Immer auf dem Laufenden bleibenEine der großen Drohgebärden des Datenschutzes sind Bußgelder. Regelmäßig werden Meldungen veröffentlicht, dass Aufsichtsbehörden gegenüber den großen, internationalen Unternehmen wie Google oder Meta (Facebook) Bußgelder in Millionenhöhe verhängt haben. Diese Dimension ist weit weg von der Realität der meisten kleinen und mittelständischen Unternehmen. Aber inwieweit sind mittelständische Unternehmen tatsächlich von Bußgeldern im Datenschutz betroffen? Und wie hoch fallen solche Bußgelder aus? Wir haben für diesen Beitrag einige Fallbeispiele recherchiert.
Entsorgung von Kundendateien im Müllsack
Empfänger: Polizist
Datum: 2023
Behörde: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg
Verletztes Recht: Art. 6 DS-GVO
Bußgeld: 1.200 Euro
Eine Mitarbeiterin der Polizei führte mehrere Abfragen im Meldeportal MeldIT durch. Insbesondere soll sie sich nach einer Radiosendung dazu entschieden haben, zusätzliche Informationen über die in der Berichterstattung genannten Personen selbst zu beschaffen. Diese Abfragen gehörten nicht zu ihrer beruflichen Tätigkeit und demnach eine unrechtmäßige Verarbeitung der personenbezogenen Daten.
Quelle: https://www.baden-wuerttemberg.datenschutz.de/tatigkeitsbericht/
Datenabruf während der Arbeit aus Neugier
Empfänger: Mitarbeiterin eines Klinikums
Datum: 2023
Behörde: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg
Verletztes Recht: Art. 6 DS-GVO
Bußgeld: 2.000 Euro
Eine Klinikmitarbeiterin nutzte unbefugt ihre Zugriffsrechte im Abrechnungssystem, um private Informationen über ihre Nachbarin zu sammeln. Dabei konnte sie nicht nur die persönlichen Daten, sondern auch sämtliche Krankenhausaufenthalte und Diagnosen der Nachbarin einsehen.
Quelle: https://www.baden-wuerttemberg.datenschutz.de/tatigkeitsbericht/
Entsorgung von Kundendateien im Müllsack
Empfänger: Betreiber eines Pizzalieferservice
Datum: 2023
Behörde: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg
Verletztes Recht: Art. 5 Abs. 1 lit. f DS-GVO
Bußgeld: Mittlerer vierstelliger Bereich
Dem Betreiber wurde vorgeworfen, seit mehreren Jahren ausgedruckte Kassenbelege nach Auftragserledigung innerhalb seiner Verkaufs- und Lagerräume vor der finalen Entsorgung in offenen Abfall-Behältnissen oder Mullsäcken zu sammeln bzw. zwischenzulagern. Der Verstoß wurde durch das Ordnungsdienst einer Großstadt entdeckt, da zwei große Müllsäcke neben einem Altglascontainer mit den Kassenbelegen mit vollständigen Kundendaten entdeckt wurden. Der Gewerbetreibende machte seinen Mitarbeiter für die unsachgemäße Müllentsorgung verantwortlich, übersah aber, dass er gemäß Art. 4 Nr. 7 DS-GVO verantwortlich ist. Es wurde davon ausgegangen, dass es sich dabei nur um „die Spitze des Eisbergs“ handelt und daraufhin wurden die Verkaufsräume durchsucht.
Quelle: https://www.baden-wuerttemberg.datenschutz.de/tatigkeitsbericht/
Einsatz von privater Dashcam zur Verkehrserziehung
Empfänger: Fahrlehrer
Datum: 2023
Behörde: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg
Verletztes Recht: Art. 6 Abs. 1 S. 1 lit. f DS-GVO, Art. 6 Abs. 1 lit. a DS-GVO
Bußgeld: unterer vierstelliger Bereich
Ein ehemaliger Fahrlehrer filmte mit seiner Dashcam ein vermeintlich unrechtmäßiges Verhalten eines vorausfahrenden Fahrers. Nachdem er sein Missfallen durch Lichthupe signalisierte, kam es zu einem Gespräch, bei dem der Fahrlehrer dem Verkehrssünder das Fehlverhalten anhand der Dashcam-Aufnahmen zeigte. Der aufgezeichnete Fahrer alarmierte die Polizei, und die Dashcam wurde auf richterliche Anordnung beschlagnahmt. Es wurde ein Bußgeld verhängt, da die Aufzeichnungen zweckwidrig als Instrument der Verkehrserziehung eingesetzt wurde. Für Privatpersonen besteht kein berechtigtes Interesse an einer beweiserheblichen Aufzeichnung des Fahrverhaltens anderer, um diese zu erziehen.
