Was passiert bei Nichteinhaltung der EU DSGVO – zwei aktuelle Beispiele

220’000 EUR Geldstrafe in Polen

Laut der Datenschutzbehörde UODO soll das polnische Unternehmen Bisnode AB seine Pflichten aus der Datenschutzgrundverordnung in Rund 6 Millionen Fällen verletzt haben. Konkret geht es dabei um 3,6 Millionen Datensätze geschäftstätiger natürlicher Personen, sowie 2,33 Millionen solcher, die ihre Wirtschaftstätigkeit aufgegeben haben. Bei der Bisnode AB handelt es sich um eine Wirtschaftsauskunft, die ihre Datensätze aus öffentlich zugänglichen Quellen bezieht.

Die Datenschutzbehörde UODO wirft dem Unternehmen nun die Verletzung von Informationspflichten vor: Laut Art. 14 DSGVO hätte das Unternehmen die betroffenen Personen über die Verwendung der Daten informieren müssen. Und zwar in allen 6 Millionen Fällen. Dieser Pflicht ist das Unternehmen in der Realität aber nur bei den Datensätzen nachgekommen, die auch eine E-Mail-Adresse des Betroffenen enthalten. Alle anderen hätte das Unternehmen laut Meinung der Datenschutzbehörde eben telefonisch oder postalisch informieren müssen.

Die Datenschutzbehörde fordert daher ein Bußgeld in Höhe von 219.500 Euro. Das entspricht fast einer Millionen Zloty. „Der Verantwortliche war sich seiner Informationspflicht bewusst. Daher die Entscheidung, gegen dieses Unternehmen eine Geldstrafe in dieser Höhe zu verhängen“, heißt es dazu von der Präsidentin der Datenschutzbehörde.

Das Unternehmen beruft sich auf eine Ausnahme von der Informationspflicht in der DSGVO. Nach der DSGVO gilt diese Pflicht nicht, wenn „die Erteilung dieser Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand erfordern würde” (Art. 14 Abs. 5 b). In einer Stellungnahme des Unternehmens heißt es dazu:

„Wir stellen die Auslegung der DPA in Frage, was als verhältnismäßige Anstrengung angesehen wird. In den Fällen, in denen wir E-Mail-Adressen hatten (679 000 Adressen), haben wir dort Informationen nach Artikel 14 per E-Mail versandt, aber zusätzlich zu verlangen, dass 5,7 Millionen Datensätze per Post oder Telefon informiert werden, kann nicht als verhältnismäßiger Aufwand angesehen werden.“

160’000 EUR Geldstrafe in Dänemark

In Dänemark verhängt Datatilsynet dem Taxiunternehmen Taxa 4×35 eine Geldstrafe von fast 160’200 Euro, weil es versäumt hatte, Datensätze von 9 Millionen Taxifahrten zu löschen, nachdem sie nicht mehr benötigt wurden. Artikel 5 der EU DSGVO hindert Unternehmen daran, Daten, die sie nicht mehr benötigen, aufzubewahren.

Im Fall Taxa 4×35 soll das Unternehmen versucht haben, Artikel 5 einzuhalten, indem es die Daten nach zwei Jahren anonymisiert hat. In der Praxis hat das Unternehmen lediglich Kundennamen aus seiner Datenbank entfernt und andere Datenpunkte wie Kundenrufnummern und Fahrgeschichten für fünf Jahre zum Zweck der Geschäftsanalyse aufbewahrt.

Die Datatilsynet sagte, das sei nicht genug. Die Datenschutzbehörde stellte fest, dass Telefonnummern immer noch die Identifizierung einer betroffenen Person ermöglichen, was bedeutet, dass Taxa 4×35 seine Datensätze nicht ordnungsgemäss anonymisiert hat. Darüber hinaus lehnte das Datatilsynet die Erklärung von Taxa 4×35 ab, dass seine technischen Systeme die Speicherung von Fahrgeschichtsdaten ohne zugehörige Telefonnummer nicht zuliessen. “Man kann keine Löschfrist setzen, die drei Jahre länger als nötig ist, nur weil das System des Unternehmens es schwierig macht, die Regeln der Datenschutzverordnung einzuhalten”, schrieb die Datenschutzbehörde.

Zwischenbilanz

Da die EU DSGVO noch kein Jahr alt ist, fehlen noch grössere Durchsetzungen. Aber es gibt Anzeichen dafür, dass die Regulierungsbehörden sich darauf vorbereiten, auch an dieser Front ebenso feste Linien zu ziehen.

Im Falle von Verstössen gegen die EU DSGVO kann das zuständige DPA bestimmte Regulierungsmassnahmen vorschreiben:

–              Warnungen oder Verweise aussprechen

–              Vorübergehende oder endgültige Beschränkungen der Datenverarbeitung

–              Ein Verbot der Datenverarbeitung

–              Geldbussen bis zu 4% des weltweiten Jahresumsatzes oder 20 Millionen Euro

Diese Massnahmen der dänischen und polnischen Behörden sind nur die jüngsten einer wachsenden Zahl von Durchsetzungsmassnahmen im Zusammenhang mit der EU DSGVO im Jahr 2019.