Auswahl datenschutzrechtlicher Bußgeldfallen im Frühjahr 2021
Im Frühjahr 2021 stellten die nationalen Datenschutzaufsichtsbehörden der EU-Länder Bußgeldbescheide an Unternehmen in Höhen von bis zu 1,5 Million Euro aus. Grund für das Tätigwerden der Behörden sind häufig die gleichen, stets wiederkehrenden Verstöße gegen die DSGVO.
Zwei spanische Unternehmen erhielten die „Topbescheide“ mit einem Bußgeld in Höhe von jeweils 1,5 Millionen Euro. Sie verstießen gegen Art. 13 und 25 DSGVO.
Die spanische Datenschutzbehörde nahm Art. 25 DSGVO zum Anlass, die Unternehmen zu erinnern, technische Vorkehrungen zu treffen, die sicherstellen, dass eine für eine andere Person gegebene Einwilligung tatsächlich innerhalb der Berechtigung der handelnden Person liegt. Art. 13 DSGVO sieht umfassende Informationspflichten zur Verarbeitung personenbezogener Daten gegenüber Betroffenen vor. Bei jeder Verarbeitung personenbezogener Daten müssen die datenschutzrechtlichen Kernfragen beantwortet werden. Insbesondere muss – das mussten nun auch die spanischen Unternehmen erfahren - ein Hinweis auf die Rechte aus Art. 15 ff. DSGVO und auf das Widerspruchsrecht gegeben werden, sowie eine eindeutige Kontaktmöglichkeit benannt werden.
Der Datenschutz spielt auch bei Maßnahmen zur Corona-Bekämpfung eine wichtige Rolle und hat zu Bußgeldern in empfindlicher Höhe geführt. Schon vor Corona unterlagen personenbezogene Daten im Gesundheitswesen als besonders sensible Daten erhöhten Schutzanforderungen. Ihre Verarbeitung bedingt im Blick auf Art. 32 DSGVO besondere Vorkehrungen zur Sicherstellung der Datensicherheit. Das Versenden unverschlüsselter Gesundheitsdateien per E-Mail, wie beispielsweise Covid19-Testergebnisse als Excel-Tabelle, verbietet sich damit von selbst. Bußgeldbescheid: rd. 27.000,00 € (Ungarn).
Zu guter Letzt wurden zwei „Klassiker“ des Datenschutzes von den Behörden sanktioniert: Die Versendung von Werbemails ohne vorherige Einwilligung und das Überwachen von (Geschäfts-)Räumen über Videokameras. So wurde eine umfangreiche Werbekampagne mit Versenden von mehr als 4 Millionen Werbemails ohne vorherige Einwilligung mit einem Bußgeld von über 100.000 EUR (UK) und die Videoüberwachung von Restauranträumen im Sinne des Schutzes der Beschäftigten und der Kunden mit knapp 20.000 EUR belegt (Norwegen).
Thomas Haschert Mag. iur., Fachanwalt für Arbeitsrecht, Fachanwalt für internationales Wirtschaftsrecht, Datenschutzbeauftragter der Kanzlei, Datenschutzauditor