Rechtsanwältin, Fachanwältin für Informationstechnologierecht & Zertifizierte Datenschutzbeauftragte (TÜV)
T (+49) 040 / 7344 086-0
Fachanwalt für Urheber- und Medienrecht und Spezialist für Arbeitsrecht, Zertifizierter Datenschutzbeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Seit die DSGVO 2018 in Kraft getreten ist, werden die Datenschutzbehörden immer aktiver. Verstöße werden mit hohen Bußgeldern geahndet. Auch 2021 sind Unternehmen zu Strafen von mehreren Millionen Euro verurteilt worden. Der Bußgeldbescheid mit der höchsten Summe ging dieses Jahr an Amazon Europe Core S.a.r.l: Unglaubliche 746.000.000 (!) Euro soll der Konzern mit Sitz in Luxemburg zahlen. Und auch gegen WhatsApp Ireland Ltd. wurde ein neunstelliges Bußgeld verhängt: 225.000.000 Euro. Doch auch kleinere, weniger bekannte Unternehmen werden genau beobachtet. Eine Achillesferse sind immer wieder Einwilligungserklärungen (die nämlich so gestaltet sein müssen, dass sie auch wirklich wirksam sind!), Informationspflichten sowie Speicherdauer- und umfang.
Alle Unternehmen sollten den Datenschutz bei sich nochmal also genau und mit der nötigen juristischen Expertise genau unter die Lupe nehmen – und ggf. nachbessern. Sonst drohen horrende Strafen, wie zahlreiche Beispiele aus der Praxis zeigen. Nachfolgend die europaweit höchsten Bußgelder wegen DSGVO-Verstößen im Jahre 2021:
Das Unternehmen hatte zwei Jahre lang seine Mitarbeiter per Kamera überwacht – Arbeitsplätze, Verkaufsräumer, Lager und Aufenthaltsbereiche. Damit sollten Straftaten besser aufgeklärt und der Warenfluss nachverfolgt werden können. Doch die betroffenen Mitarbeiter hatten dieser Verarbeitung nicht zugestimmt, zumal auch gar nicht bestimmte, sondern alle Mitarbeiter überwacht wurden. Zudem wurden die Videos ohne zeitliche Begrenzung und viel länger als nötig gespeichert, oft über 60 Tage hinweg.
Diese unbefristete Pauschalüberwachung sei ein Eingriff in die Persönlichkeitsrechte der Mitarbeiter – und nur bei einem begründeten Verdacht erlaubt, meinte die niedersächsische Landesbeauftragte für den Datenschutz, Barbara Thiel (Artikel 6, Absatz 1 (DSGVO)). So verhängte sie das Bußgeld gegen den Online-Versandhändler. Die 10.400.000 Euro ergeben sich daraus, dass die notebooksbilliger.de AG ein Großunternehmen ist und aus dem Umsatz des Vorjahres: Die Millionenstrafe beträgt 1,16 Prozent davon. Sie ist die höchste in Deutschland im Jahre 2021.
Aufgrund von fast 200 Beschwerden seit 2018 hat die Datenschutzbehörde in Spanien das Telekommunikationsunternehmen Vodafone Espana untersucht. Dieses hatte Callcenter beauftragt, Verbraucher anzurufen und per E-Mail und SMS zu schreiben. Doch dafür gab es gar keine Einwilligung der Betroffenen. Selbst nachdem diese der Kontaktaufnahme widersprochen hatten, wurden sie weiterhin angerufen und angeschrieben. Zuvor wurde Vodafone Espana bereits 50-mal verwarnt oder mit einem Bußgeld bedacht worden. Deswegen und aufgrund der (finanziellen) Größe des Unternehmens fiel die Strafe diesmal besonders hoch aus: 8.150.000 Euro wegen Datenschutzverstößen – gegen Artikel 21, 24, 28 und 44 (DSGVO); Artikel 21 und Artikel 48, Absatz 1 b (LSSI) sowie Artikel 23 (LOPDGDD).
