TOP-1
Mangelhafte Schutzmaßnahmen ermöglichen Ransomware-Angriff
Mit 6,5 Mio. Euro kassierte das höchste Bußgeld im November die spanische The Phone House S.L. Ausgangspunkt war eine Ransomware-Attacke, die das Unternehmen an die spanische Aufsichtsbehörde Agencia Española de Protección de Datos (AEPD) gemeldet hatte. Von dem Angriff waren rund 13 Mio. Kunden betroffen, teils wurden auch deren Daten offengelegt. Darunter befanden sich Adressen, Telefonnummern, Ausweisdokumente und Bankverbindungen. Bei der Prüfung des Vorfalls stellte die AEPD fest, dass Mängel der technischen und organisatorischen Maßnahmen (TOM) maßgeblich zu dem Vorfall beigetragen hatten. Insgesamt hätten keine hinreichenden Maßnahmen bestanden, um sich gegen bestimmte Risiken aus Cyberangriffen abzusichern. Die Strafe setzt sich aus zwei Bußgeldern von je 4 Mio. und 2,5 Mio. Euro zusammen. Ein Einspruch gegen den Bußgeldbescheid wurde bereits abgelehnt.
Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Telekommunikation
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 DSGVO
Bußgeld: 6,5 Mio. Euro
Nicht jeder (erfolgreiche) Cyberangriff muss gleich in einem Bußgeld enden. Hier aber waren zwei Umstände hinzugekommen, die auch die konkrete Höhe mehr als nachvollziehbar machen: Zum einen stufte die Behörde den Vorfall aufgrund der umfangreichen Datenverarbeitung und der großen Anzahl an Betroffenen als besonders schwerwiegend ein. Zum anderen hatte The Phone House bereits 2018 Maßnahmen definiert, um Risiken dieser Art effektiv zu minimieren – diese jedoch seitdem nicht umgesetzt. Ein letztes, wichtiges Sicherheitsnetz bei Ransomware-Attacken sind i. Ü. sog. Notfallpläne.
TOP-2
Unrechtmäßiges App-Tracking von Lieferdienstfahrern
Eine weiteres hohes Bußgeld kassierte der italienische Essenslieferdienst Foodinho. Dieser organisiert seine Fahrten über eine App, deren (konkrete) Verwendung dem Unternehmen bereits in der Vergangenheit ein erhebliches Bußgeld eingebracht hatte. Auch dieses Mal waren es Features der von den Fahrern zu nutzenden Smartphone-App, die dem Lieferdienst zum Verhängnis wurden: Die App verarbeitete Standort-Daten von mehr als 35.000 Fahrerinnen und Fahrern (und gab diese an Drittunternehmen weiter), selbst wenn diese gar nicht im Dienst waren. Die italienische Aufsichtsbehörde (Il Garante per la protezione dei dati personali) monierte insoweit auch die mangelnde Information der Fahrer über diese Datenverarbeitung.
Neben diesen gravierenden Verstößen kamen noch weitere Beanstandungen hinzu, die zu der Gesamthöhe des Bußgeldes führten, z. B. eine mittlerweile abgestellte Identitätsüberprüfung der Fahrer über Gesichtserkennung (unrechtmäßige Verarbeitung biometrischer Daten) oder der Einsatz einer automatisierten Entscheidungsfindung über eine Profilbildung zu den jeweiligen Fahrern. Diese vergab anhand automatisiert gebildeter Scorewerte bevorzugte Schichten an einzelne Fahrer, ohne dass eine menschliche Überprüfung der Bewertungen durch die Fahrer hätte beantragt werden können.
Behörde: Il Garante per la protezione dei dati personali
Branche: Lieferdienste
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 5 Abs. 1 lit. c DSGVO, Art. 5 Abs. 1 lit. d DSGVO, Art. 5 Abs. 1 lit. e DSGVO, Art. 6 DSGVO, Art. 9 Abs. 2 lit. b DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 22 Abs. 3 DSGVO, Art. 25 DSGVO, Art. 28 DSGVO, Art. 32 DSGVO, Art. 35 DSGVO, Art. 88 DSGVO
Bußgeld: 5 Mio. Euro
Die Nutzung von Apps, mit denen Lieferdienste ihre Zustellungen koordinieren, hat schon häufiger zu datenschutzrechtlichen Problemen geführt. Die zentralen Themen sind dabei die Überwachung der Lieferfahrer durch die App und die Ausgestaltung der Algorithmen, durch die über die Vergabe von Aufträgen oder gar die Beendigung eines Beschäftigungsverhältnisses entschieden wird. Auch vorliegend ging es wieder um die konkrete Ausgestaltung einer solchen App. Für die Zukunft wird insoweit auch die zuletzt von der EU verabschiedete „Richtlinie zur Verbesserung der Arbeitsbedingungen in der Plattformarbeit“ von Bedeutung sein, die allerdings noch in nationales Recht überführt werden muss.
TOP-3
Ungefragtes Einrichten eines elektronischen Postfachs
Etwas skurril mutet der unserem dritten Bußgeld zugrunde liegende Fall an: Hier hatte die Finnische Post (Posti) Kunden, die eigentlich nur einen Nachsendeantrag stellen oder die Nutzung einer „Packstation“ beantragen wollten, mit der Einrichtung eines elektronischen Postfachs „zwangsbeglückt“. Dem lag eine Verknüpfung dieser sehr unterschiedlichen Dienste in einem einzigen Produktpaket zugrunde. Wer also einen der beiden letztgenannten, wichtigen Dienste in Anspruch nehmen wollte, konnte dies nicht, ohne zugleich das elektronische Postfach zu beantragen.