Quelle: https://www.baden-wuerttemberg.datenschutz.de/tatigkeitsbericht/
Veröffentlichung eines Fotos in einer Unternehmens-WhatsApp-Gruppe (neu)
Empfänger: Datenschutzbeauftragter
Datum: 2022
Behörde: Thüringer Landesbeauftragter für den Datenschutz und die Informationssicherheit
Verletztes Recht: Art. 6 Abs. 1 DS-GVO
Bußgeld: Dreistelliger Bereich
Im Jahr 2022 reichte ein ehemaliger Mitarbeiter eines Unternehmens eine Beschwerde ein, da ein anderer Mitarbeiter, der gleichzeitig als Datenschutzbeauftragter des Unternehmens fungierte, in einer internen WhatsApp-Gruppe ein Foto teilte von dem Geschädigten nach einem tätlichen Angriff, blutend und mit ausgeschlagenem Zahn. Das Bild wurde ohne das Wissen des Geschädigten, der früher für das Unternehmen gearbeitet hatte, angefertigt und in der WhatsApp-Gruppe veröffentlicht, die mittlerweile gelöscht wurde. Nach den Zeugenvernehmungen stellte sich heraus, dass das Foto bei einem Junggesellenabschied mehrere Jahre zuvor entstanden war. Der Geschädigte hatte weder in die Anfertigung noch in die Veröffentlichung des Fotos eingewilligt.
Quelle: https://www.tlfdi.de/fileadmin/tlfdi/presse/Pressemitteilungen_2023/5._Taetigkeitsbericht_2022.pdf
Unzureichende technische Maßnahme
Empfänger: Unternehmen
Datum: 2022
Behörde: Die Landesbeauftragte für den Datenschutz Niedersachsen
Verletztes Recht: Art. 7 Abs. 3 DS-GVO, Art. 15 DS-GVO
Bußgeld: 50.000 EUR
Im Jahr 2022 wurde ein Fall sanktioniert, der aufgrund einer technischen Störung auftrat. Ein Unternehmen betrieb ein E-Mail-Newslettersystem, das über einen längeren Zeitraum keine Möglichkeit zur Abmeldung bot. Da das Unternehmen eine hohe Frequenz von Newslettern versendete, erhielten bestimmte Personen eine große Anzahl unerwünschter E-Mails, was gegen den Datenschutz verstieß. Einige Betroffene versuchten, ihre Rechte auf andere Weise geltend zu machen. Allerdings waren auch Abmeldungen über die Mitarbeiter des Unternehmens erfolglos, und daher wurden Werbewidersprüche nicht berücksichtigt. In einem Fall wurde zudem die vom Betroffenen geforderte Auskunft verweigert
Übermittlung von Krankentagen an Führungskräfte
Empfänger: Unternehmen
Datum: 2022
Behörde: Die Landesbeauftragte für den Datenschutz Niedersachsen
Verletztes Recht: § 26 Abs. 1 S. 1 BDSG
Bußgeld: 25.000 EUR
Bei einer jährlichen Beurteilung wurden Mitarbeiter eines Unternehmens identifiziert, die über mehrere Jahre hinweg auffällig viele Krankheitstage oder Kurzerkrankungen hatten. Um den betrieblichen Ablauf nicht weiter zu stören, wurde erwogen, diesen Mitarbeitern bestimmte freiwillige Zulagen zu streichen. Die Auswertung der Daten durch den Personalbereich war rechtlich in Ordnung, da sie auch für andere arbeitsrechtliche Maßnahmen erforderlich war. Allerdings war es unzulässig, dass die Liste mit den Namen und Krankheitstagen per E-Mail an alle höherrangigen Führungskräfte versandt wurde. Dadurch erhielten diese Kenntnis darüber, welche Mitarbeiter in anderen Bereichen zu dieser Gruppe gehörten, obwohl dies nicht im Sinne des Datenschutzgesetzes erforderlich war.
