Mit der Verhängung von Bußgeldern in Millionenhöhe gegen große US-Unternehmen haben sich EU-Datenschutzbehörden im September in Stellung gebracht: Gegen welche DSGVO-Vorschriften Meta und Clearview AI verstoßen haben und was andere Unternehmen daraus lernen können.
1. Meta Platforms Ireland Ltd.: 91 Millionen Euro (Irland)
Die irische Datenschutzbehörde (Data Protection Commission, DPC) hat am 26. September 2024 eine Geldstrafe in Höhe von 91 Millionen Euro gegen Meta Platforms Ireland Limited (MPIL) verhängt.
Im März 2019 informierte MPIL die DPC darüber, dass Passwörter von Nutzern sozialer Medien versehentlich im Klartext gespeichert wurden. Die Passwörter waren weder verschlüsselt noch anderweitig kryptografisch geschützt. Unbefugte Dritte hatten keinen Zugriff auf die Passwörter.
Der Vorfall löste eine Untersuchung des DPC aus. Diese konzentrierte sich auf die Frage, ob MPIL bei der Verarbeitung von Nutzerpasswörtern angemessene Sicherheitsvorkehrungen getroffen hatte und ob das Unternehmen seinen Verpflichtungen aus der DSGVO nachgekommen war, insbesondere in Bezug auf die Dokumentation und Meldung von Datenschutzverletzungen.
Die Untersuchung der DPC ergab mehrere Verstöße gegen die DSGVO:
- Artikel 33(1) DSGVO – MPIL hat die DPC nicht unverzüglich über die Datenschutzverletzung im Zusammenhang mit der Speicherung von Benutzerpasswörtern im Klartext informiert.
- Artikel 33(5) DSGVO – MPIL hat die Datenschutzverletzung im Zusammenhang mit der Speicherung von Benutzerpasswörtern im Klartext nicht angemessen dokumentiert.
- Artikel 5(1)(f) DSGVO – MPIL hat keine angemessenen technischen und organisatorischen Maßnahmen ergriffen, um die Sicherheit der Benutzerpasswörter zu gewährleisten, wodurch die Integrität und Vertraulichkeit der Daten beeinträchtigt wurde.
- Artikel 32(1) DSGVO – Das MPIL hat keine ausreichende Risikobewertung durchgeführt.
Quelle: Pressemeldung der DPC zur erlassenen Geldstrafe gegen Meta Platforms Ireland Limited
2. Clearview AI: 30,5 Millionen Euro (Niederlande)
Die niederländische Datenschutzbehörde „Autoriteit Persoonsgegevens“ (AP) hat gegen das US-amerikanische Unternehmen Clearview AI Inc. ein Bußgeld in Höhe von insgesamt 30,5 Millionen Euro verhängt.
Clearview AI bietet eine Gesichtserkennungssoftware an, die auf einer Datenbank mit mehr als 30 Milliarden Fotos basiert. Diese Fotos stammen aus öffentlichen Quellen im Internet wie sozialen Netzwerken, Nachrichtenseiten und öffentlichen Datenbanken. Clearview AI verwendet diese Daten, um verschiedene Dienste zur Identifizierung von Personen anzubieten.
Die Datenschutzbehörde stellte bei ihrer Untersuchung fest, dass Clearview AI personenbezogene Daten von Personen, die sich in den Niederlanden aufhalten, ohne rechtmäßige Grundlage verarbeitet hat. Insbesondere verarbeitete Clearview AI biometrische Daten – eine besonders sensible Kategorie personenbezogener Daten – ohne entsprechende Genehmigung oder Rechtsgrundlage.
Die Verstöße von Clearview AI betreffen mehrere Bestimmungen der Datenschutz-Grundverordnung, u. a:
- Artikel 5 und 6 DSGVO: Clearview AI hat personenbezogene Daten ohne gesetzliche Grundlage verarbeitet. Dies verstößt gegen den Grundsatz der Rechtmäßigkeit, der sicherstellen soll, dass die Verarbeitung nur auf einer zulässigen Grundlage erfolgt.
- Artikel 9 DSGVO: Die Verarbeitung biometrischer Daten wie Gesichtsbilder ohne ausdrückliche Einwilligung oder sonstige gesetzliche Grundlage verstößt gegen das Verbot der Verarbeitung besonderer Kategorien personenbezogener Daten.
- Artikel 12 und 14 DSGVO: Clearview AI hat die betroffenen Personen nicht ausreichend über die Verarbeitung ihrer personenbezogenen Daten informiert. Informationspflichten sind ein wesentlicher Bestandteil der DSGVO, um Transparenz und die Rechte der Betroffenen zu gewährleisten.
