Die Top 5 DSGVO-Bußgeld-Liste für den Monat Juli zeigt: Schwere Verstöße gegen die DSGVO werden europaweit verfolgt und geahndet. Das musste das bekannte Second-Hand-Portal Vinted erfahren: Rund 2,4 Millionen Euro muss das Unternehmen zahlen, weil es in der EU schwerwiegende Datenschutzverstöße begangen hatte. Die fünf höchsten DSGVO-Bußgelder im Monat Juli im Überblick:
1. Vinted, Litauen: 2.385.276 Euro
Am 2. Juli 2024 verhängte die litauische Datenschutzaufsichtsbehörde, State Data Protection Inspectorate (SDPI), ein Bußgeld in Höhe von 2.385.276 Euro gegen Vinted, UAB, den Betreiber der Online-Handelsplattform für Second-Hand-Kleidung “Vinted”. Die Geldbuße wurde aufgrund von Beschwerden der französischen und polnischen Aufsichtsbehörden verhängt.
Das Bußgeld wurde verhängt, weil Vinted Anträge auf Löschung personenbezogener Daten und auf Zugang zu diesen Daten nicht ordnungsgemäß bearbeitet hatte. Die Anträge wurden mit der Begründung abgelehnt, dass die Antragsteller keinen spezifischen Grund gemäß Artikel 17 der Datenschutz-Grundverordnung angegeben hatten.
Darüber hinaus nutzte Vinted rechtswidrig das “Shadow Blocking”, bei dem Daten von Nutzern ohne deren Wissen verarbeitet wurden, was gegen die Grundsätze der Fairness und Transparenz verstößt. Darüber hinaus wurden keine ausreichenden technischen und organisatorischen Maßnahmen ergriffen, um die Rechenschaftspflicht zu gewährleisten und nachzuweisen, dass auf Anfragen zur Ausübung der Rechte der Betroffenen angemessen reagiert wurde.
Die Verstöße hatten grenzüberschreitenden Charakter und betrafen eine große Zahl von Personen über einen längeren Zeitraum. Die Entscheidung wurde daher in einer geschlossenen Sitzung mit Vertretern der SDPI und des Unternehmens getroffen und mit den Datenschutzbehörden anderer EU-Mitgliedstaaten abgestimmt.
2. AS Watson Health & Beauty Continental Europe, Niederlande: 600.000 Euro
Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) hat gegen das Unternehmen hinter der Drogeriekette Kruidvat ein Bußgeld in Höhe von 600.000 Euro verhängt.
Grund dafür ist, dass das Unternehmen die Besucher der Website Kruidvat.nl ohne deren Wissen und Zustimmung mit Tracking-Cookies verfolgt hat. Auf diese Weise sammelte Kruidvat sensible personenbezogene Daten von Millionen von Website-Besuchern ohne deren Zustimmung.
Das Unternehmen erstellte auch persönliche Profile der Besucher, indem es Daten wie Standort, besuchte Seiten, hinzugefügte und gekaufte Produkte sowie angeklickte Empfehlungen sammelte. Die gesammelten Daten umfassten sensible Informationen wie Schwangerschaftstests, Verhütungsmittel und Medikamente, die ein detailliertes und invasives Profil der Besucher ermöglichten.
Darüber hinaus enthielt das Cookie-Banner auf Kruidvat.nl standardmäßig angekreuzte Zustimmungskästchen, was unzulässig ist. Die Besucher der Website mussten mehrere Schritte durchlaufen, um die Cookies abzulehnen.
3. GSMA Limited, Spanien: 600.000 Euro
Die spanische Datenschutzbehörde Agencia española protección datos (AEPD) untersuchte aufgrund einer Beschwerde einer Privatperson das Vorgehen von GSMA Limited, dem Veranstalter des Mobile World Congress 2022 (MWC 2022).