Newsletter statt Kontaktnachverfolgung
Empfänger: Gastronomiebetrieb
Datum: 2022
Behörde: Die Landesdatenschutzbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
Verletztes Recht: Art. 6 Abs. 1 DS-GVO, Art. 7 Abs. 2, 3 DS-GVO
Bußgeld: Unterer fünfstelliger Bereich
Ein Gastronomiebetrieb war dazu verpflichtet, die Kontaktdaten ihrer Besucher, aufgrund der damals geltenden SARS-CoV-2-Eindämmungsverordnung, zu erheben. Hierzu mussten die Besucher Papierformulare ausfüllen, in denen Vor- und Nachname, die vollständige Anschrift, die Telefonnummer und E-Mail-Adresse anzugeben waren. Die Erhebung der E-Mail-Adresse war gesetzlich nicht vorgesehen. Zudem war in den Formularen ein Ankreuzfeld mit „Ich bin damit einverstanden, dass mich das Restaurant kontaktieren kann“ aufgedruckt. Der Gastronomiebetrieb nutzt im Nachgang die erfassten E-Mail-Adressen zur Versendung ihres Newsletters für Werbezwecke. Für diese Verwendung der Kontaktdaten bestand keine Rechtsgrundlage. Zudem war bereits die Erhebung der E-Mail-Adresse nicht erforderlich. Weiterhin war für die Besucher nicht transparent, dass es sich bei dem Ankreuzfeld um eine Einwilligung für die Zusendung eines Newsletters handeln sollte. Diese hätte auch nicht die Anforderungen an eine wirksame Einwilligung gem. Art. 7 DS-GVO erfüllt (z. B. die Information über das Bestehen eines Widerrufsrechts).
Quelle: https://www.lda.brandenburg.de/lda/de/service/taetigkeitsberichte/
Unzulässige Einsichtnahme in Grundbuch für Kaufangebot von Bauland
Empfänger: Bauunternehmen
Datum: 21.09.2022 (Veröffentlichung)
Behörde: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg
Verletztes Recht: Art. 6 Abs. 1 DS-GVO, Art. 14 DS-GVO
Bußgeld: 50.000 EUR
Ein Eigentümer eines Grundstücks erhielt ein Kaufpreisangebot von einem Bauträger. Das Schreiben des Kaufpreisangebots enthielt keine Angaben über die Herkunft der Daten. Auch auf Anfrage des Eigentümers, woher die Daten stammen, insbesondere über die Eigentümerstellung, wurde keine Auskunft gegeben.
Die Aufsichtsbehörde deckte im Rahmen eines Beschwerdeverfahrens auf, dass ein Vermessungsingenieur von seiner Befugnis zur Einsicht in das elektronische Grundbuch Gebrauch machte und mehrere hunderte Grundstückseigentümer ausfindig machte und an einen Bauträger weiterleitete. Dieser wiederum unterbreitete den so ermittelten Eigentümer Kaufpreisangebote, ohne die notwendigen Informationen gemäß Art. 14 DS-GVO mitzuteilen, insbesondere ohne über die Herkunft der Daten zu informieren.
Übermittlung von Gehaltsabrechnungen von Beschäftigten an Dritte ohne Einverständnis
Empfänger: Unternehmen
Datum: 2022
Behörde: Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
Verletztes Recht: Art. 6 DS-GVO
Bußgeldhöhe: Hoher fünfstelliger Bereich
Eine ehemalige Arbeitgeberin übermittelte die Gehaltsabrechnung ihrer Beschäftigten ohne deren Einverständnis an ein anderes Unternehmen, das die Beschäftigten weiter beschäftigen sollte. Auf Grundlage der übermittelten Gehaltsabrechnung erstellte die neue Arbeitgeberin Arbeitsverträge, in denen die Beschäftigten nicht in ihrer bisherigen Entgeltgruppe und -stufe eingestellt werden sollten, sondern in niedrigere Entgeltstufen eingeordnet wurden.
(Bescheid war zu Redaktionsschluss noch nicht rechtskräftig)
Quelle: https://datenschutz.bremen.de
Offenbarung personenbezogener Daten von Beschäftigten gegenüber Dritten ohne Rechtsgrundlage
Empfänger: Unternehmen
Datum: 2022
Behörde: Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
Verletztes Recht: Art. 9 DS-GVO
Bußgeldhöhe: Unterer fünfstelliger Bereich
Eine Arbeitgeberin versandte, aufgrund der Aufgabe des Vertriebsgeschäftes und der damit verbundenen betriebsbedingten Kündigung, einen ungeschwärzten Sozialplan an alle betroffenen Beschäftigten. Hier waren personenbezogene Daten wie Geburtsdatum, Familienstand, Beschäftigungsdauer alle Betroffenen enthalten. Diese Offenlegung von Daten anderer Beschäftigter erfolgt ohne Bestehen einer Rechtsgrundlage und war somit unzulässig.
