Der Juni 2024 war ein bedeutsamer Monat im Bereich Datenschutz und Datensicherheit, geprägt von mehreren hohen Bußgeldern, die von Datenschutzbehörden in ganz Europa verhängt wurden. Diese Strafen dienen als Mahnung für Unternehmen, die Datenschutzgesetze nicht einzuhalten. Hier sind die fünf Top Bußgelder im Juni 2024.
1. Avanza Bank AB: 1.332.681 € (Schweden)
Datum (Veröffentlichung): 26.06.2024
Behörde: Integritetsskyddsmyndigheten
Verstoßene Artikel: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 Abs. 1 lit. i DSGVO
Vergehen: Übermittlung personenbezogener Daten an Meta aufgrund fehlerhafter Einstellungen.
Die schwedische Datenschutzbehörde verhängte ein Bußgeld in Höhe von 15 Millionen SEK (ca. 1.332.681 EUR) gegen die Avanza Bank AB. Aufgrund falscher Einstellungen wurden über einen längeren Zeitraum personenbezogene Daten an Meta übertragen. Dies geschah durch den Einsatz von Meta-Pixeln auf der Website und in der App der Bank. Trotz der sofortigen Deaktivierung der Pixel und der Bestätigung der Löschung der Daten durch Meta stellte die Behörde fest, dass die Bank keine geeigneten technischen und organisatorischen Maßnahmen ergriffen hatte, um ein angemessenes Sicherheitsniveau zu gewährleisten.
2. Eni Plenitude SpA Società Benefit: 6.419.631 € (Italien)
Datum (Veröffentlichung): 26.06.2024
Behörde: Garante per la protezione dei dati personali
Verstoßene Artikel: Art. 5, 6, 24, 25, 28 DSGVO, Art. 130 codice della privacy
Vergehen: Durchführung von Werbeanrufen ohne Einwilligung.
Die italienische Datenschutzbehörde reagierte auf 107 Meldungen und 8 Beschwerden über unerwünschte Werbeanrufe von Eni Plenitude. Diese Anrufe wurden ohne Einwilligung der Betroffenen durchgeführt, oftmals an Nummern, die im nationalen Nichtanrufsregister eingetragen waren. Die Untersuchung zeigte, dass 657 von 747 in einer beobachteten Woche abgeschlossenen Verträgen aus illegalen Kontakten resultierten. Die Hauptursache war die mangelnde Kontrolle über Subunternehmen und Werbeagenturen.
3. Cappello Giovanni & Figli: 120.000 € (Italien)
Datum (Veröffentlichung): 26.06.2024
Behörde: Garante per la protezione dei dati personali
Verstoßene Artikel: Art. 5 Abs. 1 lit. a, c, e DSGVO, Art. 9 Abs. 2 lit. b DSGVO, Art. 13, 6 DSGVO
Vergehen: Unrechtmäßige Verwendung von Gesichtserkennung zur Feststellung der Anwesenheit von Mitarbeitern.
Cappello Giovanni & Figli setzten in ihren Fabriken Gesichtserkennungssysteme ein, um die Anwesenheit der Mitarbeiter zu überprüfen. Die italienische Datenschutzbehörde stellte fest, dass die Verarbeitung biometrischer Daten ohne Rechtsgrundlage erfolgte und keine Interessen vorlagen, die die Rechte der Betroffenen überwiegen. Die Implementierung der Gesichtserkennung wurde daher als unrechtmäßig bewertet.
4. Azienda ospedale università di Padova: 75.000 € (Italien)
Datum (Veröffentlichung): 19.06.2024
Behörde: Garante per la protezione dei dati personali
Verstoßene Artikel: Art. 5 Abs. 1 lit. a, c, f DSGVO, Art. 9, 25, 32 DSGVO
Vergehen: Nicht ordnungsgemäß reglementierter Mitarbeiter-Zugriff auf Patientenakten.
Die Ermittlungen der italienischen Datenschutzbehörde ergaben, dass Mitarbeiter der Klinik wiederholt auf Patientenakten zugreifen konnten, ohne an deren Behandlung beteiligt zu sein. Es gab keine ausreichenden Maßnahmen zur Einschränkung des Zugriffs, sodass jeder diensthabende Mitarbeiter sämtliche Patientenakten einsehen konnte, was gegen Datenschutzvorschriften verstößt.
5. Ordine dei Tecnici Sanitari di Radiologia Medica e delle Professioni Sanitarie Tecniche, della Riabilitazione e della Prevenzione della provincia di Mantova: 3.000 € (Italien)
Datum (Veröffentlichung): 14.06.2024
Behörde: Garante per la protezione dei dati personali
Verstoßene Artikel: Art. 5 Abs. 1 lit. a DSGVO, Art. 6 DSGVO, Art. 2-ter codice della privacy
Vergehen: Versand einer E-Mail mit personenbezogenen Daten an Dritte ohne BCC-Funktion.
Nach einer Beschwerde stellte die italienische Datenschutzbehörde fest, dass der Ordine dei Tecnici Sanitari personenbezogene Daten in einer E-Mail an mehrere Empfänger gesendet hatte, ohne die BCC-Funktion zu nutzen. Dadurch waren die E-Mail-Adressen aller Empfänger für jeden sichtbar, was eine Verletzung der Datenschutzbestimmungen darstellt.
Fazit
Diese Fälle verdeutlichen die Wichtigkeit von Datenschutz und Datensicherheit für Unternehmen. Datenschutzverstöße können nicht nur zu erheblichen finanziellen Strafen führen, sondern auch das Vertrauen der Kunden beeinträchtigen. Unternehmen müssen sicherstellen, dass sie die DSGVO und andere relevante Datenschutzgesetze einhalten, um solche Strafen zu vermeiden.
Stefan Lutz, LL.M.
Rechtsanwalt und Fachanwalt für IT-Recht
externer Datenschutzbeauftragter
Lehrbeauftragter für IT-Recht an der RWU
Rechtsanwalt und Fachanwalt für IT-Recht Stefan Lutz, LL.M. berät Firmen und private Mandanten in den Rechtsgebieten des IT-Rechts, wozu unter anderem das Datenschutzrecht (BDSG, DSGVO, TDDDG...), Urheberrecht, Wettbewerbsrecht, Markenrecht, E-Commerce-Recht, Social Media Recht und das Recht der Künstlichen Intelligenz gehören.
Telefon: 0751 / 27 088 530