Aktuelle Bußgelder - und was man daraus ableiten kann

HMDATA Datenschutz-Newsletter 08/2022, Autor: Dipl.-Ing. (FH) Harald Müller-Delius, MBA, ©HMD 2024

Solange sie einen nicht selber betreffen, sind Bußgeldern nicht schlimm - es trifft schließlich die anderen. Aber der Grund der Verhängung ist meist von großem Interesse, insb. zur Prävention. Es ist zu beobachten, dass es in letzter Zeit immer häufiger zu durch von Aufsichtsbehörden verhängten Bußgeldern kommt. Das ist zum einen löblich, weil dadurch immer mehr Fälle an Klarheit gewinnen und man sich für die eigenen Tätigkeiten gut präventiv orientieren kann.
Zum anderen ist das aber auch ein Hinweis, dass sowohl Behörden als auch Kunden immer genauer auf die Datenaktivitäten von Unternehmen schauen.
Summierend bleibt aber die Erkenntnis, dass es nach wie vor die schwarzen Datenschutzsünder-Schafe trifft, die mehr oder weniger vorsätzlich oder grob fahrlässig beim Umgang mit personenbezogenen Daten handeln.
Trotzdem lohnt ein Blick auf aktuelle Fälle für die eigene Datenschutz-Compliance.

Mangelnde Datenaktualisierung

Fall (Kurzform):
Ein Unternehmen hatte postalisch eine Kundenabrechnung an die im DV-System hinterlegte Adresse versandt. Diese war jedoch veraltet und der neue Mieter der Wohnung bekam Zugriff auf die Daten des Kunden.
Urteil:
behördlich wurde dem Unternehmen ein Verstoß gegen die Datenrichtigkeit nach Art. 5 Abs. 1 lit. d DSGVO vor und verhängte ein Bußgeld von 60.000 Euro. Es hätte Kundendaten auf dem aktuellsten Stand halten müssen.
Auswirkung:
das Bußgeld hat Brisanz - insb. für Versicherungsmakler, die dem Kunden zur Datenrichtigkeit im Maklervertrag eine Bringschuld bei tarifrelevanten Änderungen aufbürden. Aus dem Datenschutz ergibt sich ganz klar die Forderung, dass zum Kunden verarbeitete personenbezogene Daten aktuell gehalten werden müssen.
Prävention:
Kommunikation mit Daten aus Altbeständen sollte vorab gut geprüft werden. Ggf. schickt man im Vorfeld eine "unverfängliche" E-Mail mit der Bitte um Bestätigung der Richtigkeit der verwendeten Kontaktadresse. Ansonsten bei jedem (größeren) Kundenkontakt ggf. nach Aktualisierung fragen. Wenn das in einem soliden Workflow mit guter technischer Unterstützung durchgeführt wird, nimmt dies meist keinerlei "Extra"-Aufwand in Anspruch und man hat den Vorteil eines hochaktuellen Kundenbestandes. Und ein praxisbewährter Tipp: bedingungsloses Aussortieren der Altbestände, die wenig oder kaum noch Umsatz bringen.

Datenanreicherung zu Werbezwecken

Fall (Kurzform):
ein Unternehmen der Finanzbranche wollte zielgruppenbasierte Werbung an seine Kunden durchführen. Dazu wurden eigene Daten über das Kaufverhalten, Medienaffinität, finanzielles Potenzial, AppStore-Nutzung usw. auch mit Hilfe eines externen Dienstleister angereichert. Die Werbeaktion wurde dann unter Berufung auf Art. 6 Abs. 1 lit f. DSGVO "Berechtigtes Interesse" durchgeführt.
Urteil:
das Bußgeld über 900.000 Euro wurde von der Behörde verhängt, weil die Kunden nicht transparent über die Datennutzung informiert wurden und zudem das "berechtigte Interesse" in diesem Fall nicht die schutzwürdigen Interessen des Kunden übersteigt. Die Kunden hätten also nach Art. 6 Abs. 1 lit a DSGVO eine Einwilligung sowohl in die Verarbeitung als auch in den Werbeempfang erteilen müssen.
Auswirkung:
obwohl das Direktmarketing nach ErwGr. 47 Satz 7 durchaus als berechtigtes Interesse gelten kann, muss die Berufung auf den Art. 6 Abs. 1 lit. f DSGVO immer genau geprüft und abgewogen werden. Es kommt also durchaus auf den spezifischen Einzelfall an. Eine umfangreiche Datenanreicherung wie im o.a. Fall entspricht auf alle Fälle nicht einer vernünftigen Erwartungshaltung der Betroffenen, insofern überwiegt das schutzwürdige Interesse. Direktmarketing datenschutzkonform ist bereits eine Herausforderung, solange keine explizite Einwilligung vorliegt. Und die Konformität nach dem UWG stellt nochmals höhere Hürden auf.
Prävention:
Einholen einer nachweisbaren werblichen Einwilligung vom jeweiligen Kunden und transparente Information über die Datenherkunft und - Nutzung. Solange von einer hohen Affinität des Kunden zum Thema innerhalb einer Produktkategorie vorliegt, kann eine Direktwerbung datenschutzkonform (vorbehaltlich UWG!) durchgeführt werden, solange man die Beurteilung aus Kundensicht vornimmt.

Mangelnde Technik bei Migration

Fall:
ein auftragsverarbeitendes Unternehmen im Gesundheitsbereich hatte eine Migration auf ein neues IT-System vorgenommen. Während der Migration standen von ca. 500.000 Kunden besondere personenbezogene Daten zum Gesundheitsstatus offen verfügbar zur Einsicht im Internet.
Urteil:
auf Grund der Fahrlässigkeit bei den Technisch-Organisatorischen-Maßnahmen und der enormen Anzahl der Betroffenen wurde wegen mangelnder Sorgfaltspflicht 1.5 Mio Euro an Bußgeld verhängt. Zudem hatte das Unternehmen als Auftragsverarbeiter bei der Migration über die Weisungen der Auftraggeber hinaus Verarbeitungen vorgenommen und somit rechtswidrig durchgeführt.
Auswirkung:
bei der Verarbeitung von besonderen personenbezogenen Daten - hier also insb. Gesundheitsdaten - ist durch Ergreifen geeigneter technisch organisatorischer Maßnahmen nach Art. 32 DSGVO besondere Sorgfaltspflicht zu wahren. Es ist also zu keinem Zeitpunkt - auch nicht bei Backup oder Migration - das nötige Schutzniveau zu unterschreiten. Auch sollten alle Verfahren bei der Verarbeitung zumindest evaluiert und dokumentiert sein, insb. bei der Planung von Systemumstellungen oder Migrationen beachtet werden.
Prävention:
Planung, Organisation, Know-How und Dokumentation sind das "A und O" bei der Verarbeitung sensibler Daten. Risikominimierend wirkt auch bspw. die Pseudonymisierung, Berechtigungskonzepte, Verschlüsselung, Zwei-Faktor-Authentifizierung, 4-Augen-Prinzip, Risikomanagement der identifizierten Verarbeitungen, usw. helfen bei der Vermeidung von Datenpannen.