Die 5 größten Datenschutz-Fehltritte

Am 25. Mai 2018 trat mit der DSGVO das bisher umfangreichste Datenschutzgesetz weltweit in Kraft. Allzu viele Verstöße mit entsprechenden Bußgeldern gab es nicht. Beispielsweise konnten in Deutschland bis heute nur 81 Fälle mit Strafen in Höhe von insgesamt 485.490 Euro verzeichnet werden. Auch europaweit hat die DSGVO ihre Spuren hinterlassen. Viele dieser Verstöße halten sich eher im kleinen Rahmen, doch es gab durchaus auch einige nennenswerte Fehltritte von Unternehmen mit hohen Geldstrafen. Das Unternehmens-Softwarehaus Micro Focus hat die fünf interessantesten Fälle zusammengestellt:

Die französische Datenschutzbehörde CNIL verhängte im Januar 2019 ihr erstes DSGVO-Bußgeld gegen Google und damit die bisher größte Strafzahlung in der Geschichte des europäischen Datenschutzes: 50 Millionen Euro. Die Behörde wirft Google zwei Verstöße gegen die europäische DSGVO vor. Die wesentlichen Datenschutzinformationen seien auf mehrere Dokumente verteilt und könnten so von Laien gar nicht oder nur schwer gefunden werden. Das verstoße gegen das Prinzip der Transparenz. Des Weiteren sind die Angaben von Google, selbst wenn sie komplett aufgefunden wurden, zu ungenau, um dem Nutzer wirkliche Informationen über die Zwecke der Datenerhebung zu vermitteln. Darüber hinaus seien die Einstellungsfunktionen für personalisierte Werbung illegal.

Die Beschwerde wurde von der Organisation Noyb und von der französischen Organisation La Quadrature du Net eingereicht. Neben dem aktuellen Vorgehen gegen Google hat Noyb kürzlich auch gegen große Streaming-Dienste wie Netflix, Apple Music, Amazon Prime und Spotify ähnliche Beschwerden eingereicht.

Die Sanktionen könnten dabei theoretisch noch höher ausfallen als 50 Millionen Euro, da bis zu zwei Prozent des weltweit erzielten Jahresumsatzes als Strafmaß möglich sind.

Die polnische Datenschutzbehörde UODO verhängte im April 2019 gegen die Aktiengesellschaft Bisnode AB eine Geldbuße von 943.000 Zloty, was umgerechnet rund 221.000 Euro entspricht.

Bei dem sanktionierten Unternehmen handelt es sich um einen Anbieter von digitalen Geschäftsinformationen, der personenbezogene Daten erhoben hatte, um sie in seiner eigenen Datenbank zu sammeln und für kommerzielle Zwecke zu verwenden. Seine Datensätze bezieht das Unternehmen aus öffentlich zugänglichen Quellen.

Die Strafe erfolgte, weil das Unternehmen seinen Informationspflichten nicht nachgekommen war. Insgesamt sind fast sechs Millionen Datensätze betroffen. Laut Art. 14 DSGVO hätte das Unternehmen die betroffenen Personen über die Verwendung der Daten informieren müssen – und das in allen sechs Millionen Fällen.

Wie sich in dem Verfahren herausstellte, haben die Verantwortlichen bewusst gehandelt und wissentlich betroffene Personen nicht über die Nutzung ihrer persönlichen Daten informiert. Dieser Umstand sowie die mangelnde Einsicht auf Seiten des Unternehmens hatten unmittelbaren Einfluss auf die Höhe der verhängten Strafe.

Die portugiesische Datenschutzbehörde CNPD verhängt im Oktober 2018 die erste erhebliche Geldstrafe in Europa wegen eines Verstoßes gegen die DSGVO. Das Krankenhaus Barreiro Montijo bei Lissabon musste demnach insgesamt 400.000 Euro zahlen.

Als Grund nannten die Datenschützer unter anderem, dass zu viele Menschen unberechtigten Zugang zu vertraulichen Patientendaten hatten. Der Krankenhausbetreiber habe dabei internen IT-Technikern "bewusst" und in voller Absicht Zugang zu Daten gewährt, die ausschließlich Ärzten zugänglich sein sollten. Darüber hinaus wurden insgesamt 985 aktive Nutzer als "Ärzte" im System registriert, obwohl 2018 nur 296 Ärzte im Krankenhaus arbeiteten. Dies begründete das Krankenhaus damit, dass im Rahmen eines Dienstleistungsvertrages temporäre Profile erstellt wurden, die die abweichenden Zahlen erklären würden.

Deutschland verhängte seine erste Geldbuße wegen Verletzung der DSGVO im November 2018. Die Social- und Dating-Website Knuddels.de meldete im September eine Datenschutzverletzung von 1,87 Millionen Kombinationen aus Benutzernamen und Passwörtern sowie 800.000 E-Mail-Adressen von Nutzern.

Die Datenschutzbehörde von Baden-Württemberg stellte fest, dass die Webseite die Passwörter im Klartext gespeichert hatte, was gegen die Richtlinie der DSGVO zur "Pseudonymisierung und Verschlüsselung personenbezogener Daten" verstoße.

Aufgrund der Schnelligkeit bei der Meldung der Verletzung wies die Behörde jedoch gegenüber Knuddels eine deutliche Nachsicht auf. Darüber hinaus reagierte die Website prompt und informierte die betroffenen Nutzer postwendend. Die Geldbuße von 20.000 Euro fiel daher vergleichsweise gering aus.

Im Mai 2018 bat das kleine Versandunternehmen Kolibri Image den Beauftragten für Datenschutz des deutschen Bundeslandes Hessen um Rat. Das Unternehmen hatte einen seiner Dienstleister mehrmals um einen Vertrag zur Auftragsabwicklung gebeten, diesen aber nicht erhalten.

Kolibri Image wollte sich bei der hessischen Datenschutzbehörde informieren, wie es weitergehen solle. Diese antwortete, dass beide Seiten verpflichtet seien, einen solchen Vertrag abzuschließen. Nicht nur der Dienstleister, sondern auch der Auftraggeber sei hier aus datenschutzrechtlichen Gründen in der Verantwortung.Das Unternehmen sei dabei verpflichtet, selbst eine entsprechende Vereinbarung zu verfassen und an den Dienstleister zur Unterschrift zu schicken. Entsprechende Vorlagen sind auf der Seite der Verwaltung zu finden.

Am 17. Dezember 2018 verhängte der Staatskommissar eine Geldbuße von 5.000 Euro zuzüglich 250 Euro Gebühren. Er begründete die Entscheidung gegenüber Kolibri Image mit einem Verstoß gegen Art. 83 (4) DSGVO. Der Grundsatz "Fragen stellen kostet nichts" galt hier nicht.