Urteile mit finanzieller Wirkung zur Datenschutz-Grundverordnung (DSGVO)
ein Überblick
Seit 2018 haben sämtlliche europäische Datenschutzbehörden (DSB) die Befugnis, Urteile bei Datenschutzverletzungen auszusprechen und Geldbußen zu verhängen. In jedem EU-Land gibt es mittlerweile seitens der Behörden Urteile zu Verletzungen der DSGVO. In den meisten Fällen geht es um die Daten privater Nutzer*innen, Kund*innen, Konsument*innen von online Dienstleistungen. Es gab aber auch Fälle, in denen großen Unternehmen große Geldbußen auferlegt wurden, weil sie mit den Beschäftigtendaten nicht gesetzeskonform umgegangen sind.
aus welchen Gründen Urteile verhängt werden
Die Strafgelder werden vor allem deshalb verhängt, weil die Rechte der Betroffenen nicht beachtet werden. Entweder wird die verlangte Auskunft zu spät oder gar nicht erteilt, es wurden die Betroffenen nicht (rechtzeitig) informiert, ihren Anträgen auf Löschung wurde zu spät nachgekommen oder sie wurden gar völlig missachtet.
Häufig werden Bußgelder dann verhängt, wenn ein Unternehmen ohne die Zustimmung der Betroffenen einzuholen, Marketing betreibt. Ein italienischer Pay-TV-Anbieter mussten im Oktober 2021 mehr als drei Millionen Euro Strafzahlung hinnehmen, weil das Widerspruchsrecht missachtet, Daten ohne Einwilligung verwendet und die Betroffenen nicht informiert worden waren. Ein griechischer Verkäufer wurde zu 20.000 Euro Strafzahlung verurteilt, weil er Kund*innendaten ohne Einverständnis und Information für Werbeanrufe weiterverwendete und die verlangte Löschung der Daten nicht duchführte.
Im Sommer 2021 musste auch der Rewe-Konzern feststellen, dass von ihm zwei Millionen Euro Strafzahlung verlangt werden, weil er seine Kund*innen nicht informiert hatte, dass und welche Daten an Geschäftspartner der “JÖ-Karte” weitergegeben wurden. Die (noch nicht rechtskräftig) höchste Strafe im Bereich unrechtmäßiges Marketing und Datenweitergabe hat REWE Österreich im Jänner 2022 ausgefasst. Acht Millionen sind nun ausständig, weil das Kundenbindungsprogramm nicht DSGVO-konform ausgestaltet ist und Profile der Kund*innen weiterleitet.
jetzt hat’s schon wieder wen erwischt
Eines der spektakulärsten Urteile im Bezug auf unrechtmäßige Datentransfers in ein Drittland verhängte kürzlich die österreichische Datenschutzbehörde für google analytics. Spektakulär deshalb, weil es eine Datenverwendung betrifft, die europaweit in etwa 80 % der Websiten eingebaut ist und aufgrund seiner Monopolstellung weitgehend als “to big to fail” gilt, oder besser gesagt galt. Es handelt sich vorerst um einen Teilentscheid, weil noch einige Urteile in anderen EU-Staaten ausstehen. Das letzte Wort ist somit noch nicht gesprochen. Google dürfte Kummer mit europäischen Datenschutzbehörden mittlerweile gewohnt sein, hat es doch – unter anderem – bereits 2014 in Spanien und Frankreich Probleme mit dem Datenschutz gegeben. Langsam allerdings könnte auch ggogle gezwungen sein, seine Geschäftsmodelle zu ändern.
Langfristig brauchen wir entweder einen angemessenen Datenschutz in den USA, oder wir werden am Ende getrennte Produkte für die USA und die EU haben. Ich persönlich würde einen besseren Schutz in den USA bevorzugen, aber das ist Sache des US-Gesetzgebers
Max Schrems (der Gründer der NGO noyb, die die Klage einbrachte) in der futurezone vom 13. Jänner 2022
Strafen wenn am Arbeitsplatz unrechtmäßig überwacht wird
Im Zusammenhang mit Beschäftigtendaten sind die Urteile zwar weniger häufig, doch auch in dem Bereich werden es mehr. Der H&M-Online Shop musste beispielsweise im Oktober 2020 satte 35 Millionen Euro zahlen, weil im Online-Center in Nürnberg Arbeitnehmer*innen bespitzelt wurden. Dafür erhielt die Modekette auch 2020 den BigBrotherAward im Bereich Arbeitswelt vom Datenschutzverein Digitalcourage verliehen.
zum Beispiel IKEA in Frankreich
Über mehrere Jahre wurde die Daten von Mitarbeiter*innen und Bewerbwe*innen gesammelt, von Bankauszügen über Strafregisterauszüge bis hin zu Gesundheitsdaten. Das Möbelhaus IKEA Frankreich wurde für diese illegale und völlig überschießende Überwachung von Beschäftigten im Juni 2021 mit einer Strafzahlung von einer Million Euro zur Kasse gebeten. Zusätzlich erhielt der verantwortliche Ex-Manager eine beindgte Haftstrafe und eine 50.000 Euro Strafe.
