Auch im August waren die Datenschutzbehörden aktiv und verhängten zum Teil sehr hohe Bußgelder. Für Aufsehen sorgte der Bußgeldbescheid der niederländischen Datenschutzbehörde gegen den Fahrdienstvermittler Uber in Höhe von 290 Millionen Euro. Daneben lohnt sich im August auch ein Blick auf die Bußgeldbescheide aus Belgien, Schweden und Spanien mit interessanten Details. Warum der fahrlässige Fehler eines einzelnen Mitarbeiters für ein Unternehmen teuer werden kann, zeigen die Untersuchungen gegen das Modeunternehmen Uniqlo Europe in Spanien.
1. Uber: 290 Millionen Euro (Niederlande)
Die niederländische Datenschutzbehörde Autoriteit Persoonsgegevens (AP) hat gegen den Fahrdienst Uber ein Bußgeld in Höhe von 290 Millionen Euro verhängt. Grund für die Strafe: Unzureichender Schutz personenbezogener Daten von europäischen Taxifahrern, die an den US-Hauptsitz von Uber übermittelt wurden.
Die Untersuchung der Datenschutzbehörde erfolgte nach Beschwerden von mehr als 170 französischen Uber-Fahrern. Diese hatten sich bei der französischen Menschenrechtsorganisation Ligue des droits de l’Homme (LDH) über die Datenschutzpraktiken von Uber beschwert. Die LDH reichte daraufhin eine Beschwerde bei der französischen Datenschutzbehörde ein. Da sich der europäische Hauptsitz von Uber in den Niederlanden befindet, war die niederländische Datenschutzbehörde für die Untersuchung zuständig.
Uber hatte unter anderem sensible Informationen wie Konto- und Führerscheindaten, Standortdaten, Fotos, Zahlungsinformationen, Ausweisdokumente und in einigen Fällen auch strafrechtliche und medizinische Daten von Fahrern aus Europa gesammelt und auf Servern in den USA gespeichert.
Die Übertragung dieser sensiblen Daten fand über einen Zeitraum von mehr als zwei Jahren statt. Dabei wurden keine notwendigen Schutzmaßnahmen durchgeführt, die durch die DSGVO vorgeschrieben sind. Die Datenschutzbehörde stuft den Verstoß von Uber als schwerwiegend ein.
Quelle: Bußgeldbescheid der Autoriteit Persoonsgegevens gegen Uber
2. T-Mobile US: 60 Millionen US-Dollar
Das Committee on Foreign Investment in the U.S. (CFIUS) hat gegen das Mobilfunkunternehmen T-Mobile US eine Geldstrafe in Höhe von 60 Millionen Dollar (rund 55 Millionen Euro) verhängt.
Das Unternehmen habe es versäumt, den unbefugten Zugang zu sensiblen Daten zu verhindern und zu melden, erklärten hochrangige US-Beamte am 14. August gegenüber der Nachrichtenagentur Reuters. Außerdem habe T-Mobile US einige Verstöße nicht schnell genug gemeldet, was die Ermittlungen der Behörde erschwert habe.
T-Mobile erklärte in einer Stellungnahme, dass es im Zuge der Fusion mit dem US-Mobilfunkunternehmen Sprint zu technischen Problemen gekommen sei, die schnell behoben werden konnten. Konkret habe es zwischen August 2020 und Juni 2021 in einigen Fällen unberechtigte Zugriffe auf sensible Daten gegeben. Nach Angaben des Unternehmens sei eine geringe Anzahl von Anfragen von Ermittlungsbehörden betroffen gewesen.
Gegen T-Mobile US wurde bereits die zweite Millionenstrafe in diesem Jahr verhängt. Bereits im April hatte die FCC eine Strafe von 80 Millionen Dollar (rund 74,7 Millionen Euro) verhängt, weil das Unternehmen die Standortdaten seiner Kundinnen und Kunden nicht ausreichend geschützt hatte.