Rund 4,5 Mio. Euro muss die italienische Firma Fastweb SpA zahlen. Auch sie hatte über Callcenter Telemarketing betrieben, woraufhin sich hunderte Menschen beschwert haben. Die Aufsichtsbehörde befand daraufhin systematische Verstöße gegen die DSGVO. Denn die 7,5 Mio. angerufenen Telefonnummern stammten aus Kundenlisten oder von Dritten – ohne dass die Betroffenen einer Verwendung für diesen Zweck bzw. Weitergabe ihrer Nummern an Fastweb zugestimmt hätten. Sie konnten den Rückruf-Service auch nicht einfach deaktivieren. Somit konnten sie nicht von ihrem Widerspruchsrecht Gebrauch machen. Dabei hätte Fastweb eigentlich mit einem entsprechenden System dafür sorgen müssen. Und auch ein Sicherheitssystem gab es nicht: So gelangten einige Telefonnummern an Kriminelle, die die Daten für Betrug wie Phishing und Identitätsraub oder Spam missbrauchten. Aufgrund dieser schweren, risikoreichen, fahrlässigen und lang andauernden Verstöße gegen Artikel 5, 6, 7, 12, 13, 21, 24, 25, 32, 33, und 34 (DSGVO) wurde die Millionenstrafe festgelegt. Immerhin kooperierte das Unternehmen mit der Datenschutzbehörde und implementierte nun Schutzmaßnahmen.
Knapp 2,9 Mio. Euro Strafe muss die italienische Iren Mercato S.p.A entrichten. Sie hatte ebenfalls lange Zeit, fahrlässig und ohne Einwilligung der Betroffenen Telemarketing betrieben – denn die Millionen von Telefonnummern stammten nicht aus eigener Erhebung, sondern waren von einem anderen Unternehmen an Iren Mercato weitergegeben worden. Dies stelle keine spezifische und informierte Einwilligung dar und sei somit nicht DSGVO-konform (Artikel 5, Absatz 1 und 2; Artikel 6, Absatz 1; Artikel 7, Absatz 1 (DSGVO)).
Die CAIXABANK, S.A. hatte gegen Artikel 6, 13 und 14 der DSGVO verstoßen. Die Strafe: Satte 6 Mio. Euro. Die Kunden der spanischen Bank mussten deren neue Datenschutzbestimmungen bezüglich Datenanalyse und Werbemaßnahmen annehmen. Allerdings mussten sie damit auch einwilligen, dass ihre personenbezogenen Daten an alle anderen Unternehmen innerhalb der Unternehmensgruppe übermittelt werden dürfen. Dem generell nicht zustimmen konnten sie nicht – sondern nur einzeln, per Widerspruchsbrief an jedes Unternehmen.
Die Datenschutzbehörde stellte fest: Die Bank habe dabei gegen ihre Informationspflichten aus Artikel 13 und 14 (DSGVO) verstoßen. Denn die Informationen in den Datenschutzbestimmungen waren nicht einheitlich, begrifflich ungenau und nicht hinreichen hinsichtlich dessen, wie und was genau verarbeitet wird. So ging die tatsächliche Verarbeitung teilweise auch über die Einwilligung und dem hinaus, wofür die Bank ein „berechtigtes Interesse“ gehabt hätte. Außerdem waren die Angaben zum Datenschutzbeauftragen, des Verantwortlichen und den Rechten der Betroffenen nicht einheitlich gestaltet.
Die Rewe-Tochter „Unser Ö-Bonus Club GmbH“ hatte für sein Kundenbindungsprogramm die personenbezogenen Daten von 2,3 Mio. Kunden auf unerlaubte Art und Weise verarbeitet. Das Unternehmen aus Österreich erstellte mit den Daten Kundenprofile für personalisiertes Marketing. Dabei hatten die Betroffenen dem nicht zugestimmt – meinte die österreichische Datenschutzbehörde. Denn die Einwilligungserklärungen waren so gestaltet, dass sie nicht wie eine Einwilligung zum Profiling, sondern lediglich wie eine Anmeldung zur Club-Mitgliedschaften wirkten. Die Informationen zur Datenverarbeitung waren nämlich erst nach dem Kästchen aufgeführt, das man ankreuzte, um zuzustimmen. Im Vordergrund stand die Werbung mit „exklusiven Vorteilen und Aktionen“. Dies sei ein Verstoß gegen Artikel 5, Absatz 1; Artikel 7, Absatz 2; Artikel 12 und Artikel 13 der DSGVO – geahndet mit einer Strafe von 2 Mio. Euro. Die Einwilligungen hätten verständlich und leicht zugänglich in einer klaren und einfachen Sprache gestaltet werden müssen. Strafmildernd wirkte sich der Umstand der Corona-Pandemie aus: Der Club hatte es deswegen geschäftlich nämlich schwerer und machte Verluste.
