In letzter Zeit mehren sich Schlagzeilen, dass von den Datenschutzbehörden Bußgelder verhängt werden. Wir haben dies zum Anlass genommen und die in letzter Zeit verhängten Bußgelder in Deutschland und Europa unter die Lupe genommen, und geben Ihnen dazu Erläuterungen und Gegenmaßnahmen.
Eine Fluggesellschaft kostete ein Datenschutzverstoß im Juli 2019 rund 200 Millionen Euro. Grund für das hohe Bußgeld waren Probleme bei der IT-Sicherheit: durch eine Sicherheitslücke im Online-Buchungssystem konnten Unbekannte 500.000 Kundendaten (Zugangsdaten, Adressen, Namen, Reiseinformationen und Kreditkartendaten mit CVV-Sicherheitsnummern) abfangen. Dies ist schlicht eine Frage der IT-Infrastruktur, die ausreichend Sicherheit für die personenbezogenen Daten bieten muss. Für ein Bußgeld nach der DSGVO reicht es aus, dass unzureichende technische-organisatorische Maßnahmen ergriffen wurden. Zu einem Datenabfluss müsste es daher gar nicht kommen.
Aber das war nicht der einzige Fall, bei dem ein Bußgeld verhängt wurde. Die französische Aufsicht verhängte ein Bußgeld in Höhe von 50 Millionen Euro gegen ein Unternehmen, das u.a. eine Suchmaschine betreibt. Begründung: Das Unternehmen informiert seine Nutzer nach Meinung der französischen Aufsicht nicht transparent über die Datennutzung. Zudem könne der Konzern keine wirksame Einwilligung für die Verarbeitung der Daten für Werbezwecke vorweisen. Hier sei darauf hingewiesen, dass nach der DSGVO die Person zu der die personenbezogenen Daten gehören, aktiv zu der Erhebung und der Verarbeitung einwilligen muss, vor der Erhebung der Daten, und diese Einwilligung jederzeit wiederrufen kann. Auch kann die betroffene Person jederzeit Einsicht in die über Sie erhobene Daten verlangen und deren Korrektur oder Löschung verlangen. Wie man sieht wird einen lebendige Datenschutzkultur und funktionierendes Datenschutzmanagement benötigt, um diesen gesetzlichen Anforderungen Herr zu werden.
Aber auch in Deutschland wurden mittlerweile hohe Bußgelder verhängt und zwar gegen eine Immobiliengesellschaft in Höhe von 14,5 Millionen Euro. Der Gesellschaft wurde zum Verhängnis, dass sie personenbezogene Daten gespeichert hat, ohne zu überprüfen, ob eine Speicherung zulässig und überhaupt erforderlich ist. Unter anderem konnten Jahre alte private Angaben von Mietern (Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge) eingesehen werden, ohne dass dies von dem ursprünglichen Zweck der Erhebung gedeckt war. Nach der DSGVO gibt es zwar die Einräumung eines berechtigten Interesses als Erlaubnis zur Verarbeitung von Personenbezogenen Daten, aber hierbei gilt ein Minimalprinzip, welches bedeutet, dass nur die benötigten Daten erhoben werden, und dass diese Daten gelöscht werden müssen, sobald sie nicht mehr beispielsweise als Nachweis für die Buchführung benötigt werden. Hier wurde das mangelnde Löschkonzept der Immobiliengesellschaft Deutsche Wohnen zum Verhängnis.
Weiterhin wurde in Deutschland vom Bundesdatenschutzbeauftragten gegen einen Mobilfunk- und Festnetzkonzern ein Bußgeld von 9,6 Millionen Euro verhängt. Der Grund war, dass die Firma sich nicht ausreichend schütze, um Dritten den Zugriff auf persönliche Kundendaten zu verwehren. Konkret bezog sich dies insbesondere um eine zu leichte Abfragemöglichkeit von Kundendaten über das Call-Center ohne ausreichende Identifizierung des Anrufers. Dies wurde als systematischer Verstoß gewertet. Daraus folgt, dass gerade Call-Center-Betreiber umfangreiche Vorkehrungen treffen müssen, wenn Daten über das Call-Center mit (vermeintlichen) Kunden ausgetauscht werden sollen. Eine dem Risiko angemessene Identifikation ist erforderlich.