DSGVO-Strafen in Österreich und der EU
Beitrag verfasst von RA Dr. Rainer Knyrim am 16.03.2020 – KTR-Newsletter März 2020
Kaum ein Tag vergeht ohne ein neues DSGVO-Bußgeld in Europa. Aus diesem Grund finden Sie hier einen Überblick über einige Geldbußen der letzten Wochen und Monate:
Unzureichendes Authentifizierungsverfahren bei telefonischer Kundenauskunft:
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat gegen den Telekommunikationsdienstleister 1&1 eine Geldstrafe iHv EUR 9.550.000 verhängt. Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. Konkret wurde bemängelt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In einem solch (laschen) Authentifizierungsverfahren bestehe ein Verstoß gegen Art 32 DSGVO. Dieser Artikel ist derzeit Gegenstand vieler Bußgeldverfahren, wohl nicht zuletzt wegen seinem weiten Anwendungsbereich und der offenen Formulierung.
1&1 hat bereits angekündigt, dagegen vorzugehen und gegen den Strafbescheid „zu klagen“, da es die Geldstrafe für absolut unverhältnismäßig hält. „Die neue Bußgeldregelung, nach der die Summe berechnet wurde und die für die gesamte deutsche Wirtschaft gilt, wurde am 14. Oktober 2019 veröffentlicht und orientiert sich am jährlichen Konzern-Umsatz. So können bereits kleinste Abweichungen riesige Geldbußen zur Folge haben. In der Datenschutz-Grundverordnung (DSGVO) ist der Umsatz allerdings nicht als Kriterium für die Bemessung der Bußgeldhöhe vorgesehen. Darüber hinaus verstößt die neue Bußgeldlogik gegen das Grundgesetz, insbesondere die Grundsätze der Gleichbehandlung und der Verhältnismäßigkeit.“ Das Unternehmen führt in seiner Stellungnahme aus, dass der fragliche Fall (Abfrage der Handynummer des ehemaligen Lebenspartners) bereits im Jahr 2018 geschehen sei und „zu diesem Zeitpunkt eine Zwei-Faktor-Authentifizierung üblich [war]“. Einen einheitlichen Marktstandard für höhere Sicherheitsanforderungen hätte es nicht gegeben. Nunmehr setze das Unternehmen laut eigenen Angaben eine dreistufige Authentifizierung mit einem persönlichen Service-PIN ein.
Unzulässige Telefonwerbung und sensible Daten im CRM-System:
Die französische Datenschutzbehörde CNIL verfügte eine Geldstrafe in der Höhe von EUR 500.000 (etwa 2,5% des Jahresumsatzes) gegen ein Unternehmen wegen Verstößen gegen die Informationspflichten, das Widerspruchsrecht und die allgemeinen Grundsätze der Datenübermittlung. Ebenso wurde die Pflicht zur Zusammenarbeit mit der Datenschutzbehörde verletzt. Eine Beschwerde über unzulässige Telefonwerbung machte die Behörde auf das Unternehmen aufmerksam, sodass es dieses einer Prüfung unterzog. Dabei wurde klar, dass das Unternehmen keinen Mechanismus für den Widerspruch gegen die Telefonwerbung vorsah und die Gespräche ohne das Wissen der Betroffenen aufgezeichnet wurden. Zusätzlich wurden in dem verwendeten CRM-System sensible Informationen über den Gesundheitszustand der angerufenen Personen gespeichert.
Fehlende Schutzmaßnahmen bei Online-Portal:
Potentiell bis zu EUR 900.000 verhängte die niederländische Datenschutzbehörde bereits Ende Oktober über die Agentur für Personalversicherungen (UWV). Grund waren unzureichende Sicherheitsmaßnahmen (Art 32 DSGVO) bei deren Online-Portal. Da die UWV bei der Gewährung des Zugangs zum Portal keine Multi-Faktor-Authentifizierung (MFA) verwendete, konnten Arbeitgeber und Behörden in einem Abwesenheitssystem Fehlzeiten von Arbeitnehmern erfassen und einsehen. Solche Abwesenheitszeiten wurden als Gesundheitsdaten gewertet, welche besonders hohen Schutzanforderungen unterliegen. Die UWV hat nun (nach einmaliger Fristverlängerung) bis zum 1. März 2020 Zeit, die von der Behörde geforderten Sicherheitsmaßnahmen zu implementieren und so der Geldstrafe zu entgehen.