Lese-Tipp: Aktuelle Strafen für Datenschutzverstöße in den USA
3. Apoteket AB und Apohem AB: 37 Millionen SEK und 8 Millionen SEK (Schweden)
Die schwedische Datenschutzbehörde Integritetsskyddsmyndigheten (IMY) hat Bußgelder in Höhe von 37 Millionen SEK (rund 3,26 Millionen Euro) gegen Apoteket AB und 8 Millionen SEK (rund 705.000 Euro) gegen Apohem AB verhängt. Die Unternehmen hatten das Meta-Pixel auf ihren Websites verwendet und über einen längeren Zeitraum datenschutzrechtlich relevante personenbezogene Daten an Meta übermittelt.
Apoteket und Apohem hatten das Analysetool Meta-Pixel von Meta von Januar 2010 bis April 2022 auf ihren Websites eingesetzt, um ihr Marketing auf Facebook und Instagram zu verbessern. Die irrtümliche Übermittlung personenbezogener Daten wurde dadurch verursacht, dass die Unternehmen eine neue Unterfunktion des Meta-Pixels aktiviert hatten.
Die Aktivierung der Funktion “Advanced Matching” (AAM) des Meta-Pixels führte dazu, dass mehr Daten als ursprünglich vorgesehen verarbeitet und an Meta übermittelt wurden. Unter anderem übermittelten die Unternehmen Daten über den Kauf von rezeptfreien Medikamenten, Selbsttests und Behandlungen von sexuell übertragbaren Krankheiten sowie Sexspielzeug. Solche Daten können Aufschluss über die Gesundheit oder das Sexualleben einer Person geben und unterliegen daher nach Art. 9 DSGVO einem besonderen Schutz.
Die Untersuchung der IMY ergab, dass die Unternehmen keine geeigneten technischen und organisatorischen Maßnahmen ergriffen hatten, um ein angemessenes Schutzniveau für die personenbezogenen Daten ihrer Kunden zu gewährleisten. Erst nach dem Vorfall ergriffen beide Unternehmen mehrere Maßnahmen, um die Einhaltung der Datenschutzvorschriften zu verbessern. Dazu gehörten eine umfassende Überprüfung der verwendeten Cookies und Analysetools, die Durchführung von Mitarbeiterschulungen und die Schaffung einer neuen Funktion zur Überwachung der Einhaltung der Datenschutzbestimmungen in der Marketingabteilung.
Quelle: Bußgeldbescheid Integritetsskyddsmyndigheten gegen Apoteket AB
Quelle: Bußgeldbescheid Integritetsskyddsmyndigheten gegen Apohem AB
4. Uniqlo Europe: 270.000 Euro (Spanien)
Ein Missgeschick mit Folgen: Ein ehemaliger Mitarbeiter des japanischen Modeunternehmens Uniqlo beantragte die Zusendung seiner Gehaltsabrechnung für Juli 2022. Neben seiner eigenen Gehaltsabrechnung enthielt die ihm zugesandte PDF-Datei die Gehaltsabrechnungen von 446 weiteren Mitarbeitern.
Die Untersuchung der eingeschalteten spanischen Datenschutzbehörde Agencia Española de Protección de Datos (AEPD) ergab dann auch, dass die Datenschutzverletzung durch einen Fehler im Personalwesen verursacht worden war. Dieser Fehler wurde jedoch weder intern gemeldet noch rechtzeitig erkannt. Erst als UNIQLO im April 2023 über die Beschwerde der AEPD informiert wurde, erkannte das Unternehmen den Vorfall als Sicherheitsverletzung an. Darüber hinaus wurden die betroffenen Mitarbeiter nicht sofort benachrichtigt. Die Benachrichtigung erfolgte erst am 4. Mai 2023, nachdem Uniqlo über die Beschwerde informiert worden war. Uniqlo gab an, keine Hinweise darauf erhalten zu haben, dass die Daten kompromittiert oder anderweitig missbraucht worden seien. Dennoch empfahl das Unternehmen den betroffenen Mitarbeitern, wachsam zu bleiben und ihre Bankkonten auf ungewöhnliche Aktivitäten zu überwachen.
