Datenschutz News 07/2022

In unsere Datenschutz-News 07/2022 informieren wir Sie zu den Top 5 Verstöße gegen die Erfüllung der Informationspflichten nach DSGVO, den erhobenen Bußgeldern sowie den sich daraus für Sie ergebenden Datenschutzaspekten.   

Unsere Top 5 der Verstöße gegen die Erfüllung der
Informationspflichten nach DSGVO

1.000.000 EUR gegen „TOTALENERGIES ÉLECTRICITÉ ET GAZ FRANCE“ (Energieunternehmen)

Veröffentlichung 30.06.2022, Datenschutzaufsichtsbehörde Frankreich: Bußgeld in Höhe von 1.000.000 Euro gegen das Energieunternehmen, aufgrund Betroffenenklagen, dass ihnen die Inanspruchnahme ihrer Betroffenenrechte (des Auskunftsrechts und des Widerspruchrechts) erschwert wurde. Auch bei der Durchführung von Werbeanrufen stellte die französische Datenschutzbehörde Datenschutzverstöße aufseiten des Unternehmens fest. So hatte der Bußgeldempfänger Personen, die telefonisch geworben wurden, nicht ordnungsgemäß über die Verarbeitung ihrer personenbezogenen Daten informiert und ihnen während der Anrufe ebenfalls keine Option geboten, detaillierte Informationen zur Verarbeitung zu erhalten (z.B. durch Drücken einer Taste auf ihrem Telefon).

725.551 EUR gegen „Klarna Bank AB“ (Zahlungsanbieter E-Commerce)

Veröffentlichung 29.03.2022, Datenschutzaufsichtsbehörde Schweden: Bußgeld in Höhe von ca. 725.551 Euro (7.500.000 SEK) gegen die Klarna Bank AB wegen mangelhafter Umsetzung von datenschutzrechtlichen Informationspflichten auf der Unternehmenswebseite.

20.000.000 EUR gegen „Clearview AI“ (Softwareunternehmen für Gesichtserkennung)

Veröffentlichung 09.03.2022, Datenschutzaufsichtsbehörde Italien: Bußgeld in Höhe von 20.000.000 Euro gegen die Clearview AI wegen der Erstellung biometrischer Profile ohne Rechtsgrundlage und mehrerer Verstöße gegen die DSGVO (Verarbeitung personenbezogener Daten von Betroffenen in Italien ohne eine Rechtsgrundlage, Verstoß gegen die Grundsätze der Zweckbindung und Speicherbegrenzung sowie die Informationspflichten nach Art. 13, 14 DSGVO). Das Bußgeld fiel besonders hoch aus, da Clearview AI keinen Vertreter in der EU gem. Art. 27 DSGVO benannt hatte. 6.000.000 Euro der Bußgeldhöhe resultierten dabei aus Verstößen gegen die Transparenz- und Informationspflichten aus Art. 12, 13, 14 DSGVO.

6.397.763 EUR gegen „Grindr LLC“ (Hersteller einer App für Mobile Dating)

Veröffentlichung 15.12.2021, Datenschutzaufsichtsbehörde Norwegen: Bußgeld in Höhe von knapp 6,4 Millionen Euro (65.000.000 NOK) gegen Grindr wegen mangelhafter Erfüllung der Informationspflichten und Übermittlung von Daten an Dritte ohne wirksame Einwilligung.

901.389 EUR gegen „Vattenfall Europe Sales GmbH“ (Energieunternehmen)

Veröffentlichung 24.09.2021, Datenschutzaufsichtsbehörde Deutschland (Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit): Bußgeld in Höhe von 901.389 Euro gegen die Vattenfall Europe Sales GmbH wegen Verstoß gegen die Transparenzpflichten, weil diese die Kundinnen und Kunden nicht ausreichend über eine spezielle Form des Datenabgleichs informiert hatte. Betroffen waren rund 500.000 Personen.

Fazit
Aktuell häufen sich Bußgelder wegen Verstößen gegen die Informationspflichten nach Art. 13 DSGVO und Art. 14 DSGVO. Dies muss nicht verwundern, ist doch die Information über Bestehen einer Verarbeitung zentral für die Ausübung der Betroffenenrechte. Gleichzeitig ist ein Verstoß gegen die Transparenzvorgaben im Fall einer Überprüfung durch die Behörden leicht festzustellen.

