17.04.2024
Eine unternehmensinterne Richtlinie sah vor, dass eine Krankmeldung nur beim Leiter der jeweiligen Abteilung des Unternehmens eingereicht werden müsse.
Ein Mitarbeiter des Unternehmens beschwerte sich bei der zuständigen Datenschutzbehörde, da er seine krankheitsbedingten Ausfälle per E-Mail in einem E-Mail-Verteiler mit 25 Kollegen und Vorgesetzten melden musste.
Der Vorgesetzte hatte ausserdem eine E-Mail an einen E-Mail-Verteiler gesendet, in der mehrere Empfänger alle Krankheitstage auflisteten.
Die Datenschutzbehörde stellte fest, dass eine derart umfassende Offenlegung nicht erforderlich und daher rechtswidrig war.

Branche: Unternehmen
Verstoß: Art. 9 DSGVO, Art. 32 DSGVO
Bußgeld: 75.000 EUR

Fazit:
Selbst bei einem rein unternehmensinternen Mail-Verkehr, muss dringend auf die Mitarbeiterrechte geachtet werden. Vor allem in den hochsensiblen Bereichen, wie Ausfallzeiten und Krankmeldungen, ist eine Offenlegung gegenüber Dritten nur mit äußerster Sorgfalt auszuwählen. Liegt der Mailserver im öffentlichen Bereich, sollte hier von einer solchen zweckgebundenen Verwendung abgesehen werden.

29.02.2024
Im Vorfeld der Verhängung diese Bußgeldes gegen die Enel Energia S.p.A., wurde gegen ein anderes Unternehmen Sanktionen auferlegt, das unter anderem für Enel Energia unrechtmäßiges Telefonmarketing mit illegal erworbenen Daten betrieb.
Bei den nachfolgenden Untersuchungen durch die italienische Datenschutzbehörde (GPDP) wurden erhebliche Sicherheitsmängel bei dem verwendeten CRM-System des Energieunternehmens festgestellt. Unbefugte Dritte konnten aufgrund mangelnder bis gänzlich fehlender Sicherheitsvorkehrungen, jahrelang auf Daten des CRM-Systems zugreifen, für illegales Telefonmarketing missbrauchen und im Namen von Enel Energia Verträge abschließen.
Zudem rügte die Datenschutzbehörde, dass das Unternehmen keine entsprechende Risikoanalyse bei Einführung des CRM-Systems durchgeführt habe.

Branche: Energie
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 DSGVO, Art. 5 Abs. 2 DSGVO, Art. 24 Abs. 1 DSGVO, Art. 25 DSGVO, Art. 28 DSGVO
Bußgeld: 79.107.101 EUR

Fazit:
Werden System von Dritten in die Unternehmenstruktur integriert, die in Datenbanken Informationen zu Personen bereitstellen und sammeln, sollte vor Einführung eines solchen Systems, eine technische Sicherheits- und Risikoanalyse durchgeführt werden. Dies gilt im Besonderen für Customer-Relationship-Management-Systeme (CRM-System).

31.01.2024
Der europäische Hauptsitz von Uber befindet sich in den Niederlanden. Daher übergab die französiche Aufsichtsbehörde eine Sammeklage der französischen Liga für Menschenrechte an die niederländischen Kolleg:innen.
Im Rahmen einer Untersuchung durch die Behörde wurde festgestellt, dass Uber ihren Fahrer:innen die Geltendmachung von Betroffenenrechten erschwert. Dies betrifft insbesondere das Online-Formular, mit dem Fahrer:innen die Übertragung ihrer Daten nach Art. 20 DSGVO geltend machen können. Dieses Formular war nur schwer zugänglich und Auskunftsanfragen wurden nach Ansicht der Behörden unverständlich beantwortet.
Des Weiteren wurde seitens der niederländischen Behörden beanstandet, dass die Datenschutzerklärung von Uber unvollständig und intransparent sei. Dies begründeten sie damit, dass Uber seine Fahrer:innen nicht über die Speicherdauer personenbezogener Daten sowie über Drittlandübermittlungen und entsprechende Transfermechanismen nach den Art. 44 ff. DSGVO informierte.

Branche: Dienstleistungsunternehmen
Verstoß: Art. 20 DSGVO, Art. 44 ff. DSGVO
Bußgeld: 10.000.000 EUR

Fazit:
Hier zeigt sich wieder einmal, werden Betroffenenrechte und Informationspflichten seitens der Arbeitgeber nicht für jeden transparent dargestellt, wird dies entschieden von den Behörden sanktioniert.