Quelle: https://datenschutz.bremen.de
Rechtswidriger Einsatz von GPS-Software in Dienstfahrzeugen
Empfänger: Aktiengesellschaft
Datum: 2022
Behörde: Die Landesbeauftragte für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen
Verletztes Recht: Art. 6 DS-GVO
Bußgeldhöhe: Fünfstelliger Bereich
Eine Aktiengesellschaft hatte in ihren Dienstfahrzeugen eine GPS-Ortungssoftware eingesetzt, die eine zeitlich uneingeschränkte Überwachung ihrer Mitarbeiter ermöglichte. Diese Software zeichnete unter anderem den Zeitpunkt des Anlassens und Abstellen des Motors jeweils verknüpft mit dem Ort, sowie Standort-Geodaten in Echtzeit, Fahrrouten und die Geschwindigkeit des Fahrzeugs. Die Speicherdauer dieser Daten betrug sechs Monate. Bei diesen Daten handelte es sich um Beschäftigtendaten, da sich diese auf die Aktivitäten und Bewegungen des im Dienstfahrzeug sitzenden Mitarbeiter beziehen ließen. Das ununterbrochene GPS-Tracking erfolgte ohne Rechtsgrundlage. Es war weder für das Führen des Fahrtenbuches noch für die Einsatzkoordination und die Fuhrparkverwaltung erforderlich.
Quelle: https://datenschutz.bremen.de
Einfließen von Gesundheitsdaten in Bürobelegungsplan
Empfänger: Unternehmen
Datum: 2022
Behörde: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg
Verletztes Recht: Art. 9 DS-GVO
Bußgeldhöhe: 20.000 Euro
Ein Unternehmen trug Informationen zum Impfstatus seiner Beschäftigten zusammen und ließ diese Informationen in den neuen Bürobelegungsplan einfließen, auf den die Mitarbeiter Zugriff hatten. Demnach waren abhängig vom Impfstatus die Mitarbeiter der Farben rot, gelb oder grün zugeordnet. Dadurch konnten Mitarbeiter den Impfstatus der Kollegen ermitteln. Hier handelt es sich um einen unzulässigen Umgang mit sensiblen personenbezogenen Daten. Das Verfahren wurde an die Bußgeldstelle abgegeben, nachdem sichergestellt wurde, dass die Daten gelöscht wurden.
Quelle: https://www.baden-wuerttemberg.datenschutz.de/tatigkeitsbericht/
Übermittlung von Kundendaten trotz Widerspruch
Empfänger: Versorgungsunternehmen
Datum: 16.06.2021 (Bescheid)
Behörde: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Verletztes Recht: Art. 5 Abs. 1 lit. a) DS-GVO, Art. 6 Abs. 1 DS-GVO
Bußgeldhöhe: 12.500 Euro
Aufgrund einer Ausgliederung der Heizenergiesparte eines deutschen Energieversorgers und die daraus resultierende Veräußerung der ausgegliederten Sparte, wurden von der Ausgliederung betroffene Kunden über die Vertragsübergänge ihrer Strombelieferungsverträge informiert. Ihnen wurde mit der Übermittlung der Information auch ein Widerspruchsrecht eingeräumt. Haben die Kunden widersprochen, so sollten keine personenbezogenen Daten der widersprechenden Kunden an das neue Unternehmen übermittelt werden.
Trotz rechtmäßiger Widersprüche von Kunden wurden dennoch Daten an das neue Unternehmen übermittelt. Grund für diese Situation waren Fehler bei der Verarbeitung der Widersprüche durch den Auftragsverarbeiter des veräußernden Unternehmens.
Quelle: https://datenschutz-hamburg.de/assets/pdf/30._taetigkeitsbericht_datenschutz_2021.PDF
Haben Sie Fragen zum Thema Bußgeld und Bußgeldrisiken im Datenschutz? Dann vereinbaren Sie hier einfach einen für Sie kostenfreien und unverbindlichen Kennenlern-Termin mit uns.