Rechtswidriges Cookie Management:
Die spanische Datenschutzbehörde sanktionierte die Billigfluggesellschaft Vueling mit EUR 30.000 wegen Verstößen im Zusammenhang mit deren Cookie-Einsatz. Bei der Verwaltung von Cookies weist das Unternehmen lediglich darauf hin, dass der Browser so konfiguriert werden kann, dass er entweder standardmäßig alle Cookies akzeptiert oder ablehnt, oder dass Benachrichtigungen über den Empfang jedes einzelnen Cookies auf dem Bildschirm angezeigt werden und der User dann über die Implementierung entscheidet. Weiters wird auf die Möglichkeit von Tracking-Cookie-Blocker verwiesen. Die Behörde bemängelte, dass kein Managementsystem oder ein Cookie-Konfigurationspanel zur Verfügung gestellt wird, welches dem Benutzer ermöglicht, auf granulare Art und Weise einzelne Cookies zu löschen. Daher war laut Behörde ein Verstoß gegen spanisches (Telekommunikations-)Recht erfolgt.
Keine Einwilligung und Information beim Cookie-Setzen:
Wie im Fall von Vueling wurde auch über IKEA Ibérica von der spanischen Behörde ein fünfstelliges Bußgeld verhängt, weil auf unzulässige Art und Weise Cookies gesetzt wurden. EUR 10.000 musste der spanische Ableger des Möbelhauses bezahlen, weil dem Webseiten-Besucher keine Möglichkeit gegeben wurde, die direkt bei Aufruf der Seite gesetzten Cookies abzulehnen. Es wurde auch keine klare Information über die Datenverarbeitung erteilt, sondern lediglich festgehalten, dass die Cookies eine „bessere User-Erfahrung“ bereiten würden. Verwiesen wurde auf eine mögliche Browser-Einstellung für das Blocken der Cookies, welche jedoch eine Benützung der Webseite de facto unmöglich machte, da bei dieser Einstellung auch „notwendige“ Cookies (etwa der Warenkorb) erfasst wurden.
Unzureichende TOM bei der Verarbeitung von Gesundheitsdaten:
Die norwegische Datenschutzbehörde hat gegen die Stadt Oslo eine Geldbuße in Höhe von 49.300 EUR verhängt, weil sie von 2007 bis November 2018 in den Pflegeheimen/Gesundheitszentren der Stadt Oslo Patientendaten außerhalb des elektronischen Patientendatensystems gespeichert hat, indem Arbeitsblätter benutzt wurden, die Informationen über die Bewohner enthalten, die ihre täglichen Bedürfnisse und Pflegeabläufe detailliert beschreiben. Die Bewohner wurden durch ihren vollen Namen und ihre nationalen Identitätsnummern, Initialen oder Zimmernummern eindeutig identifiziert. Die Behörde beurteilte die Praxis der Speicherung identifizierbarer Patientendaten außerhalb des elektronischen Patientendatensystems als Verstoß gegen die Anforderungen an technische und organisatorische Maßnahmen gemäß Artikel 32 DSGVO. Bei der Berechnung der Höhe des Bußgeldes berücksichtigte die schwedische Datenschutzbehörde, dass die Stadt den Verstoß von sich aus der Datenschutzbehörde gemeldet und rasch Maßnahmen zur Löschung der Daten ergriffen hat. Außerdem wurde berücksichtigt, dass der Verstoß in erster Linie vor dem Inkrafttreten der DSGVO erfolgt sind. Nach der Rechtslage vor Inkrafttreten der waren die Geldbußen auf etwa 100 000 EUR begrenzt. Daher wurde in diesem besonderen Fall eine Geldbuße von 49 300 EUR für angemessen erachtet.
