Strafe 1.100 Euro, Kostenbeitrag 110 Euro für den Geschäftsführer! Aus einem aktuellen Erkenntnis des Bundesverwaltungsgerichts vom 27. Jänner 2022 ergibt sich, dass ein Geschäftsführer zu 1.100 Euro Geldstrafe zuzüglich 110 Euro Kostenbeitrag für das Strafverfahren verurteilt wurde. Grund: Trotz angeblicher Erfüllung eines Löschbegehrens des Betroffenen und Bestätigung des Unternehmens, dass die Daten gelöscht wurden, wurden weitere „Newsmails“ an den Betroffenen versendet.

Was ist passiert?

Der Betroffene hatte sich selbst bei einer Verlagsgesellschaft zum Newsletter sowie einem online Abonnement angemeldet und hierfür seine Email Adresse bekannt gegeben. Er wollte seine Daten nach einiger Zeit wieder löschen lassen. Dafür hat der Betroffene ein Löschbegehren an die korrekte Datenschutzadresse der Verlagsgesellschaft gesendet. Diese hat die Löschung auch bestätigt. Aber: Die Verlagsgesellschaft hat das online Abonnement und den Newsletter als zwei unterschiedliche Dienstleistungen angesehen und nur für das online Abonnement die Email Adresse gelöscht. Vom Newsletter hätte sich der Betroffene – so die Verlagsgesellschaft – gesondert abmelden müssen.

Was sagt das Bundesverwaltungsgericht dazu (sorry, sehr juristisch ;-))?
„Dabei ist zu beachten, dass die Auslegung der Erklärung am Empfängerhorizont zu messen ist, wobei die aus der Erklärung abzuleitenden Rechtsfolgen nicht (nur) danach zu beurteilen sind, was der Erklärende sagen wollte oder was der Erklärungsempfänger darunter verstanden hat, sondern wie die Erklärung bei objektiver Beurteilung der Sachlage durch einen redlichen und verständigen Menschen zu verstehen war. […]

Wie die Formulierung zeigt, sieht das BVwG den Newsletter und das online Abonnement nicht getrennt, da bei „objektiver Beurteilung“ erkennbar ist, dass für beide Dienstleistungen die Email Adresse benötigt wird. Für Detailverliebte hier der Link zum gesamten Erkenntnis vom 27.01.2022, W 1482247976-1/9E W 1482258164-1/9E.

Also muss der Betroffene auch nicht alle Dienstleistungen/Verarbeitungen anführen, für welche seine Daten zu löschen sind. Das datenverarbeitende Unternehmen muss jedoch die personenbezogenen Daten im Gesamten betrachten.

Fazit

Die Email Adresse hätte im Zuge des Löschbegehrens an allen Stellen und aus allen Diensten gelöscht werden müssen.
Da Geschäftsführer gemäß § 9 (1) VStG haften und in diesem Fall keine anderen verantwortlichen Beauftragten genannt waren, trifft den Geschäftsführer der Verlagsgesellschaft die Strafe in Höhe von 1.100,- Euro zuzüglich Kostenbeitrag persönlich! Ganz zu schweigen von den Anwaltskosten.

Unsere Praxistipps

• Sollten mehrere Geschäftsführer in Ihrem Unternehmen tätig sein, bestimmen Sie die Verantwortlichen gemäß § 9 (1) VStG. Sonst haftet jeder Geschäftsführer persönlich – also bei drei Geschäftsführern fällt die Geldstrafe auch drei Mal an!
• Nehmen Sie Löschbegehren ganz besonders ernst und löschen Sie die Daten an allen Stellen und aus allen Diensten!
• Kontaktieren Sie uns, wenn Sie Fragen haben: Wir unterstützen Sie gerne bei der Beantwortung von Auskunfts- und Löschbegehren!

Fast untergegangen wäre die Meldung eines durch die Österreichische Datenschutzbehörde verhängten Bußgeldes gegen ein Kreditinstitut (um welches es sich handelt ist – noch – nicht bekannt). Untergegangen deshalb, weil Informationen dazu erst jetzt im Jahresbericht der Datenschutzbehörde für das Jahr 2021 zu lesen sind.

Im Abschnitt „Verhängung von Geldbußen durch die Österreichische Datenschutzbehörde: Erfahrungs- und Vollzugsbericht 2021“ beschreibt die Datenschutzbehörde kurz und bündig den folgenden Sachverhalt.

In besagtem Kreditinstitut wurde zum Zweck der internen Verwendung und der Administration von Bankkunden ein Excel-Dokument geführt, welches personenbezogene Daten eben dieser Kunden enthielt. Gravierender Weise nicht nur etwa Kundenname, sondern auch Alter, Adressdaten und Erreichbarkeiten, Geburtsdatum, Einkommen, Produktbesitz, Volumen je Produkt, Nutzung von Bankservices, Name und Abteilung der Betreuerin und eine betriebswirtschaftliche und bankorganisatorische Kennzeichnung des jeweiligen Kunden – von gesamt 5.971 Kunden!

Als datenschutzinteressierter Leser ahnen Sie sicher schon, in welche Richtung der Vorfall geht. Die Excel-Datei war einerseits weder verschlüsselt oder durch sonstige Maßnahmen vor einer unbefugten Offenlegung durch Dritte geschützt, auf der anderen Seite wurde diese Datei filialweise auf einem internen Laufwerk gespeichert – somit hatte jeder Filial-Mitarbeiter Zugriff und Einsicht in diese Datei.

Dafür alleine würde schon eine Abmahnung durch die Behörde folgen können, der Super-GAU erfolgte dann aber in leider klassischer Weise: Eine Filialmitarbeiterin schloss an eine Mail, welche an 234 Kunden versendet wurde, versehentlich diese Excelliste an. Die Folge: Daten der gespeicherten Kunden wurden erfolgreich an 227 (unberechtigte) Empfänger zugestellt.

Die Datenschutzbehörde sah im völlig verständlichen Ergebnis einen Verstoß des verantwortlichen Kreditinstituts gegen Art. 5 Abs 1 lit. F DSGVO (Grundsatz der Integrität und Vertraulichkeit) sowie gegen Art. 32 DSGVO (Pflicht zur Implementierung geeigneter technischer und organisatorischer Maßnahmen und verhängt eine (nicht rechtskräftige) Geldbuße in der Höhe von 4 Mio. Euro.

Unsere Praxistipps

• Achten Sie in Ihrem Betrieb darauf, dass geeignete TOMs implementiert und umgesetzt sind. Konkret: Datenzugriffe nach dem need to know-Prinzip einrichten!
• Dokumente mit personenbezogenen Daten Ihrer Kunden müssen immer verschlüsselt weitergeleitet/verschickt werden.
• Werfen Sie vor dem Absenden einer Mail noch einmal einen Blick auf die Empfänger und die Anhänge: Sind es die Richtigen, nämlich wirklich die, die Sie versenden wollen?