· 

Ausgewählte Entscheidungen zum Datenschutz

Was bisher geschah

Von 50 Millionen und 5.000 Euro – ausgewählte Entscheidungen im Rahmen der DSGVO gefällter Urteile

Seit 25. Mai 2018 (und somit seit fast einem Jahr) gilt die Datenschutzgrundverordnung (DSGVO). Eine Auswahl wesentlicher erstinstanzlicher Entscheidungen zeigt auf, wie die europäischen Entscheidungsträger ticken und versuchen, Klarheit bei den (vielen) unbestimmten Begriffen der DSGVO zu schaffen.

Ein Computer mit einem Richter utensil darauf spielt auf die wichtige Rolle der DSGVO an
Knapp ein Jahr nach Inkrafttreten der DSGVO gibt es schon zahlreiche Urteile – über vier konkrete wird hier berichtet.

Urteil 1: GOOGLE – Französische Datenschutzbehörde verhängt 50 Millionen Euro Strafe

Die französische Datenschutzbehörde (CNIL – Commission Nationale de l’Informatique et des Libertés) hat am 21. Jänner 2019 die bislang höchste Strafe verhängt und damit gezeigt, dass die „Schonfrist“ zur Umsetzung der DSGVO jedenfalls zu Ende ist:

Kurz nach dem Geltungsbeginn der DSGVO brachten zwei NGOs bei der Französischen Datenschutzbehörde fast zeitgleich Beschwerden gegen Google ein. Dies war einerseits die von Max Schrems gegründete Organisation „NOYB – Europäisches Zentrum für digitale Rechte“ (NOYB steht für „non of your business“). Bemängelt wurde, dass Mobiltelefone mit Android (dem Betriebssystem von Google) nur dann funktionierten, wenn der User in die Datenschutzerklärung eingewilligt hatte. Andererseits wurde von der NGO „La Quadrature du Net Association“ vorgebracht, dass Google rechtgrundlos die Daten ihrer Nutzer verarbeiten würde.

 

Die französische Datenschutzbehörde griff zunächst einen Verstoß gegen das Transparenzgebot und eine damit einhergehende Verletzung der Informationspflicht auf.

Die DSGVO legt in ihrem Artikel 12 fest, dass eine Informationserteilung an betroffene Personen stets in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache zu erfolgen hat. Welche Informationen dies sind, legt die DSGVO in den Artikeln 13 und 14 näher fest.

 

Zusammengefasst bemängelte die französische Datenschutzbehörde in ihrer Entscheidung, dass

  • teilweise wichtige Informationen erst nach mehreren Klicks zugänglich gemacht wurden;
  • die Informationen über mehrere Dokumente verteilt waren;
  • insgesamt eine sehr komplexe Architektur der Informationserteilung vorherrschte;
  • die Verarbeitungszwecke und auch die erhobenen Daten nicht konkret genug angegeben wurden (z.B.: „Verbesserung der Dienste“ sei jedenfalls nicht ausreichend konkretisiert);
  • die Aufbewahrungsdauer teilweise nicht angegeben wurde und wenn, dann an einer Stelle, wo nicht damit zu rechnen war;
  • zu unpräzise Angaben über die jeweiligen Rechtsgrundlagen gemacht wurden.

Als zweiten Punkt behandelte die französische Datenschutzbehörde den Vorwurf der fehlenden Rechtsgrundlagen:

Aus Sicht der Behörde könne bereits aufgrund der mangelhaften Informationserteilung nicht von einer wirksamen Einwilligung ausgegangen werden. Aber auch isoliert betrachtet liege eine solche nicht vor. So sei insbesondere eine pauschale Einwilligung für sämtliche Verarbeitungsvorgänge, welche ausschließlich durch weiteres Zutun des Nutzers in einzelne aufgeteilt werden konnte, nicht DSGVO-konform. Die DSGVO verlange nämlich, dass der User seine Einwilligung für jeden Verarbeitungszweck einzeln abgeben kann. Weiters waren die Check-Boxen für die Zustimmung bereits vorangekreuzt, was ebenso gegen die Bestimmungen der DSGVO verstoße. Eine Einwilligung sei nur dann wirksam, wenn sie durch eindeutiges und aktives Handeln erfolge; die Check-Boxen hätten daher nicht bereits vorausgewählt sein dürfen.

 

Im Ergebnis sprach die französische Datenschutzbehörde eine Geldbuße in Höhe von 50 Millionen Euro aus und begründete dies mit einer besonders massiven und aufdringlichen Datenverarbeitung. Google hat diese Entscheidung bereits angefochten. Es bleibt also abzuwarten, wie das oberste Verwaltungsgericht Frankreichs in weiterer Folge entscheidet.

Urteil 2: Österreichische Datenschutzbehörde – Löschen bedeutet NICHT(!!) vernichten

In einem anderen Fall hat sich die Österreichische Datenschutzbehörde mit der „Löschpflicht“ auseinandergesetzt.

Ein Versicherungsunternehmen wollte einem Löschbegehren dadurch entsprechen, dass es zwar tatsächlich teilweise Daten vernichtete, aber hinsichtlich eines Teils der Daten lediglich den Personenbezug entfernte (also anonymisierte) und durch Zusammenführung mit einer anderen anonymisierten Person die Überschreibung auch technisch nachhaltig verankerte.