Mitarbeiter des MWC 2022 mussten ihren COVID-19-Impfausweis oder gleichwertige Gesundheitsinformationen auf ein Online-Portal hochladen, um Zugang zum Gelände zu erhalten. Die GSMA erklärte, dass die Erhebung der Gesundheitsdaten notwendig sei, um die Sicherheit der Veranstaltung zu gewährleisten und die Verbreitung von COVID-19 zu verhindern. Sie gaben an, dass die Daten von Quironprevención, einem medizinischen Dienstleister, verwaltet und nach Ende der Veranstaltung gelöscht würden.
Die Untersuchung der AEPD ergab, dass die GSMA die betroffenen Personen nicht ausreichend über die Datenverarbeitung informiert hatte. Außerdem verfügte die GSMA nicht über eine ausreichende Rechtsgrundlage für die Verarbeitung der Gesundheitsdaten.
Das Bußgeld setzt sich wie folgt zusammen: 100.000 Euro für den Verstoß gegen Artikel 14 DSGVO. 300.000 Euro wegen Verstoßes gegen Art. 9 Abs. 2 DSGVO. 200.000 Euro wegen Verstoßes gegen Art. 6 Abs. 1 DSGVO.
4. Telefónica Móviles España (TME), Spanien: 200.000 Euro
Am 21. März 2023 reichte eine Person eine Beschwerde bei der spanischen Datenschutzbehörde Agencia española protección datos (AEPD) ein. Der Beschwerdeführer gab an, dass seine SIM-Karte von Movistar am 7. Januar 2023 plötzlich nicht mehr funktionierte. Nachdem er am 9. Januar ein Movistar-Geschäft aufgesucht hatte, erhielt er eine neue SIM-Karte und stellte später fest, dass zwischen dem 7. und 9. Januar sechs nicht autorisierte Banktransaktionen durchgeführt worden waren. TME teilte dem Beschwerdeführer am 17. Januar mit, dass am 7. Januar ein Duplikat der SIM-Karte an eine dritte Person ausgegeben worden sei.
Während der Untersuchung der Datenschutzbehörde erklärte TME, dass das übliche Verfahren zur Ausstellung einer Duplikat-SIM-Karte eine doppelte Identitätsprüfung (visuell und durch Dokumente) umfasst, um sicherzustellen, dass nur autorisierte Personen die Karte erhalten. TME konnte jedoch keine Unterlagen vorlegen, die die Identitätsprüfung der dritten Person am 7. Januar bestätigen.
Die AEPD stellte fest, dass TME gegen Artikel 6 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) verstoßen hat, indem es die SIM-Karte ohne ausreichende Identitätsprüfung an einen nicht autorisierten Dritten ausgegeben hat. Dem steht nicht entgegen, dass der Vorfall durch betrügerische Handlungen eines Dritten verursacht wurde. Gegen TME wird eine Geldbuße in Höhe von 200.000 Euro verhängt.
5. Vodafone España, Spanien: 200.000 Euro
Eine Privatperson erhielt wiederholt unerlaubte Werbeanrufe von Vodafone-Rufnummern, obwohl ihre Rufnummer auf der Robinsonliste zur Unterbindung von Werbeanrufen aufgeführt ist.
Vodafone erklärte, dass die Anrufe nicht von ihren autorisierten Partnern stammten und die fraglichen Telefonnummern von Dritten betrieben würden. Darüber hinaus informierte Vodafone der spanischen Datenschutzbehörde (AEPD), dass es die Zusammenarbeit mit Partnern, die wiederholt gegen Datenschutzbestimmungen verstoßen hatten, eingestellt und Maßnahmen zur besseren Identifizierung der Rufnummern ergriffen habe.
Bei der Untersuchung stellte die AEPD jedoch fest, dass Vodafone gegen Artikel 58 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) verstoßen hatte, indem es nicht die für die Untersuchung der Anrufe erforderlichen Informationen übermittelt hatte. Wegen unzureichender Zusammenarbeit und Nichtbereitstellung der erforderlichen Informationen im Rahmen einer Datenschutzuntersuchung wurde das Unternehmen mit einer Geldbuße in Höhe von 200 000 EUR belegt.