Datenschutzverstöße werden zunehmend rigoroser geahndet – und das kann für Unternehmen teuer werden. Ein kürzlich verhängtes Rekordbußgeld in Tschechien vom April 2024 zeigt, wie ernst es den Datenschutzbehörden in Europa ist. In diesem Fall wurde die Strafe im Rahmen des sogenannten One-Stop-Shop-Verfahrens (OSS) verhängt, das grenzüberschreitende Datenschutzfragen effizient löst. Außerdem wird deutlich, dass Unternehmen auch noch Jahre später für Datenschutzverstöße zur Rechenschaft gezogen werden können. Lesen Sie hier, welche Fehler begangen wurden, wie das OSS-Verfahren funktioniert und welche Rolle die Verjährungsfrist spielt.
Rekordstrafe für Datenschutzverletzung in Tschechien
Die tschechische Datenschutzaufsichtsbehörde (SA) hat eine heftige Geldstrafe von 13,9 Millionen
Euro gegen ein namhaftes in Tschechien registriertes Unternehmen verhängt. Es handelt sich konkret um Avast Software s.r.o., ein bekannter Anbieter von Antivirensoftware. Der Grund: schwere Verstöße gegen Artikel 6 und Artikel 13 der DSGVO im Zeitraum von April bis Juli 2019. Der Fall drehte sich um die unerlaubte Übermittlung personenbezogener Daten von Nutzern einer Antivirensoftware an eine Schwestergesellschaft. Besonders brisant: Die betroffenen Daten umfassten Internet-Browsing-Verläufe von rund 100 Millionen Nutzern.
Verstoß gegen Art. 6 DSGVO: Ungesetzliche Datenübermittlungen ohne Rechtsgrundlage
Der Kern des Verstoßes lag in der fehlenden Rechtsgrundlage für die Datenübermittlungen gemäß Art. 6 DSGVO. Die tschechische SA stellte fest, dass das Unternehmen keine gültige Erlaubnis hatte, die gesammelten Daten an die Schwestergesellschaft weiterzugeben. Diese Datenübertragungen betrafen pseudonyme Internet-Browsing-Verläufe, die trotz Pseudonymisierung als personenbezogene Daten eingestuft wurden, da eine Re-Identifikation der Nutzer möglich war.
Verstoß gegen Art. 13 DSGVO: Irreführende Informationen an die Nutzer
Neben der unrechtmäßigen Verarbeitung der Daten stellte die Behörde auch fest, dass die Nutzer nicht ausreichend über die Datentransfers informiert wurden. Das Unternehmen behauptete, die Daten seien anonymisiert und würden lediglich für statistische Analysen verwendet. Diese Irreführung verstößt gegen Artikel 13 der DSGVO, der klare und transparente Informationen bei der Datenerhebung verlangt.
Endgültige Entscheidung mit weitreichenden Konsequenzen
Nach einer Beschwerde des Unternehmens bestätigte der Präsident der tschechischen Behörde die ursprüngliche Entscheidung und wies die Berufung des Unternehmens zurück. Die Verhängung der Rekordstrafe in Höhe von stolzen 13,9 Millionen Euro ist damit endgültig und durchsetzbar. Diese Entscheidung unterstreicht die Entschlossenheit der Datenschutzbehörden, Verstöße unnachgiebig zu bestrafen, besonders wenn führende Unternehmen der Cybersicherheitsbranche involviert sind, die eigentlich Datenschutz und Datensicherheit gewährleisten und nicht kompromittieren sollten.
One-Stop-Shop-Verfahren erleichtert grenzüberschreitende Zusammenarbeit
Die Entscheidung in diesem Fall wurde im Rahmen des OSS-Verfahrens getroffen. Dieses Verfahren ermöglicht es Unternehmen, die in mehreren EU-Mitgliedstaaten tätig sind, nur bei einer einzigen federführenden Datenschutzbehörde, hier die tschechische Behörde, ein Verfahren anhängig zu haben. Diese Behörde koordiniert die Untersuchung und Entscheidung in Abstimmung mit anderen betroffenen Datenschutzbehörden. Das One-Stop-Shop-Verfahren ist ein wesentlicher Bestandteil der DSGVO, der die grenzüberschreitende Durchsetzung von Datenschutzregelungen innerhalb der EU erleichtert und zur Effizienz und Konsistenz in der Anwendung beiträgt. Es stellt sicher, dass Unternehmen klare und einheitliche Vorgaben erhalten und gleichzeitig die Rechte der betroffenen Personen in allen Mitgliedstaaten geschützt werden.
Vergehen aus dem Jahre Schnee – Wie sieht es mit einer Verjährungsfrist aus?
Das Verfahren wurde im Februar 2020 eingeleitet, was innerhalb der dreijährigen Verjährungsfrist lag, die in Tschechien für Datenschutzverstöße gilt. Wichtig ist: Der Beschwerdeführer muss innerhalb der Verjährungsfrist seine Beschwerde einbringen. Damit ist sichergestellt, dass die Beschwerde rechtzeitig ist und niemand einwenden kann: Pech gehabt, verjährt! Die Verjährung wird dann durch die Handlungen der Datenschutzbehörde unterbrochen. Beachten Sie daher: Man kann auch noch mehrere Jahre später für „alte“ Verstöße bestraft werden!
MeineBerater-Tipp
Die Lehren aus dieser Entscheidung sind klar: Transparenz und Rechtsgrundlage sind das A und O. Unternehmen müssen sicherstellen, dass sie eine gültige Rechtsgrundlage für die Verarbeitung und Übermittlung personenbezogener Daten haben. Darüber hinaus müssen Betroffene IMMER klar und transparent über die Datennutzung informiert werden. Nur so können Unternehmen rechtskonform unterwegs sein und hohen Geldstrafen entgehen.
Unsere Empfehlung: Überprüfen Sie regelmäßig Ihre Datenschutzpraktiken und stellen Sie sicher, dass alle Prozesse DSGVO-konform sind sowie zusätzlich den nationalen Datenschutzgesetzen entsprechen, wenn Ihr Unternehmen länderübergreifend agiert. Als zertifizierter CISO unterstützen wir Sie dabei, höchste Sicherheitsstandards zu gewährleisten. Ihre Kunden und Ihr Unternehmen werden es Ihnen danken.