Die drei heißesten DSGVO-Verstöße des Juli 2024
Nicht nur die Hitze im Juli brachte in diesem Sommer viele ins Schwitzen. Auch zahlreiche Datenschutzverstöße sorgten wieder für Zündstoff. Wer hat wie, warum und zu welchem Bußgeld unter der Hitze der Sanktionen gelitten?
Hier kommen die spannendsten Fälle des Monats im Überblick:
Europäischer Datenschutz in Südamerika
Normalerweise ist das warme Kourou in Südamerika als Standort für europäische Weltraumraketenstarts bekannt. Die Nähe zum Äquator verleiht Raketen und Satelliten durch die Erdrotation einen Geschwindigkeitsvorteil und macht die ehemalige Plantagenkolonie so zu einen der am günstigsten gelegenen Raketenstartplätze der Welt.
In jüngster Zeit ist die französische Gemeinde jedoch auf andere Weise in die öffentliche Aufmerksamkeit gerückt. Sie verweigert konsequent die Benennung eines Datenschutzbeauftragten (DSB) trotz wiederholter Aufforderungen und Sanktionen durch die Commission nationale de l’informatique et des libertés (CNIL).
Kourou wurde im Dezember 2023 von der CNIL dazu aufgefordert, einen DSB zu benennen. Trotz dieser klaren gesetzlichen Anforderung und einer verhängten Geldstrafe von 5.000 Euro sowie einem täglichen Zwangsgeld von 150 Euro verweigerte die Gemeinde die Umsetzung.
Am 22. Juli 2024 beschloss die CNIL, die aufgelaufenen Zwangsgelder in Höhe von 6.900 Euro zu „liquidieren“, was die endgültige Festsetzung und Zahlungspflicht dieser Strafe bestätigt. Die CNIL betonte dabei die Möglichkeit weiterer Zwangsgelder zur Durchsetzung der Benennungspflicht.
Rechtliche Grundlagen und Verfahrensablauf
Die Verpflichtung zur Benennung eines DSB ergibt sich aus Art. 37 DSGVO, der für:
- Öffentliche Stellen,
- Unternehmen mit umfangreicher Überwachung von Personen und
- Organisationen mit umfangreicher Verarbeitung besonderer Kategorien von Daten gilt.
Die Gemeinde Kourou als öffentliche Stelle fällt unter diese Regelung und muss daher einen DSB benennen.
Die rechtlichen Rahmenbedingungen der Durchsetzung in Frankreich basieren auf der DSGVO (Verordnung (EU) 2016/679), dem geänderten Gesetz Nr. 78-17 vom 6. Januar 1978 sowie dem Dekret Nr. 2019-536 vom 29. Mai 2019 zur Anwendung des genannten Gesetzes.
Die CNIL hat wiederholt Maßnahmen ergriffen, um die Einhaltung dieser Vorschriften durchzusetzen:
- 12. Dezember 2023: Verhängung einer Geldstrafe und Anordnung zur Benennung eines DSB, verbunden mit einem täglichen Zwangsgeld
- 4. April 2024: Mitteilung an Kourou über die bevorstehende Liquidation des aufgelaufenen Zwangsgeldes aufgrund der weiterhin fehlenden Umsetzung der Anordnung
- 22. Juli 2024: Beschluss zur endgültigen Festsetzung (Liquidation) des Zwangsgeldes in Höhe von 6.900 Euro
Rechtliche Analyse
Die Weigerung der Gemeinde Kourou, einen DSB zu benennen, stellt einen klaren Verstoß gegen die DSGVO dar. Artikel 37 der DSGVO schreibt diese Benennung vor und die CNIL hat ihre Aufsichtsfunktion durch die Verhängung von Sanktionen ausgeübt.
Trotz der verhängten Strafen und des Zwangsgeldes zeigt die Gemeinde Kourou keine Bereitschaft zur Einhaltung. Die CNIL hat jedoch die Möglichkeit, weitere Zwangsgelder zu verhängen, um den Druck zu erhöhen.
Gemäß Art. 44 des Dekrets Nr. 2019-536:
- muss der Verantwortliche die CNIL über die Erfüllung der Anordnung informieren,
- wird bei Nichterfüllung die Liquidation des Zwangsgeldes beschlossen und
- erhält der Verantwortliche die Möglichkeit, schriftliche Stellungnahmen innerhalb von 15 Tagen ab Mitteilung der geplanten Liquidation einzureichen. Kourou hat diese Möglichkeit nicht genutzt, was zur endgültigen Festsetzung des Zwangsgeldes führte.
Der Fall Kourou unterstreicht die Herausforderungen, die Aufsichtsbehörden bei der Durchsetzung der DSGVO begegnen. Die CNIL zeigt durch ihre Maßnahmen Entschlossenheit, die Datenschutzrechte der Bürger zu schützen und die DSGVO konsequent durchzusetzen.