Kameraüberwachung ohne Kennzeichnung, ohne Information oder ohne genaue Löschkonzepte, sind ebenfalls oft Gründe für das Verhängen von (anfangs eher milden) Strafen. Beispielsweise wurden in einem Hotel in Spanien Gäste und Personal mit Videokameras überwacht, ohne dass die Bereiche gekennzeichnet gewesen wäre. Kostenpunkt: eher günstige 3.600 Euro, weil man die Schuld eingestand, den Missstand beseitigte und sofort bezahlte. Ein deutscher Online-Shop für Notebooks musste im Jänner über zehn Millionen Euro Bußgeld auf den Tisch legen, weil Mitarbeiter*innen und Kund*innen unrechtmäßig mit Videokameras überwacht wurden.
zum Beispiel eine Kameraüberwachung in Luxenburg
Eine Videoüberwachung in einem Luxenburger Unternehmen führte im Dezember letzten Jahres zu einer Strafzahlung von 6.800 Euro , weil die Kamera nicht ausschließlich dem angegebenen Zweck “Schutz des Vermögens” diente, sondern auch den Arbeitsplatz einer Beschäftigten und den Rauchbereich filmte.
Mittlerweile kann es also tatsächlich teuer werden, den Beschäftigten hinterherzuspionieren. Doch auch Daten von Beschäftigten an “befreundete Unternehmen” weiterzugeben oder ihre Auskunftsbegehren zu ignorieren, sollten sich Arbeitgeber*innen besser zweimal überlegen.
hohe Geldbußen für GAFA
Welche Unternehmen erhielten die Höchststrafen? Derzeit führen Facebook und Amazon auf der unrühmlichen Liste. Unter den ersten vier listet außerdem noch der facebook zugehörige Nachrichtendienst WhatsApp. Das macht zwei GAFA unter den ersten vier. Den dritten Platz belegt die größte Wirtschaftsauskunftsdatei der USA, equifax.
Equifax sind 2017 durch eine lückenhafte Sicherheitsmaßnahme die Bonitätsdaten von 143 Millionen Kund*innen abhanden gekommen. Doch mit dieser Lücke nicht genug, haben leitende Mitarbeiter*innen ihr Wissen um die Lücke zum Verkauf von Aktien genutzt, anstatt über den Missstand zu informieren, wie es auch die US-amerikanische Gesetzeslage verlangt. (Dieser Umstand wäre vermutlich durch ein Whistlblowing vermeidbar gewesen.) Hätte Equifax Daten-Sicherheitsvorgaben befolgt und die Lücke schneller geschlossen, wäre es nciht zu dem Datenverlust gekommen, so die Rechtsprechung. Zwar kam hier nicht die DSGVO zum Tragen, allerdings vergleichbares sicherheitsrelevantes Handels-, Finanz- und Wettbewerbsrecht.
Wer also WhatsApp als den Anbieter seiner oder ihrer Wahl verwendet, hat es seit September 2021 gerichtlich bestätigt, dass WhatsApp die Daten an andere Facebook-Unternehmen weiterleitet. Dies kann auch im Arbeitsleben ein Problem darstellen, wenn Accounts beispielsweise für berufliche Zwecke verwendet werden.
Anlass zum Verhängen einer Strafe, kann auch sein, dass der oder die betriebliche Datenschutzbeauftragte nicht entsprechend der DSGVO eingebunden wird oder mangelnde Qualifikationen aufweist. Dies hat die Luxemburgische Datenschutzbehörde mit 15.000 EUR sanktioniert.
Nachdem Strafen laut DSGVO auch prozentuell angepasst an den weltweiten Unternehmensumsatz verhängt werden (können), ist es nicht verwunderlich, dass umsatzstarke Konzerne auch höhere Strafen ausfassen. Dass gerade Unternehmen, die weltweit mit ihren Angeboten schon weitgehend die Konkurrenz verdrängt haben, gesetzliche Vorgaben zum Datenschutz nicht einhalten wollen, ist jedoch besorgniserregend. Was allerdings hoffen lässt ist, dass auch Unternehmen mit einem hohen Börsenwert für ihre Verstöße gegen die DSGVO zu Geldbußen verurteilt werden.
die “strengste” Datenschutzbehörde
Die mit Abstand am häufigsten Geldstrafen verhängende Behörde ist Spanien, nach den Darstellungen dem GDPR-hub, das europaweit den Stand der Dinge zusammenfasst . Im Zusammenhang mit dem Beschäftigtendatenschutz stammen die meisten und die “teuersten” Urteile aus Deutschland. Die Österreichische Datenschutzbehörde ist im europäischen Vergleich eher als “milde” beim Verhängen von Bußgeldern zu bezeichnen. Im Zusammenhang mit unrechtmäßiger Kontrolle von Arbeitnehmer*innen sind (noch) keine Urteile mit finanziellen Strafen bekannt.
Ich würde dennoch sagen: “Die Urteile zeigen: Verletzungen des Datenschutzes sind keine Kavalierdelikte. Die DSGVO wirkt.”