Die AEPD stellte fest, dass Uniqlo gegen mehrere Bestimmungen der DSGVO verstoßen hat:
- Artikel 5(1)(f) DSGVO: UNIQLO hat gegen den Grundsatz der Vertraulichkeit und Integrität verstoßen, indem es die personenbezogenen Daten von 447 Beschäftigten durch unsachgemäße Übermittlung offengelegt hat. Die unbefugte Offenlegung dieser sensiblen Informationen stellt einen schwerwiegenden Verstoß dar, insbesondere da die Daten nicht verschlüsselt waren und per E-Mail übermittelt wurden, wodurch das Risiko des Zugriffs durch unbefugte Dritte erhöht wurde.
- Artikel 32 DSGVO: UNIQLO hatte keine geeigneten technischen und organisatorischen Maßnahmen getroffen, um ein angemessenes Schutzniveau zu gewährleisten. Trotz der Einführung eines Sicherheitsportals und eines Informationssicherheitshandbuchs war die Implementierung von Sicherheitsprotokollen offensichtlich unzureichend, um eine derartige Datenschutzverletzung zu verhindern. Die Schulungen und die Sensibilisierung der Mitarbeiter für den Datenschutz reichten nicht aus, um das Risiko menschlicher Fehler zu minimieren.
Die Tatsache, dass ein Mitarbeiter den Fehler begangen hat, entbindet das Unternehmen nicht von seiner Verantwortung. Nach der Rechtsprechung des spanischen Obersten Gerichtshofs (STS Nr. 188/2022) bleibt ein Unternehmen auch dann haftbar, wenn der Verstoß auf die Nachlässigkeit eines Mitarbeiters zurückzuführen ist.
Die ursprünglich von der AEPD verhängte Geldbuße in Höhe von insgesamt 450.000 Euro wurde auf 270.000 Euro reduziert. Uniqlo hat den Verstoß eingeräumt und inzwischen Maßnahmen ergriffen, um einen solchen Vorfall in Zukunft auszuschließen.
Quelle: Bußgeldbescheid Agencia Española de Protección de Datos
5. Telekommunikationsunternehmen: 100.000 Euro (Belgien)
Am 23. August 2024 verhängte die Chambre Contentieuse der belgischen Datenschutzbehörde (Autorité de Protection des Données, APD) eine Geldbuße in Höhe von 100.000 Euro gegen ein nicht namentlich genanntes Telekommunikationsunternehmen.
Das Unternehmen hatte erst 14 Monate nach Eingang eines Auskunftsersuchens eines Kunden geantwortet. Die verspätete Antwort führte dazu, dass die APD aufgrund der Beschwerde des Betroffenen eine Untersuchung einleitete.
Die Chambre Contentieuse stellte fest, dass das Unternehmen gegen Artikel 12 und 15 der DSGVO verstoßen hatte, indem es das Auskunftsrecht der betroffenen Person nicht ordnungsgemäß gewährte.
Artikel 15 der DSGVO garantiert den betroffenen Personen das Recht, vom Verantwortlichen eine Bestätigung darüber zu erhalten, ob personenbezogene Daten verarbeitet werden, sowie Zugang zu diesen Daten und zusätzlichen Informationen zu erhalten.
Nach Artikel 12 der DSGVO müssen die für die Verarbeitung Verantwortlichen Maßnahmen ergreifen, um den betroffenen Personen die Ausübung ihrer Rechte zu erleichtern, und Anfragen „unverzüglich und in jedem Fall innerhalb eines Monats“ beantworten.
Die Beklagte habe jedoch nicht innerhalb der in Art. 12 Abs. 3 DSGVO vorgesehenen Frist auf das Auskunftsersuchen geantwortet. Darüber hinaus wurden dem Beschwerdeführer die angeforderten Informationen erst nach wiederholten Aufforderungen und während des laufenden Verfahrens zur Verfügung gestellt.
Bei der Bemessung des Bußgeldes wurde berücksichtigt, dass die Verletzung des Auskunftsrechts grundsätzlich als schwerer Verstoß einzustufen ist. Die verspätete Beantwortung des Auskunftsersuchens um mehr als 14 Monate wurde als fortgesetzter Verstoß gewertet. Ebenso wurde berücksichtigt, dass eine zufriedenstellende Antwort erst auf Druck der Behörde erfolgte.