- Artikel 15 DSGVO: Clearview AI hat es versäumt, den Anträgen der betroffenen Personen auf Einsicht in die über sie gespeicherten Daten nachzukommen.
- Artikel 27 DSGVO: Clearview AI hat keinen Vertreter in der Europäischen Union bestellt, obwohl dies für Unternehmen, die nicht in der EU niedergelassen sind, aber Daten von EU-Bürgern verarbeiten, vorgeschrieben ist.
Die Geldbuße setzt sich aus den verschiedenen Verstößen gegen die DSGVO zusammen. Zusätzlich zu den finanziellen Sanktionen wurde Clearview AI durch das AP verpflichtet, die laufenden Verstöße abzustellen. Dies umfasst insbesondere die Einstellung der unrechtmäßigen Verarbeitung personenbezogener Daten und die Benennung eines Vertreters in der Europäischen Union.
Quelle: Bußgeldbescheid Autoriteit Persoonsgegevens gegen Clearview AI
3. TD Bank: 27.760.000 US-Dollar (USA)
Das Consumer Financial Protection Bureau (CFPB) hat am 11. September 2024 einen Bußgeldbescheid gegen die TD Bank, N.A. wegen schwerwiegender Verstöße gegen den Fair Credit Reporting Act (FCRA) und den Consumer Financial Protection Act (CFPA) erlassen. Die TD Bank wurde zu einer Geldstrafe von 20 Millionen US-Dollar verurteilt. Zusätzlich wurde eine Entschädigungssumme von 7,76 Millionen US-Dollar für betroffene Verbraucher festgelegt.
Der Untersuchungsbericht der CFPB deckte mehrere Verstöße der TD Bank im Zusammenhang mit unzureichender Bearbeitung von Kredit- und Einlagenkonten auf. Die Verstöße betrafen insbesondere die unvollständige oder fehlerhafte Meldung von Kreditinformationen an Verbraucherauskunfteien (CRAs). Dies hatte schwerwiegende Folgen für die betroffenen Verbraucher.
So hat es die TD Bank beispielsweise versäumt, falsche oder unvollständige Informationen über Kreditkartenkonten von Verbrauchern rechtzeitig zu korrigieren. Dies führte in einigen Fällen dazu, dass Verbraucher, die ihre Konten vollständig bezahlt oder ausgeglichen hatten, weiterhin als säumige Zahler geführt wurden. Die Bank führte auch keine angemessenen und rechtzeitigen Untersuchungen durch, wenn Verbraucher ihre Kreditinformationen bestritten. Dies betraf sowohl direkte Streitfälle, die von den Verbrauchern selbst eingereicht wurden, als auch indirekte Streitfälle, die über Verbraucherauskunfteien eingereicht wurden. Bei vielen Kreditkartenkonten meldete die Bank das Datum des ersten Zahlungsausfalls falsch, was dazu führte, dass negative Einträge in den Kreditberichten der Verbraucher länger als zulässig bestehen blieben.
Neben einer zivilrechtlichen Geldstrafe in Höhe von 20 Millionen US-Dollar und einer Entschädigung für die betroffenen Verbraucher in Höhe von 7,76 Millionen US-Dollar wurden der TD Bank umfangreiche Auflagen zur Verbesserung ihrer Prozesse gemacht:
- Die Bank muss sicherstellen, dass fehlerhafte Informationen unverzüglich korrigiert werden.
- Die TD Bank muss ihre Richtlinien zur Bearbeitung von Streitfällen überarbeiten, um sicherzustellen, dass Untersuchungen innerhalb der gesetzlich vorgeschriebenen Fristen durchgeführt werden.
- Die Bank muss innerhalb von 90 Tagen einen umfassenden Compliance-Plan mit regelmäßiger Berichterstattung an den Vorstand vorlegen.
Quelle: Bußgeldbescheid des Consumer Financial Protection Bureau gegen die TD Bank
4. Enérgya-VM: 2,5 Millionen Euro (Spanien)
Die spanische Datenschutzbehörde „Agencia Española de Protección de Datos“ (AEPD) hat gegen Energya-VM Gestión de Energía, S.L.U. (im Folgenden „Energya-VM“) ein Bußgeld in Höhe von 2,5 Millionen Euro verhängt.