Die italienischen Essenslieferdienste Deliveroo Italy s.r.l und Foodinho s.r.l. müssen je 2,5 Mio. bzw. 2,6 Mio. Euro Strafe zahlen. Beide hatten Algorithmen verwendet, um ihre Fahrer zu verwalten – ohne diese hinreichend über die Funktionsweise dieser automatisierten Entscheidungen zu informieren. Außerdem hatten sie keine Verfahren implementiert, um die Rechte ihrer Beschäftigten auf menschliches Eingreifen, Meinungsäußerung sowie der Anfechtung von algorithmusbasierten Entscheidung zu schützen. Zudem wurden die Daten zu umfassend und zu lange (zeitlich unbegrenzt bzw. für sechs Jahre) gespeichert. Auch eine Datenschutz-Folgenabschätzung lag nicht vor. Außerdem wurden die Verarbeitungstätigkeiten nicht detailliert genug bzw. gar nicht dokumentiert. Ebenso war versäumt worden, die Kontaktdaten des Datenschutzbeauftragten (rechtzeitigt) an die Datenschutzbehörde zu geben. Aufgrund der hohen Zahl betroffener Fahrer (19.000 bei Foodinho und 8.000 bei Deliveroo) sowie mangelnder Kooperation mit der Datenschutzbehörde ergaben sich die millionenschweren Strafen (Verstöße gegen Artikel 5, Absatz 1 a, c, e; Artikel 13; Artikel 22, Absatz 3; Artikel 25; Artikel 30, Absatz 1; Artikel 32; Artikel 35; Artikel 37, Absatz 7 (DSGVO)).
Die spanische Supermarktkette Mercadona, S.A. verwendete eine bestimmte Technik am Eingang von 40 seiner Filialen. Jeder, der den Laden betrat, wurde damit gescannt. So wollte Mercadona bestimmte Personen erkennen – nämlich solche, die rechtskräftige Urteile oder einstweilige Verfügungen gegen das Unternehmen erwirkt hatten. Die Datenschutzbehörde in Spanien befand dabei allerdings einige Verstöße gegen die DSGVO. Zum einen seien mehr als nur die allernötigsten Daten verarbeitet worden (Verstoß gegen den Grundsatz der Datenminimierung). Außerdem gab es keine Technik, mit der die Freiheiten und Rechte der Betroffenen geschützt worden wären. Und auch eine Datenschutz-Folgenabschätzung lag nicht vor. Zudem hatte Mercadona nicht DSGVO-konform darüber aufgeklärt, dass und welche personenbezogenen Daten es wie verarbeiten würde – ein Verstoß gegen die Informationspflicht (Artikel 5, Absatz 1 c; Artikel 6; Artikel 9; Artikel 12; Artikel 13; Artikel 25; Artikel 1; Artikel 35 (DSGVO)). Da es um biometrische Daten, teils um die von Minderjährigen und anderen vulnerablen Gruppen, und eine systematische und großflächige Datenverarbeitung ging, ergab sich ein Bußgeld in Höhe von 2.520.000 Euro.
Der Datenschutz in jedem Unternehmen muss DSGVO-konform gestaltet sein – so viel ist klar. Dabei gilt vor allem: Für jede Datenverarbeitung, -übermittlung und -speicherung braucht es eine wirksame Einwilligung der betroffenen Personen. Und was genau „wirksam“ heißt, ist nochmals ganz genau definiert. Um alle entsprechenden Regelungen einzuhalten, sollte ein jedes Unternehmen seinen gesamten Umgang mit Daten sehr genau mit professionellem Rat unter die Lupe nehmen. Nur mit entsprechender juristischer Expertise können Fehler im Datenschutz und damit Strafen in Höhe von möglicherweise mehreren Millionen Euro vermieden werden. Denn es zeigt sich: Die Datenschutzbehörden werden immer wachsamer – und strenger.
Datenschutz ist ein laufender Prozess, der stetig neue Anpassung an sich verändernde Gesetzeslagen erfordert. Als Kanzlei für Datenschutzrecht beraten wir von SBS Legal Sie kompetent und fachlich versiert in allen Belangen des Datenschutzes. Unser Team aus erfahrenen Anwälten sorgt dafür, dass Unternehmen (darunter auch solche mit Geschäftssitz außerhalb der EU) den hohen Anforderungen des Datenschutzrechtes in jeder Hinsicht gerecht werden und die von der Rechtsprechung gesetzten Maßstäbe souverän umsetzen – und das schon seit vielen Jahren.
Wir stehen auch Ihnen gern als Partner zur Seite. Sie brauchen Hilfe im Datenschutzrecht? Kontaktieren Sie uns gern. Wir freuen uns bereits jetzt, Ihren Erfolg zu gestalten.
Für weitere Rückfragen stehen wir Ihnen jederzeit gerne auch telefonisch zur Verfügung.
Wünschen Sie die Rechtsberatung von dem erfahrenen Team aus Fachanwälten und Spezialisten der SBS LEGAL?