Die Benennung eines DSB ist nicht nur eine gesetzliche Pflicht, sondern auch ein Zeichen für die Ernsthaftigkeit, mit der eine Institution den Schutz personenbezogener Daten behandelt.
Vodafone im Visier der Datenschutzbehörden
Im Zeitalter der Digitalisierung und Datenverarbeitung hat sich Vodafone als prominenter Akteur auf dem europäischen Telekommunikationsmarkt etabliert. Doch inmitten dieser Erfolgsgeschichte verbirgt sich eine Serie von Datenschutzverstößen, die das Vertrauen in den Konzern erschüttert. Von unerlaubten Werbeanrufen bis hin zu nicht autorisierten Datenzugriffen – die Liste der Vorwürfe ist lang und schwerwiegend. Vodafone sieht sich nun mit einer Flut von Bußgeldern konfrontiert, die auf systematische Missstände und unzureichende interne Kontrollen hinweisen.
Der folgende Fall beleuchtet die jüngsten Eskapaden von Vodafone in Spanien, in dem die Agencia Española de Protección de Datos (AEPD) gegen Vodafone Spanien vorging und dabei nur die Spitze des Eisbergs in einem Geflecht von Datenschutzverletzungen über mehrere europäische Länder ist.
Der Fall begann mit der Beschwerde einer Privatperson, die unerwünschte Werbeanrufe von Vodafone erhielt. Diese Person hatte nie ihre ausdrückliche Zustimmung zu solchen Anrufen gegeben und ihre Telefonnummern befanden sich auf der Robinsonliste, einer offiziellen Nichtanrufliste, sowie auf der internen Nichtanrufliste von Vodafone. Trotz dieser Maßnahmen erhielt die Beschwerdeführerin weiterhin Werbeanrufe.
Die AEPD forderte Vodafone mehrfach auf, Auskunft über die getätigten Anrufe und die damit verbundene Datenverarbeitung zu geben. Vodafone reagierte jedoch nicht zufriedenstellend auf die Anfragen der Behörde, was letztlich zur Verhängung eines Bußgeldes in Höhe von 200.000 Euro führte.
Rechtliche Analyse
Die rechtliche Basis für die Entscheidung der AEPD liegt im Art. 58 Abs. 1 der DSGVO. Die Norm verleiht den Aufsichtsbehörden umfangreiche Befugnisse zur Durchsetzung der Verordnung, einschließlich der Befugnis, von den Verantwortlichen Zugang zu allen personenbezogenen Daten und Informationen zu verlangen, die für die Erfüllung ihrer Aufgaben notwendig sind. Im vorliegenden Fall verweigerte Vodafone wiederholt die Herausgabe der geforderten Informationen, was als schwerwiegender Verstoß gegen die DSGVO angesehen wurde.
Gemäß Art. 6 Abs. 1 Buchst. a) DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn der Betroffene seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. Im Bereich des Direktmarketings, zu dem auch Werbeanrufe gehören, ist eine ausdrückliche Einwilligung des Kunden erforderlich. Vodafone konnte im vorliegenden Fall keine solche Einwilligung nachweisen, was einen klaren Verstoß gegen die DSGVO darstellt.
Die Robinsonliste ist eine offizielle Liste, auf der sich Personen eintragen können, um keine unerwünschten Werbeanrufe zu erhalten. Zusätzlich führte Vodafone eine eigene interne Nichtanrufliste. Trotz dieser Maßnahmen wurden die Nummern der Beschwerdeführerin weiterhin für Werbeanrufe verwendet, was auf erhebliche Mängel in den internen Kontrollmechanismen von Vodafone hinweist.
Ein weiterer schwerwiegender Punkt ist die mangelnde Kooperation von Vodafone mit der AEPD. Artikel 31 DSGVO verpflichtet Verantwortliche und Auftragsverarbeiter zur Zusammenarbeit mit der Aufsichtsbehörde. Die wiederholte Weigerung von Vodafone, die geforderten Informationen zur Verfügung zu stellen, stellt einen gravierenden Verstoß gegen diese Verpflichtung dar.
Sanktion und Konsequenzen
Die Verhängung des Bußgeldes in Höhe von 200.000 Euro gegen Vodafone zeigt deutlich, dass Verstöße gegen die DSGVO ernsthafte Konsequenzen nach sich ziehen können. Es unterstreicht die Wichtigkeit, dass Unternehmen nicht nur die Einwilligung der betroffenen Personen einholen, sondern auch sicherstellen, dass alle internen Prozesse und Kontrollmechanismen den gesetzlichen Anforderungen entsprechen. Insbesondere die Zusammenarbeit mit den Aufsichtsbehörden ist von zentraler Bedeutung, um mögliche Sanktionen zu vermeiden.