Bereits im Jahr 2019 wurde Energya-VM durch Berichte Dritter auf irreführende und möglicherweise rechtswidrige Praktiken des externen Dienstleisters Nivalco aufmerksam gemacht. Nivalco war von Energya-VM mit der Akquise von Neukunden beauftragt worden. Es stellte sich heraus, dass Nivalco personenbezogene Daten, einschließlich Bankdaten und anderer sensibler Informationen, ohne angemessene Rechtsgrundlage verwendete, um potenzielle Kunden zu kontaktieren und sie zur Unterzeichnung eines Vertrags mit Energya-VM zu bewegen.
Die AEPD stellte bei ihrer Untersuchung fest, dass Nivalco die Daten potenzieller Kunden verwendete, ohne diese zuvor ausreichend über die Verarbeitung ihrer Daten zu informieren (Verstoß gegen Artikel 13 DSGVO).
Energya-VM wurde als Verantwortlicher für die Datenverarbeitung durch Nivalco gemäß der DSGVO angesehen, obwohl Nivalco formal als Auftragsverarbeiter handelte. Die AEPD argumentierte, dass Energya-VM eine ausreichende Kontrolle über die Tätigkeiten von Nivalco ausübte, um für die Verstöße mitverantwortlich zu sein.
Energya-VM wurde vorgeworfen, keine ausreichenden Maßnahmen ergriffen zu haben, um die Einhaltung der Datenschutzbestimmungen durch Nivalco zu überwachen. Trotz wiederholter Warnungen und interner Audits wurden keine wirksamen Maßnahmen ergriffen, um die problematischen Praktiken abzustellen. Energya-VM hat es auch versäumt, sicherzustellen, dass die betroffenen Personen transparent über die Verarbeitung ihrer Daten informiert werden, insbesondere bei der ersten Kontaktaufnahme durch Nivalco.
Zusätzlich zur Geldbuße wurde Energya-VM aufgefordert, unverzüglich Maßnahmen zur Verbesserung seiner Datenschutzpraktiken zu ergreifen. Zu diesen Maßnahmen gehörte die Einführung strengerer Kontrollen der Tätigkeiten ihrer Dienstleister.
Quelle: Bußgeldbescheid Agencia Española de Protección de Datos gegen Energya-VM
5. Cegedim Santé: 800.000 Euro (Frankreich)
Die französische Datenschutzbehörde CNIL (Commission Nationale de l’Informatique et des Libertés) hat mit Bescheid vom 5. September 2024 gegen das Unternehmen Cegedim Santé eine Geldstrafe in Höhe von 800.000 Euro verhängt. Der Bußgeldbescheid resultiert aus einer Reihe von Datenschutzverstößen im Zusammenhang mit der unrechtmäßigen Verarbeitung sensibler Gesundheitsdaten.
Cegedim Santé entwickelt und vertreibt Softwarelösungen für Arztpraxen und Gesundheitszentren zur Verwaltung von Terminen, Patientenakten und Rezepten.
Bei Kontrollen im Jahr 2021 stellte die CNIL fest, dass das Unternehmen Gesundheitsdaten ohne die erforderliche Genehmigung erhoben und verarbeitet hatte. Die gesammelten Daten wurden anschließend von Cegedim Santé für die Erstellung von Studien und Statistiken im Gesundheitsbereich zur Verfügung gestellt. Dabei wurden die Gesundheitsdaten nicht anonymisiert, sondern lediglich pseudonymisiert. Das bedeutet, dass eine Re-Identifizierung der betroffenen Personen technisch möglich war, insbesondere durch die Kombination von Daten aus verschiedenen Quellen.
Die von Cegedim Santé verarbeiteten Daten umfassten eine Vielzahl sensibler Informationen, darunter Geburtsjahr, Geschlecht, Allergien, medizinische Vorgeschichte, Größe, Gewicht, Diagnosen, Rezepte, Arbeitsunfähigkeitsbescheinigungen und Analyseergebnisse. Diese Informationen wurden durch einen eindeutigen Identifikator miteinander verknüpft, der es ermöglichte, den gesamten Behandlungsverlauf eines Patienten zu verfolgen. Angesichts der Datenmenge und der Möglichkeit, diese mit externen Quellen zu verknüpfen, erkannte die CNIL ein hohes Risiko der Re-Identifizierung von Patienten.
Die CNIL stellte fest, dass die Daten mindestens bis 2022 in dieser unzureichend pseudonymisierten Form verarbeitet werden. Da es sich um sensible Gesundheitsdaten handelt, sah die CNIL darin einen besonders schwerwiegenden Verstoß gegen das Datenschutzgesetz.