhe korrekt erfolgte. Dabei stellte der EDSA ausdrücklich fest, dass das Kohärenzverfahren auch dazu dienen soll, die Höhe der Bußgelder in den Mitgliedsstaaten zu vereinheitlichen.
EDSA zur Bußgeldberechnung
Der EDSA weist in seiner Entscheidung ausdrücklich und wiederholt darauf hin, dass es sich um eine Einzelfallentscheidung handelt. Dadurch soll verhindert werden, dass sie in anderen Fällen als Präzedenzfall herangezogen werden kann. Nichtsdestotrotz können aus der Entscheidung Rückschlüsse gezogen werden, insbesondere was die Berechnung der Bußgeldhöhe anbelangt. Wichtig ist aber die Feststellung, dass sich die Aussagen auf die Verletzung der Pflichten aus Art. 33 Abs. 1 und Abs. 5 DS-GVO beziehen, also auf Pflichten im Rahmen der Kooperation mit der Aufsichtsbehörde. Dabei sind insbesondere folgende Feststellungen interessant:
- Werden Kooperationspflichten verletzt, seien diese Verstöße der Höhe des Bußgeldes zugrunde zu legen, nicht die eigentliche Datenpanne (Veröffentlichung der Tweets).
- Es müsse berücksichtigt werden, ob die Betroffenen die Absicht hatten, den Personenkreis einzuschränken, welcher von den Daten (Tweets) Kenntnis erlangen soll.
- Hinsichtllich “Art” und “Umfang” der Verarbeitung sei auf die ursprüngliche Verarbeitung abzustellen, nicht auf die konkrete Datenpanne oder den Datenschutzverstoß (hier also auf die Kommunikation per Tweet).
- Kenntnis von der Datenpanne (im Sinne des Art. 33 Abs. 1 DS-GVO) habe der Verantwortliche erst, wenn dieser “einen gewissen Grad an Gewissheit” darüber besitze, dass eine Datenpanne aufgetreten ist.
- Gehört die Verarbeitung personenbezogener Daten zum Kern der Tätigkeiten des Verantwortlichen, müsse man erwarten können, dass dieser geeignete Maßnahmen implementiert hat, um Datenpannen und Abhilfemaßnahmen dokumentieren und somit seinen Pflichten nachkommen zu können. Werden die Kooperationspflichten dennoch verletzt, sei dies nachteilig zu bewerten.
- Die Aufsichtsbehörde müsse konkret darlegen, aufgrund welcher Kriterien die vorgeschlagene Bandbreite des Bußgeldes (0.25% bis 0.5% des maximalen Bußgeldes) ermittelt wurde.
Letztendlich rügte der EDSA vor allem die Berechnung des Bußgeldes und verwies die Sache zurück an die irische Datenschutzbehörde. Diese müsse die Höhe des Bußgeldes neu berechnen. Darauf hin hat die irische Behörde nun das Bußgeld auf 450.000 Euro erhöht.
25. November 2020
Die italienische Datenschutzaufsichtsbehörde (Garante per la protezione dei dati personali) hat Vodafone zur Zahlung einer Geldbuße von über 12,25 Mio. € verurteilt, weil das Unternehmen die personenbezogenen Daten von Millionen von Nutzern illegal für Telemarketingzwecke verarbeitet hat.
Die Datenschutzaufsichtsbehörde leitete ein Untersuchungsverfahren ein, nachdem sich Betroffene über unerwünschte Werbeanrufe von Vodafone oder Firmen aus dem Vermarktungsnetzwerk des Telekommunikationsunternehmens beschwert hatten. Die Aufsichtsbehörde stellte fest, dass Werbeanrufe ohne Einwilligung der Betroffenen erfolgten. Weitere Verstößen wurden bei der Verwaltung der von externen Providern beschafften Listen von Kontaktdaten gefunden. Zudem wurden Mängel bei der Erfüllung der Rechenschaftspflicht sowie der technischen und organisatorischen Maßnahmen festgestellt.
Neben der Zahlung der Geldbuße muss das Unternehmen eine Reihe von Maßnahmen ergreifen, die von der Behörde festgelegt wurden, um die nationalen und europäischen Rechtsvorschriften zum Datenschutz einzuhalten. Hierzu gehören die Schaffung eines Dokumentationssystems, mittels dessen sich nachverfolgen lässt, ob die Verarbeitung personenbezogener Daten im Kontext des Telefonmarketings entsprechend der gültigen Regelungen erfolgt und eine Stärkung bestehender Sicherheitsmechanismen, um unerlaubten Zugriffen auf und unrechtmäßiger Verarbeitung von Kundendaten vorzubeugen. Vodafone wurde zudem aufgefordert Maßnahmen zu ergreifen, um auch auf Anfragen von Kunden zur Ausübung ihrer Rechte umfassend reagieren zu können.
Schließlich hat die Behörde Vodafone jede weitere Verarbeitung von Daten zu Werbezwecken untersagt, die durch den Erwerb von Listen von Dritten erfolgt, ohne dass diese eine spezifische und informierte Einwilligung der Nutzer für die Übermittlung ihrer Daten eingeholt haben.