Diese Verknüpfung ohne notwendigen Zusammenhang beanstandete nun die Finnische Datenschutzaufsichtsbehörde. Außerdem kritisierte sie die Informationen zur Einrichtung des Postfachs als nicht umfassend genug. Die Höhe des Bußgeldes sei maßgeblich auch auf den Umsatz des Unternehmens zurückzuführen.
Behörde: Data Protection Ombudsman (Finnland)
Branche: Postdienstleistungen
Verstoß: Art. 6 Abs. 1 DSGVO
Bußgeld: 2,4 Mio. Euro
Die Einrichtung des Postfachs führte vorliegend dazu, dass Post mitunter nur noch an das elektronische Postfach ging und den Adressaten nicht mehr physisch zugestellt wurde. Gerade für (vor allem ältere) Kunden, die solche elektronischen Dienste nicht nutzen und vor dem Hintergrund, dass an dieses elektronische Postfach auch Rechnungen und ähnlich relevante Dokumente verschickt werden konnten, war dieses Vorgehen nicht nur datenschutzrechtlich problematisch. Die Aufsichtsbehörde hat die Post daher – neben dem Bußgeld – auch angewiesen, ihre Dienste entsprechend neu auszugestalten und klarer über die Bedingungen der Inanspruchnahme zu informieren.
TOP-4
Verstoß gegen Löschpflichten
Im Rahmen einer Schwerpunktprüfung marktstarker Unternehmen aus dem Forderungsmanagement hatte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) geprüft, wie die Daten der Schuldner:innen bei den jeweiligen Dienstleistern aufbewahrt und verarbeitet werden. Dabei war bei einem Dienstleister aufgefallen, dass dort trotz abgelaufener Aufbewahrungsfristen entsprechende Datensätze bis zu 5 Jahren weiter aufbewahrt worden waren. Auch wenn die ursprünglich rechtmäßig verarbeiteten Datensätze in diesem Zeitraum nicht an Dritte weitergegeben wurden und obwohl das Unternehmen den Verstoß eingeräumt und bei der Aufarbeitung professionell mit der Aufsichtsbehörde zusammengearbeitet hatte, verhängte die Aufsichtsbehörde ein Bußgeld in Höhe von 900.000 Euro. Gegen ein weiteres Unternehmen, bei dem vergleichbare Verstöße festgestellt worden waren, läuft das Verwaltungsverfahren noch.
Behörde: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit
Branche: Forderungsmanagement
Verstoß: Art. 5 Abs. 1 lit. a DSGVO, Art. 6 Abs. 1 DSGVO
Bußgeld: 900.000 Euro
Das Vorliegen wirksamer Löschkonzepte und deren Umsetzung ist gerade für Unternehmen, die mit sensibleren personenbezogenen Daten (wie hier Daten aus dem Bereich Forderungsmanagement) arbeiten, essenziell. Entsprechend betonte Behördenleiter Thomas Fuchs: „Deshalb sollten Unternehmen bereits, bevor sie Daten erheben, eine Bestandsaufnahme machen, welche Daten gesammelt und wie lange sie vorgehalten werden dürfen. Es ist nicht akzeptabel, wenn Unternehmen, die in datengetriebenen digitalen Branchen arbeiten, kein kohärentes Löschkonzept entwickelt haben.“
TOP-5
Ein Strauß an kleinen Datenschutzverstößen
Und zum Abschluss nochmal Spanien: Die spanische Datenschutzaufsichtsbehörde AEPD hat ein Bußgeld in Höhe von insgesamt 8.000 Euro gegen Floraqueen, einen Online-Blumenhändler, verhängt, der seinen Kunden die Ausübung ihrer Betroffenenrechte erschwert hatte. Dabei erwiesen sich vor allem mangelnde Angaben in der Datenschutzerklärung der Website des Unternehmens als idealer Nährboden für ein Bußgeld. Dort fehlten nämlich jegliche Hinweise auf das Bestehen der Betroffenenrechte (Art. 15 ff. DSGVO), ebenso wie die Kontaktdaten des Datenschutzbeauftragten. Dies hatte im konkreten Fall dazu geführt, dass einem Betroffenen, der eine Auskunft nach Art. 15 begehrt hatte, auch nach mehrfachen E-Mails u. a. an den Support des Unternehmens bis zum Ende des Verwaltungsverfahrens keine entsprechende Auskunft erteilt worden war. Das Bußgeld setzt sich zusammen aus 5.000 Euro wegen der Unzulänglichkeiten der Datenschutzhinweise und jeweils 1.500 Euro wegen Verstößen gegen Art. 15 und 17 DSGVO.
Behörde: Agencia Española de Protección de Datos (AEPD)
Branche: Dienstleistungen
Verstoß: Art. 13 DSGVO, Art. 15 DSGVO, Art. 17 DSGVO
Bußgeld: 8.000 Euro
Gemessen an der Ignoranz und Gleichgültigkeit, mit der die verantwortliche Stelle im vorliegenden Fall auf die Anfragen des Betroffenen und auch der Aufsichtsbehörde reagiert hatte (nämlich oftmals gar nicht), erscheint das Bußgeld doch recht moderat. Es bedarf jedenfalls keiner allzu blühenden Fantasie, sich vorzustellen, dass deutsche Aufsichtsbehörden hier etwas üppigere Bußgelder verhängt hätten.