Übermittlung eines Gesundheitsdatums eines Beschäftigten an über 3.000 Kunden ohne Rechtsgrundlage
Empfänger: Überregionale Autohandelsgruppe
Datum: 12.01.2021 (Bescheid)
Behörde: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Verletztes Recht: Art. 6 Abs. 1 DS-GVO, Art. 5 Abs. 1 lit. a) DS-GVO, Art. 9 Abs. 1 DS-GVO, § 26 Abs. 1 BDSG
Bußgeldhöhe: 10.110 Euro
Eine überregionale Autohandelsgruppe informierte den Kundenstamm seiner Niederlassung außerhalb Hamburgs, dass die Gründe für die dortige Umstrukturierung aus Gründen von gesundheitlichen Beschwerden des bisherigen Verkaufsleiters stattfinden und diese bis auf unbestimmte Zeit anhalten werden. Es bestand keine Rechtsgrundlage für die Mitteilung von Gesundheitsdaten, hier der krankheitsbedingte Ausfall des Verkaufsleiters, weswegen diese Auskunft nicht erfolgen dürfen.
Quelle: https://datenschutz-hamburg.de/assets/pdf/30._taetigkeitsbericht_datenschutz_2021.PDF
Nichterfüllung eines Auskunftsersuchen
Empfänger: Unternehmen
Datum: 2021
Behörde: Der Landesbeauftragte für Datenschutz und Informationsfreiheit Rheinland-Pfalz
Verletztes Recht: Art. 15 DS-GVO
Bußgeldhöhe: 60.000 Euro
Leider sind im Tätigkeitsbericht der Aufsichtsbehörde keine weiteren Informationen enthalten.
Quelle: https://www.datenschutz.rlp.de/fileadmin/lfdi/Taetigkeitsberichte/ds_tb30.pdf
Verletzung der Meldepflicht
Empfänger: Unternehmen
Datum: 31.12.2020 (Bescheid)
Behörde: Berliner Beauftragte für Datenschutz und Informationsfreiheit
Verletztes Recht: Art. 33 DS-GVO
Bußgeldhöhe: 12.000 Euro
Leider sind im Tätigkeitsbericht der Aufsichtsbehörde keine weiteren Informationen enthalten.
Quelle: https://pardok.parlament-berlin.de/starweb/adis/citat/VT/18/SchrAnfr/s18-27115.pdf
Wiederholte Verletzung der Auskunftspflicht gegenüber Betroffenen
Empfänger: Kapitalgesellschaft
Datum: 31.12.2020
Behörde: Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Verletztes Recht: Art. 12 Abs. 3 DS-GVO, Art. 15 DS-GVO
Bußgeldhöhe: 18.200 Euro
Ein Betroffener verlangte Auskunft sowie Löschung seiner Daten bei der Kapitalgesellschaft. Nach der Authentifizierung des Betroffenen, wurde ihm mitgeteilt, dass lediglich Daten gespeichert seien, die er selbst eingegeben habe. Anschließend wurden die Daten gelöscht, weswegen keine Auskunft erteilt werden konnte. Ein weiteres Auskunftsersuchen des Betroffenen wurde anfangs nicht bearbeitet. Nach Einschreiten der Aufsichtsbehörde wurde eine Auskunft, mit einer Verspätung von mehr als drei Monaten, erteilt.
Quelle: https://datenschutz.hessen.de/sites/datenschutz.hessen.de/files/2022-08/hbdi_49_tatigkeitsbericht_2021_0.pdf, S. 159
Verweigerung des Zugangs zu Geschäftsräumen ggü. der Datenschutzbehörde bei unangekündigten Kontrolle
Empfänger: Unternehmen
Datum: 31.12.2019 (Bescheid)
Behörde: Bayrisches Landesamt für Datenschutzaufsicht
Verletztes Recht: Art. 58 Abs. 1 lit. f) DS-GVO
Bußgeldhöhe: 7.000 Euro
Bei einer unangekündigten Vor-Ort-Kontrolle wurde der bayrischen Datenschutzaufsicht der Zugang zu den Geschäftsräumen sowie den Datenverarbeitungsanlagen des Unternehmens verweigert. Das Unternehmen hat Einspruch erhoben und der Bescheid wurde vom zuständigen Amtsgericht überprüft. Hierbei wurden die ursprünglich verhängten 20.000 EUR auf 7.000 EUR Bußgeld reduziert.
Quelle: https://www.lda.bayern.de/media/baylda_report_10.pdf
