Die Datenschutzbehörden in Europa verhängen regelmäßig Bußgelder. Damit Sie nicht in ähnliche Fallen tappen wie andere Unternehmen und selbst einmal reflektieren können, wo bei Ihnen Nachbesserungsbedarf ist, schauen wir uns hier heute einmal ein paar davon an.

Die Federación de Balonmano de Castilla la Mancha hat ein Bußgeld in Höhe von 17.000,00 € bekommen, da sie gegen Art. 9 DS-GVO und Art. 13 DS-GVO verstoßen haben. Es wurde Beschwerde bei den spanischen Aufsichtsbehörden eingereicht, da die Federación de Balonmano de Castilla la Mancha für die Teilnahme an sportlichen Wettbewerben in der Region von Castilla la Mancha die Vorlage eines Impfnachweises, einer Genesungsbescheinigung oder eines SARS-CoV-2-Antigen-Schnelltests mit einem negativen Ergebnis verlangte. Dazu mussten die Teilnehmer die entsprechenden Unterlagen bis 48h vor Beginn der Veranstaltung die Dokumente auf der Webseite des Verbandes hochladen. Hierbei handelt es sich um eine Verarbeitung von Gesundheitsdaten für welche der Verband eine Rechtsgrundlage nach Art. 6 DS-GVO sowie die Erfüllung einer der Bedingungen aus Art. 9 Abs. 2 DS-GVO vorweisen muss. Die Aufsichtsbehörde ist der Ansicht, dass die Datenverarbeitung für den Schutz von lebenswichtigen Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich nach Art. 6 Abs. 1 lit. d DS-GVO ist. Allerdings stellt die Behörde in ihrer Entscheidung fest, dass der Verband gegen Art. 9 DS-GVO verstößt, da hier keine Norm des Unionsrechts oder des spanischen Rechts die Verarbeitung von Gesundheitsdaten für die Teilnahme an sportlichen Wettbewerben legitimiert. Dazu kommt, dass der Verband seinen Informationspflichten nach Art. 13 DS-GVO nicht nachgekommen ist.

Beim Luftfrachttransportunternehmens SAF LOGISTICS ging die französische Datenschutzbehörde einer Beschwerde eines Mitarbeiters nach. Es sollten laut Beschwerdeführer durch das Unternehmen etliche personenbezogene Daten über das Privatleben der Mitarbeiter sowie deren Familienmitglieder verarbeitet worden sein im Rahmen eines Bewerbungsverfahrens für eine Stelle in der chinesischen Muttergesellschaft. Hier wurden Formulare versandt welche ethnische Herkunft, politische Zugehörigkeit, Blutgruppe sowie etliche Informationen über Familienmitglieder, wie deren Identität, Kontaktdaten, Arbeitgeber, Position und Familienstand abfragten. Die französische Datenschutzbehörde hat festgestellt, dass der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DS-VGO nicht eingehalten und keine der Bedingungen aus Art. 9 Abs. 2 DS-GVO erfüllt wurde. Außerdem kam heraus, dass das Unternehmen Strafregistereinträge von Beschäftigten ohne Rechtsgrundlage aufbewahrte. Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen oder Straftaten aufgrund Art. 6 Abs. 1 DS-GVO darf gemäß Art. 10 DS-GVO nur unter behördlicher Aufsicht erfolgen oder wenn dies nach Unionsrecht oder dem Recht der Mitgliedsstaaten zulässig ist. Weiterhin hat das Unternehmen gegen die Kooperationspflicht des Verantwortlichen nach Art. 31 DS-GVO verstoßen, indem dieses eine unvollständige Übersetzung des Formulars vorlegte.

Das Luftfrachttransportunternehmen SAF LOGISTICS erhielt hier wegen seiner Verstöße gegen die Art. 5 Abs. 1 lit. c DS-GVO, Art. 9 DS-GVO, Art. 10 DS-GVO und Art. 31 DS-GVO ein Bußgeld in Höhe von 200.000,00 €. Also Obacht im Beschäftigtendatenschutz! Außerdem lehrt dieser Fall, dass man stets alle Grundsätze im Auge behalten sollte. Denken Sie auch daran, dass Sie als Verantwortlicher verpflichtet sind mit Aufsichtsbehörden zusammenzuarbeiten.

Die irische Datenschutzbehörde stellte eigene Untersuchungen bei der TikTok Technology Limited im Zeitraum zwischen dem 31. Juli 2020 und dem 31. Dezember 2020 an und stellte dabei in diesem Zeitraum zahlreiche Verstöße im Umgang mit personenbezogener Daten Minderjähriger fest. Profile minderjähriger Nutzer waren automatisch auf öffentlich gestellt, sodass deren Inhalte für jeden Nutzer zugänglich waren. Durch die Familienverbindung-Einstellung konnte das Konto eines Minderjährigen mit dem Konto eines Erwachsenen verknüpft werden wodurch die Direktnachrichten-Funktion aktiviert wurde. TikTok hat hier wohl, nach Feststellung der Behörde, nicht genug überprüft, ob das verbundene Erwachsenenkonto tatsächlich einem Elternteil gehörte. Zudem kam noch dazu, dass beim Anmeldeprozess mehrere Designs und Prozesse verwendet wurden, um Nutzer dazu zu bringen, datenschutzfeindliche Einstellungen zu akzeptieren. Dafür wurde ein Bußgeld in Höhe von 345.000,00 € verhängt.

Hier sehen Sie, dass soziale Medien im Fokus der Datenschutzbehörden stehen und Verantwortliche hier angehalten sind entsprechende technische und organisatorische Maßnahmen zu treffen, um nachweisbar die Regelungen der DS-GVO einzuhalten.

Dies nur ein kleiner Einblick in die Bußgelder im September. Diese zeigen, dass die Aufsichtsbehörden nicht schlafen und ihren Job sehr ernst nehmen. Sie sollten also stets wachsam sein und die Einhaltung der datenschutzrechtlichen Regelungen in Ihrem Unternehmen sicherstellen. Dies fängt bei Ihren Mitarbeitern an. Sind diese ordentlich geschult und sensibilisiert, können sämtliche datenschutzrechtliche Regularien in Ihrem Unternehmen besser umgesetzt werden, da Ihre Mitarbeiter bereits wissen, worauf sie achten müssen.