Die Datenschutzbehörden können mit eiserner Hand die Einhaltung der Datenschutzvorschriften erzwingen, drohend mit empfindlichen Geldstrafen für jeden Verstoß. Diese Strafen können bekanntlich bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen, je nach Schwere des Vergehens. Sensible Daten stehen dabei besonders im Fokus, und jüngste Fälle illustrieren eindringlich, wie selbst scheinbar kleine Nachlässigkeiten zu enormen Bußgeldern führen können. Hier sind einige aufsehenerregende Beispiele, aus denen Unternehmen wichtige Lektionen ziehen können:
Datenschutzpanne enthüllt politische Überzeugungen
Ein gravierender Fauxpas hat eine politische Partei in Österreich teuer zu stehen gekommen. Ein scheinbar harmloses Versenden von zwei E-Mails offenbarte unerwartet die politischen Überzeugungen mehrerer Personen. Die Nachrichten, die an einen offenen Verteiler gesendet wurden, enthielten personalisierte E-Mail-Adressen, die nicht nur private, sondern auch berufliche Informationen preisgaben und somit Hinweise auf die Arbeitsplätze der Beteiligten lieferten. Die österreichische Datenschutzbehörde griff hart durch und verhängte ein saftiges Bußgeld iHv. 50.700 Euro, da die Partei es versäumt hatte, angemessene Schutzmaßnahmen zur Sicherung dieser sensiblen Informationen zu implementieren. Was wäre denn da die richtige Vorgehensweise gewesen? Sie wissen es: Alle Emailempfänger ins BCC-Feld packen. Easy, oder? 😉
Datenschutzverletzung im Wartezimmer: Ein teures Thermometer
In einer spanischen Arztpraxis wurde unbedacht ein Fieberthermometer im Wartebereich installiert, das die Temperaturen der Patienten automatisch maß und öffentlich anzeigte. Das Gerät, montiert an einer Wand nahe dem Wartebereich, verriet nach jedem Messvorgang für mehrere Sekunden die Körpertemperatur der Patienten, sichtbar für alle Anwesenden im Raum. Diese Indiskretion kostete die Praxis nicht nur die Privatsphäre ihrer Patienten, sondern auch ein empfindliches Bußgeld von 30.000 Euro. Was wäre denn hier eine einfache Lösung? Pauschal schwer zu beantworten. Eventuell ein Monitor, den nur die Mitarbeitenden am Empfang einsehen können und nicht das gesamte anwesende Dorf!
YouTube-Video wurde zum Verhängnis
Ein Video, das intime Details einer früheren Beziehung offenbarte, wurde zum Zentrum eines juristischen Orkans, als der Ex-Partner einer Betroffenen das Bildmaterial trotz ihres ausdrücklichen Widerspruchs online veröffentlicht ließ. Nachdem die Betroffene ihre Zustimmung zur Veröffentlichung zurückzog, unternahm ihr Ex lediglich den halbherzigen Versuch, ihre Identität zu schützen, indem er ihr Gesicht verpixelte – jedoch waren weiterhin sexuelle Inhalte erkennbar. Diese unzureichende Schutzmaßnahmen führten zu einem Bußgeld von 10.000 Euro gegen den Ex-Partner, da er es versäumte, das Video vollständig zu entfernen. Abgesehen davon, dass die gesamte Story ein NO-GO ist – was sehen wir hier? DSGVO-Strafen machen mittlerweile auch vor Privatpersonen schon lange nicht mehr Halt. Also Vorsicht!
Unternehmen bestraft für Indiskretion gegenüber der Presse
Ein schwerwiegender Verstoß gegen die DSGVO hat dem spanischen Unternehmen SERVICIOS ESPECIALES, S.A. ein kostspieliges Bußgeld eingebracht. Die Firma geriet unter Beschuss, nachdem sie im Zuge einer Entlassung sensible Daten einer Mitarbeiterin – einschließlich ihrer Gewerkschaftszugehörigkeit und Details ihrer Kündigung – unrechtmäßig an die Medien weitergab. Dieser unerlaubte Akt der Informationspreisgabe zog ursprünglich ein Bußgeld von 80.000 Euro nach sich, das jedoch nach einem Schuldeingeständnis und der freiwilligen Zahlung des Unternehmens um 40 % reduziert wurde. Was wäre hier die korrekte Vorgehensweise gewesen? Hände weg von Meldungen an die Medien unter dem Motto: Bring your own brain. Zu gut Deutsch: Den Hausverstand nicht vergessen 😉
Biometrische Daten missbraucht
Die spanische Firma für Outsourcing-Dienstleistungen, CTC EXTERNALIZACIÓN, wurde von der spanischen Datenschutzbehörde mit einer Strafe von insgesamt 365.000 Euro belegt. Grund dafür war der unsachgemäße Umgang mit biometrischen Daten – insbesondere Fingerabdrücken von Mitarbeitenden für ein Zeiterfassungssystem. Das Unternehmen verletzte die Informationspflicht, Sicherheit der Verarbeitung und unterließ das Durchführen einer Datenschutz-Folgenabschätzung (DSFA). Zusätzlich wurde angeordnet, das die TOMs zu verbessern und das Zeiterfassungssystem zu deaktivieren, bis angemessene Informationsrichtlinien für die Mitarbeitenden etabliert sind. Was wäre denn hier die korrekte Vorgehensweise gewesen? Man findet sie gleich im Text: Manchmal sind die Behörden sehr nett und tragen gleich die Maßnahmen auf, die man vorher umsetzen hätte sollen: Einrichten guter TOMS, Durchführen der DSFA und Erfüllung der Informationspflichten!
MeineBerater-Tipp
Alle Tipps finden Sie gleich bei den einzelnen Beiträgen – bei Fragen einfach MeineBerater fragen 🫡