Verkauf von personenbezogenen (Mitglieder-)Daten zu Werbezwecken:
Die niederländische Datenschutzbehörde verhängte am 20. Dezember 2019 gegen den Tennisverband KNLTB eine Geldbuße in Höhe von EUR 525.000 wegen des Verkaufs von personenbezogenen Daten seiner (mehrerer hunderttausend) Mitglieder an zwei Sponsoren. Diese erhielten etwa Name, Geschlecht und Adresse, damit sie per Telefon und Post den Betroffenen tennisbezogene, aber auch andere Werbung bzw. Angebote übermitteln konnten. Die Behörde vertrat die Meinung, dass der Verkauf von personenbezogenen Daten ohne die Zustimmung der betroffenen Person generell verboten sei. Der Tennisverband hingegen war der Ansicht, dass sie ein überwiegendes berechtigtes Interesse am Verkauf der Daten habe und sich auch auf dieses stützen könne, was die niederländische Datenschutzbehörde verneinte. KNLTB legte ein Rechtsmittel ein, sodass die Strafe noch nicht rechtskräftig ist.
Massives Ausmaß unzulässiger Werbeanrufe:
Der britische ICO hat ein Bußgeld von GBP 500.000 (EUR 574.675) über das schottische Unternehmen CRDNN Limited wegen unerlaubter Telefonanrufe in massivem Ausmaß verhängt. Die Datenschutzbehörde stellte ernsthafte Verstöße gegen das Gesetz, welches zur nationalen Umsetzung der ePrivacy-Richtlinie erlassen wurde, fest. Eine Untersuchung des ICO ergab, dass das Unternehmen zwischen dem 1. Juni und dem 1. Oktober 2018 täglich etwa 1,6 Millionen (automatisierte) Anrufe getätigt hat, um Dienstleistungen (zB Fensterverschrottung, Schuldenmanagement) und den Verkauf von Fenstern, Wintergärten und Heizkesseln anzubieten. 63.615.075 Anrufe wurden insgesamt verbunden, wobei der ICO von einer weit höheren Anzahl an Anrufen ausgeht, die von CRDNN getätigt wurden. Etwa 3.000 Beschwerden über die Anrufe gingen bei dem ICO ein, wobei die Anrufe über so genannte „Spoof-Nummern“ erfolgten, sodass die Herkunft der Anrufe zunächst unbekannt war. Erst durch eine umfangreiche Untersuchung des ICO konnte CRDNN Limited als Verantwortlicher identifiziert werden. Das Unternehmen holte für die Anrufe keine Einwilligung von den Betroffenen ein und stellte auch keine funktionierende Opt-Out-Möglichkeit zur Verfügung. Die Bemessung der Geldbuße erfolgte gemäß Artikel 95 DSGVO.
Freier Zugang zu Dokumenten mit Gesundheitsdaten
Die britische Datenschutzbehörde ICO hat (soweit bekannt) am 17.12.2019 ihr erstes direkt wirksames Bußgeld verhängt. Die Geldbuße in Höhe von etwa 320.000 EUR richtete sich gegen ein Pharmaunternehmen, welches rund 500.000 Dokumente mit Stammdaten aber auch Gesundheitsdaten unsachgemäß verwahrte und den Informationspflichten der Artikel 13 und 14 DSGVO nicht in rechtskonformer Weise entsprach. Im Zuge einer Hausdurchsuchung (aus anderem Anlass) wurden in einem Hinterhof 47 unverschlossene Kisten, zwei Beutel und ein Karton voller Dokumente mit personenbezogenen Daten entdeckt. Der Zugang zu den rund 500.000 Dokumenten war für Hausbewohner uneingeschränkt möglich; keines der Dokumente war als vertraulich markiert und einige stark durchnässt. Enthalten waren Namen, Adressen, Geburtsdaten, Krankenversicherungsnummern, medizinische Informationen und Rezepte. Der ICO erblicke in diesem Verhalten Verstöße gegen die Art 5 lit f, 24 Abs 1 und 32 DSGVO.
Die meisten Geldstrafen wurden bis jetzt übrigens in Spanien verhängt (gefolgt von Deutschland). In Österreich sind derzeit 38 Geldbußen bekannt, wobei mehrere noch nicht rechtskräftig sind. Durch die zwei betragsmäßig größten Individualstrafen (Achtung: derzeit jeweils nur „intentions to fine“) liegt Großbritannien mit großem Abstand an der Spitze der verteilten Gesamtstrafsummen (etwa EUR 315 Mio.). Frankreich belegt „dank“ der EUR 50 Mio. Strafe für Google Platz zwei.