Entgegen der Ansicht der betroffenen Person sprach die Österreichische Datenschutzbehörde aus, dass eine Löschung bereits dann vorliege, „… wenn die Verarbeitung und Nutzung der personenbezogenen Daten einer betroffenen Person – so wie im vorliegenden Fall – nicht mehr möglich ist.“ Darüber hinaus sei eine endgültige Irreversibilität nicht erforderlich, um einem Löschungsbegehren zu entsprechen. Es sei jedoch sicherzustellen, „… dass weder der Verantwortliche, noch ein Dritter ohne verhältnismäßigen Aufwand den Personenbezug wiederherstellen kann.“

Eine etwas detailliertere Abhandlung zu diesem Fall haben wir bereits geschrieben, Sie finden diesen Artikel hier.

Urteil 3: KOLIBRI IMAGE – 5.000 Euro Strafe für fehlenden Auftragsverarbeitervertrag

Am 17.12.2018 verhängte die Hamburger Datenschutzbehörde ein Bußgeld von 5.000 Euro über ein kleines Unternehmen. Der Grund war das Fehlen eines Auftragsverarbeitervertrages.

 

Den Anstoß für die Verhängung gab allerdings das bestrafte Unternehmen selbst. Dieses wandte sich im Mai 2018 an den Hessischen Beauftragten für den Datenschutz mit der Bitte um Rat, da der vom Unternehmen herangezogene Dienstleister trotz mehrfacher Aufforderung keinen Auftragsverarbeitervertrag übermittelt habe. Der Hessische Beauftragte für den Datenschutz wies das Unternehmen darauf hin, dass die Pflicht zum Abschluss auch den Auftraggeber (dieser ist der Verantwortliche im Sinne der DSGVO) treffe. Kolibri Image war jedoch der Ansicht, es handle sich hierbei ausschließlich um eine Pflicht seitens des Auftragnehmers und führte darüber hinaus an, dass eine Erstellung gar nicht möglich sei, da man die internen Prozesse des Dienstleisters nicht kenne. Die zuständige Datenschutzbehörde in Hamburg folgte im Ergebnis der Ansicht ihres Kollegen aus Hessen und verhängte wegen des Verstoßes gegen die Pflicht zum Abschluss eines Auftragsverarbeitervertrages ein Bußgeld von 5.000 Euro. Als erschwerend wurde die weitere Inanspruchnahme des Dienstleisters gewertet, obwohl eine entsprechende Auskunft des Hessischen Beauftragten für den Datenschutz vorlag.

 

Kolibri Image hat diese Entscheidung angefochten und veröffentlichte dazu eine Stellungnahme. Demnach sei die Zusammenarbeit mit dem Dienstleister umgehend eingestellt worden. Dieser schien jedoch in einer von fünf teils unterschiedlichen, von Kolibri Image verwendeten Datenschutzerklärungen noch auf, was von der Datenschutzbehörde als Beweis für eine weitere Inanspruchnahme des Dienstleisters gesehen wurde. Es bleibt daher die Berücksichtigung dieses Umstandes durch die zweite Instanz abzuwarten. Die Verhängung einer Strafe für einen Sachverhalt, wie er von der Hamburger Datenschutzbehörde festgestellt wurde, wird aber wohl jedenfalls rechtens sein.

Urteil 4: KNUDDELS.de – 20.000 Euro Strafe für die unverschlüsselte Speicherung von Passwörtern

In dieser Entscheidung des Datenschutzbeauftragten für Baden-Württemberg ging es um das soziale Netzwerk Knuddels.de. Dieses wurde im September 2018 Opfer eines Hacker-Angriffes. Dabei wurden laut Informationen des Unternehmens rund 808.000 E-Mail-Adressen sowie 1,872.000 Pseudonyme und Passwörter im Internet veröffentlicht.

Vorbildlich meldete Knuddels diesen Data Breach der Aufsichtsbehörde und verständigte umgehend die betroffenen Personen. Dies wurde vom baden-württembergischen Datenschutzbeauftragten bei der Bemessung der Strafe auch mildernd berücksichtigt. Jedoch kam die Behörde nicht umhin, den Verstoß gegen die Pflicht zur Datensicherheit (Artikel 32 DSGVO) mit einer Strafe von 20.000 Euro zu sanktionieren. Insbesondere die unverschlüsselte Speicherung der User-Passwörter, aber auch sonstige Mängel hinsichtlich der IT-Sicherheit und damit insgesamt die mangelnde Setzung entsprechender technischer und organisatorischer Maßnahmen hätten die Sicherheit der Daten gefährdet und in letzter Konsequenz den Data Breach begünstigt.

Conclusio – was bedeutet das für Sie?

  • Nicht nur das Vorhandensein einer Datenschutzerklärung und einer Einwilligungserklärung muss sichergestellt werden. Vielmehr müssen Informationen transparent erteilt werden. Die Wirksamkeit einer Einwilligung für jeden einzelnen Verarbeitungszweck muss sich in einem eindeutigen und aktiven Handeln der betroffenen Person manifestieren.
  • Der Löschverpflichtung kann wohl bereits durch eine „Anonymisierung“, welche nur mit übermäßigem Aufwand rückgängig gemacht werden kann, nachgekommen werden.
  • Die Pflicht zum Abschluss eines Auftragsverarbeitervertrages trifft jedenfalls auch den Auftraggeber.
  • Auch kleine Unternehmen sind vor Strafen nicht gefeit.
  • Die Sicherheit von Daten muss durch geeignete technische und organisatorische Maßnahmen sichergestellt werden, zu denen jedenfalls die Verschlüsselung von User-Passwörtern zählt.
  • Organisatorische Maßnahmen, etwa die Erstellung eines effektiven Krisenmanagements oder die laufende datenschutzrechtliche Schulung von Mitarbeitern, können sich mildernd auf die Höhe einer Strafe auswirken.

Holen Sie sich Ihre kostenlose Testversion der DG7App zur Mitarbeiterschulung