ID Finance Spain und das Recht auf Vergessenwerden
Ein ähnlich schwerwiegender Verstoß ereignete sich ebenfalls in Spanien.
Am 23. Januar 2023 reichte eine Privatperson, vertreten durch die Verbraucherorganisation FACUA, eine Beschwerde bei der AEPD ein. Die Beschwerde richtete sich gegen ID Finance Spain S.A.U., da das Unternehmen trotz wiederholter Aufforderungen die personenbezogenen Daten der Beschwerdeführerin nicht gelöscht hatte.
Die Beschwerdeführerin argumentierte, dass die behauptete Schuld aus einem Identitätsdiebstahl resultiere und sie daher keine vertragliche Beziehung zu ID Finance habe. Sie legte eine polizeiliche Anzeige vom 18. Mai 2020 vor, um den Identitätsdiebstahl zu belegen.
Rechtliche Analyse
Die AEPD untersuchte den Fall unter Berücksichtigung mehrerer Artikel der DSGVO, nämlich Art. 6, Art. 17 und Art. 37 Abs. 7.
Nach Art. 6 Abs. 1 DSGVO ist die Verarbeitung personenbezogener Daten nur rechtmäßig, wenn mindestens eine der Bedingungen des Art. 6 Abs. 1 Buchst. a) – f) DSGVO erfüllt ist. ID Finance behauptete, dass die Verarbeitung der Daten auf der Grundlage eines Vertrags erfolgte, der durch die Beschwerdeführerin abgeschlossen wurde. Allerdings wurde festgestellt, dass die Daten ohne gültige Einwilligung und aufgrund eines Identitätsdiebstahls verarbeitet wurden, was die Rechtmäßigkeit der Verarbeitung infrage stellt.
Gemäß Art. 17 Abs. 1 DSGVO hat die betroffene Person das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, wenn einer der in Art. 17 Abs. 1 Buchst. a) – f) DSGVO genannten Gründe zutrifft. Da die Beschwerdeführerin nachweisen konnte, dass die personenbezogenen Daten ohne ihre Einwilligung und im Rahmen eines Identitätsdiebstahls verarbeitet wurden, hätte ID Finance den Löschantrag erfüllen müssen. Die Weigerung von ID Finance, die Daten zu löschen, stellt daher eine Verletzung von Art. 17 DSGVO dar.
Unternehmen, deren Kerntätigkeit in der umfangreichen Verarbeitung von Daten liegt, sind gemäß Art. 37 DSGVO zudem verpflichtet, einen Datenschutzbeauftragten zu benennen. ID Finance hatte keinen Datenschutzbeauftragten ernannt, was ebenfalls einen Verstoß gegen die DSGVO darstellt.
Sanktion und Konsequenzen
Aufgrund dieser Verstöße verhängte die AEPD ein Bußgeld von 180.000 EUR gegen ID Finance. Die Behörde betonte, dass dieses Bußgeld durch eine ordnungsgemäße Beachtung der Betroffenenanfragen und die Einhaltung der DSGVO-Vorschriften hätte vermieden werden können. Der Fall ID Finance Spain verdeutlicht die Bedeutung der Einhaltung der DSGVO-Vorschriften für Unternehmen, insbesondere im Finanzsektor.
Fazit
Solche Fälle zeigen beispielhaft die Herausforderungen, die Aufsichtsbehörden bei der Durchsetzung der DSGVO begegnen und wichtiger noch ihre Entschlossenheit, diese konsequent durchzusetzen. Die rechtmäßige Verarbeitung personenbezogener Daten, die Wahrung der Rechte betroffener Personen und die Benennung eines Datenschutzbeauftragten sind essenzielle Anforderungen. Öffentliche wie private Stellen müssen sicherstellen, dass sie robuste Verfahren zur Überprüfung der Rechtmäßigkeit der Datenverarbeitung und zur Bearbeitung von Betroffenenanfragen implementieren, um Sanktionen künftig zu meiden.
Wir helfen Unternehmen dabei, rechtssicher und innerhalb der gesetzlichen Fristen auf Auskunftsersuchen zu reagieren und arbeiten daraufhin, dass Unternehmen im Bereich des Datenschutzes so aufgestellt sind, dass erst gar keine Bußgelder erwartet werden müssen.
Bildnachweis: KI generiert
Christoph Möx ist ein erfahrener Rechtsanwalt im Bereich IT-Recht und Datenschutz bei der renommierten Kanzlei Bette Westenberger Brink in Erfurt. Mit Fachwissen und praktischer Erfahrung berät er Unternehmen in allen Fragen des Datenschutzes und der IT-Compliance. Darüber hinaus arbeitet Christoph Möx als Datenschutzberater bei der RMPrivacy GmbH und unterstützt Mandanten dabei, datenschutzrechtliche Anforderungen effizient und rechtskonform umzusetzen.