DSGVO-Bußgelder

Die anfängliche Schonfrist der Datenschutzbehörden scheint vorbei zu sein. Bereits in 75 Fällen wurden Bußgelder von deutschen Behörden wegen Verstößen gegen die DSGVO verhängt. Auch Datenschutzbehörden der anderen EU-Staaten sanktionieren Fehlverhalten. Nachfolgend einige prägnante Beispiele.

Bußgeld für offenen E-Mail-Verteiler

Dass nicht nur Unternehmen sich an die neue DSGVO halten müssen, zeigt jetzt ein Fall aus Merseburg. Dort hatte ein Mann E-Mails an große Verteiler geschickt, in denen für jeden Empfänger personenbezogene E-Mail-Adressen ersichtlich waren.

Insgesamt 2.628,50€ Geldbuße muss der Merseburger bezahlen. Der Landesdatenschutzbeauftragte von Sachsen-Anhalt, Harald von Bose, hatte die Strafe verhängt, weil fast täglich an bis zu 1.600 Adressen E-Mails verschickt worden waren. Die E-Mails enthielten Beschwerden, Stellungnahmen, Verunglimpfungen, sowie Strafanzeigen gegen Vertreter aus Wirtschaft, Presse, Kommunal- und Landespolitik. Hierin sah von Bose jedoch nicht den Verstoß gegen die DSGVO. Dieser liegt in den offenen Verteilern die der Mann nutzte. Demnach waren für jeden Empfänger die personenbezogenen E-Mail-Adressen und damit die anderen Empfänger ersichtlich.

Die DSGVO sieht zwar eine Ausnahme in Art. 2 DSGVO für ausschließlich persönliche oder familiäre Tätigkeiten vor, ein offener Verteiler im privaten Umfeld ist also durchaus erlaubt, außerhalb dieses Bereichs greift die Ausnahme jedoch nicht.

„Der Mann hat sich uns gegenüber immer wieder auf die Meinungsfreiheit berufen, aber diese gestattet keine solchen offenen Verteiler.“, so von Bose gegenüber der Mitteldeutschen Zeitung. „Der Grund ist, dass dadurch ja Rechte Dritter berührt werden. Wir waren in dieser Sache sehr akribisch, haben jeden einzelnen Verstoß sehr genau aufgelistet, um das Ganze auch gerichtsfest zu machen, falls das nötig werden sollte.“

CNIL: 50 Mio. € Strafe gegen Google

Die französische Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) greift mit der Europäischen Rekordstrafe von 50 Millionen Euro gegen Google durch.

Den Anstoß, die von Google betriebenen Praktiken zu untersuchen gab eine Gruppenbeschwerde von den Verbänden None Of Your Business (NOYB) und La Quadrature du Net (LQDN). Die LQDN wurde hierbei von 10.000 Personen beauftragt sich an die CNIL zu wenden und zeigt wie wichtig die Zivilbevölkerung bei der Behandlung solcher Fragen ist. Die Verbände hatten dem Konzern vorgeworfen, es läge keine gültige Rechtsgrundlage für die Verarbeitung personenbezogener Daten der Nutzer vor.

Der Pressemitteilung der CNIL zu folge verstoße Google gegen die Pflicht, seine Nutzerinnen und Nutzer transparent über die Datennutzung zu informieren. Informationen wie den Zweck der Verarbeitung, die Speicherdauer der Daten oder die Kategorien personenbezogener Daten, welche für die Personalisierung der Werbung genutzt werden, seien unverhältnismäßig auf mehrere Dokumente mit Links und Buttons verteilt.  So sind teilweise fünf bis sechs Schritte nötig um an die gewünschte Information zu kommen. Zudem seien diese Informationen dann nicht immer klar und verständlich für den Nutzer, sowie teilweise unvollständig.

Zum anderen könnte keine wirksame Einwilligung für die Verarbeitung zum Zwecke der Werbung vorgewiesen werden. Zwar legt Google Einwilligungen vor, die CNIL sieht diese jedoch nicht als wirksam an. Die relevanten Informationen seien auf viele Dokumente verteilt und zu schwammig formuliert, als dass ein Nutzer die Vielzahl der an diesen Verarbeitungen beteiligten Dienste, Websites und Anwendungen und die damit verarbeiteten Daten überblicken könnte. Zudem bestehe zwar die Möglichkeit die Anzeige personalisierter Werbung zu bearbeiten, das entsprechende Häkchen ist jedoch bereits gesetzt und muss aktiv entfernt werden. Ähnlich muss ein Nutzer bei der Erstellung eines Kontos mit nur einem Kästchen sowohl den Nutzungsbedingungen als auch der Verarbeitung der Daten zustimmen. Hier sieht die DSGVO jedoch vor, dass die Zustimmung nur dann ausreichend spezifisch ist, wenn sie für jeden Zweck eindeutig erteilt ist.

Die CNIL begründet ihre hohe Strafe damit, dass es sich um ständige Verstöße handelt, die nicht nur einmalig oder zeitlich begrenzt vorlagen. Insbesondere weil das wirtschaftliche Modell von Google auf der personalisierten Werbung basiert, sei es gerade in seiner größten Verantwortung, die Anforderungen zu erfüllen.