Denken Sie daran, dass alle Zwecke, für die personenbezogene Daten verarbeitet werden, sich in den Datenschutzhinweisen (betroffenengruppenspezifisch!) wiederfinden müssen. Kommen neue Verarbeitungstätigkeiten hinzu (wie z.B. die zuletzt erfolgten Kontaktnachverfolgungen zur Corona-Bekämpfung), müssen die Datenschutzhinweise entsprechend ergänzt und angepasst werden.

Zur Erfüllung der Informationspflichten nach Art. 13 DSGVO sollten Datenschutzinformationen auch für z.B. Webseitenbesucher stets aktuell und vollständig auf der Unternehmenswebseite zu finden sein. Nur so kann der Grundsatz der Transparenz nach Art. 5 Abs. 1 lit. a DSGVO erfüllt werden. Fehlen Informationen darüber, wie und zu welchem Zweck personenbezogene Daten erhoben und verarbeitet werden, verstößt der Webseitenbetreiber gegen die Informationspflichten aus der DSGVO. Dabei sind auch die Verarbeitung durch Drittanbieter (eingebundene Webdienste, Webservices, Webtracker, Cookies etc.) betroffen. Es ist nicht unwahrscheinlich, dass ein Verstoß gegen die Informationspflicht weitere datenschutzrechtliche Verstöße nach sich zieht. Es ist Ihnen daher dringend anzuraten, dass Sie Ihre Datenschutzhinweisen überprüfen. Bei einem Verstoß gegen die Informationspflichten nach Art.13 und Art. 14 DSGVO kommt nicht nur eine Datenschutzkontrolle durch die zuständige Aufsichtsbehörde und in der Folge zu Anordnungen zur Beseitigung der weiteren festgestellten Verstöße in Betracht, sondern auch eine Sanktion in Form von empfindlichen Bußgeldern. Letztlich geht es darum, die betroffenen Personen durch umfassende Informationen die Möglichkeit zu bieten, selbst über die Verarbeitung ihrer Daten zu bestimmen.

Die Informationspflichten gelten im Übrigen nicht nur gegenüber Webseitenbesucher, sondern gegenüber allen Ihren Betroffenengruppen (z.B. auch Mitarbeiter, Bewerber, Kunden, Interessenten, Newsletter-Empfänger, Videokonferenz-Teilnehmer etc.).

Ein gravierender Fehler von Unternehmen ist dabei aber häufig, dass in die Datenschutzhinweise der Webseite (zur Informationspflichterfüllung gegenüber der Betroffenengruppe Webseitenbesucher) gerne alles hineingepackt wird, was einem zum Datenschutz einfällt. Dabei ist deutlich klarzustellen, dass die Informationspflichten gegenüber den „anderen“ oben genannten Betroffenengruppen, nichts mit den Datenschutzhinweisen für die Webseite Ihres Unternehmens zu tun haben. Die Datenschutzhinweise für eine Webseite beziehen sich immer nur auf die Datenverarbeitung, die über die Webseite erfolgt (z.B. was und wie lange der Webserver Zugriffe speichert, Hinweise zu Cookies und Webformularen, Informationen zum Newsletter etc.). Die „anderen“ Datenschutzhinweise anderer Datenverarbeitungen hingegen sind betroffenengruppenspezifisch für die jeweils bestimmte Verarbeitung im Unternehmen dem Betroffenen zugänglich zu machen. Je konkreter, desto besser.

Verantwortliche müssen dazu geeignete Maßnahmen treffen, um der/den betroffenen Person/en alle Informationen gemäß Art.13 und 14 DSGVO, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Erheben Sie personenbezogene Daten bei der betroffenen Person, so müssen Sie als Verantwortlicher der betroffenen Person zum Zeitpunkt der Erhebung diese Informationen mitteilen.

Gerne unterstützen wir Sie hier bei einer betroffenengruppenspezifischen Umsetzung der Informationspflichterteilung, damit Sie sich nicht dem Vorwurf einer mangelhaften Umsetzung von datenschutzrechtlichen Informationspflichten und somit Rechtsunsicherheiten ausgesetzt sehen.

Die vollständige News als PDF können Sie hier herunterladen.


Anmeldung zum Infoletter

Nutzen Sie die Chance in unregelmäßigen Abständen alle wichtigen News zu den Themen IT Security, digitale Lösungen und weiteren IT-Dienstleistungen zu erhalten.