23.01.2024
Die französische Datenschutzbehörde (CNIL) hat gegen das Amazon-Unternehmen AMAZON FRANCE LOGISTIQUE ein Bußgeld in Höhe von 32.000.000 EUR wegen unverhältnismäßiger Beschäftigtenüberwachung verhängt.
Aufgrund beschwerden von Beschäftigten und entsprechenden Medienberichten, führte die Datenschutzbehörde mehrere Kontrollen in dem Logistikunternehmen durch. Hierbei wurde festgestellt, dass die Mitarbeiter:innen in den Lagerhallen mit Scannern ausgestattet sind, damit gewisse Arbeitsschritte (Einlagern oder Entnahme von Ware) in Echzeit erfasst werden. Der bloße Einsatz dieser Scanner wurde nicht beanstandet.
Von der Behörde wurde allerdings die Menge und der Umfang der Daten und Indikatoren beanstandet, die verarbeitet werden, da dies zu einer unverhältnismäßigen Überwachung der Mitarbeiter:innen führt. Es wurde die inaktive Dauer von Scannern erfasst, die von den Mitarbeiter:innen zu rechtfertigen waren und auch das System zur Geschwindigkeitsmessung zum Einräumen von Artikeln wurde als unverhältnismäßig bemängelt. Zudem war die Dauer von 31 Tagen, für die Speicherung der über die Scanner erhobenen Daten unrechtmäßig.
Wegen unzureichender Informationen bezüglich der Handscanner und der in den Lagerhallen installierten Videoüberwachung, wurde das Amazon-Unternehmen auch gegen Verstöße der Informationspflichten aus Art. 13 DSGVO sanktioniert.

Branche: Logistik
Verstoß: Art. 13 DSGVO
Bußgeld: 32.000.000 EUR

Fazit:
Auch hier zeigt sich, dass ein Unternehmen durchaus das Recht hat, gewisse Routinen und Arbeitsschritte durch Datenerhebung zu dokumentieren. Aber dies muss von dem Arbeitgeber mit all seinen Pflichten und den rechten der Mitarbeiter:innen, diesen auch transparent kommuniziert werden.
Zudem sollte die Menge der erhobenen Daten und die Speicherdauer nur in einem Ausmaß erfolgen, das der Kontrolle dienlich ist. Ansonsten wird eher der Verdacht einer lückenlosen Überwachung erweckt.

06.11.2023
Die französische Datenschutzbehörde beschloss, bei zwei namentlich nicht genannten öffentlichen Stellen Untersuchungen zur Einhaltung des Datenschutzes durchzuführen.
Die Untersuchungen ergaben, dass in den Dienst- und Baufahrzeugen Geolokalisierungssysteme installiert waren, die eine umfassende Überwachung der Fahrzeugaktivitäten ermöglichte. Neben der Ermittlung des Standorts wurde auch die Fahrzeit und die Einschätzung, ob das Fahrzeug außerplanmäßig benutzt wurde, erfasst.
Durch Kombination mit Arbeitsplänen der Mitarbeiter, konnte festgestellt werden, welcher Mitarbeiter welches Fahrzeug benutzte.
Bei Befragungen wurde offensichtlich, dass die Verantwortlichen die Mitarbeiter nicht ausreichend über die Verarbeitung ihrer personenbezogenen Daten informiert hatten. Es fehlten zu dem die Angaben zu den Rechtsgrundlagen der Datenverarbeitung und zu den Rechten der betroffenen Personen und der Datenschutzbeauftragte war nicht bekannt.

Branche: Logistik
Verstoß: Art. 13 DSGVO, Art. 5 Abs. 1 lit. b DSGVO
Bußgeld: 2.500 EUR

Fazit:
Es ist ja im Sinne der Besitzer und nicht verwerflich Dienstfahrzeuge jeglicher Bauart durch Geolokalisierungssysteme zu überwachen.
Aber, die Mitarbeiter müssen hinreichend über die Rechtsgrundlagen der Datenverarbeitung und zu den Rechten ihrer Person der aus der Überwachung gewonnenen Daten informiert werden!

24.10.2023
Die italienische Datenschutzbehörde hat eine örtliche Gesundheitsbehörde in Neapel mit einer Geldstrafe von 30.000 Euro belegt, weil sie die persönlichen Daten und Gesundheitsdaten von 842.000 Patienten und Mitarbeitern nicht ausreichend vor Hackerangriffen geschützt hat. Die Gesundheitsbehörde wurde Opfer eines Ransomware-Angriffs, der mithilfe eines Virus den Zugriff auf die Datenbank der Gesundheitseinrichtung einschränkte und ein Lösegeld für die Wiederherstellung der Systeme forderte. Die örtliche Gesundheitsbehörde informierte die Datenschutzbehörde über die Sicherheitsverletzung, entsprechend dem Gesetz zum Schutz personenbezogener Daten, die umgehend eine Untersuchung des Vorfalls einleitete, um herauszufinden, welche technischen und organisatorischen Maßnahmen die örtliche Gesundheitsbehörde vor und nach dem Angriff ergriffen hatte. Während der Untersuchung stellte die Datenschutzbehörde mehrere wichtige kritische Punkte fest. Zum Beispiel wurde es versäumt, geeignete Maßnahmen zu ergreifen, um eine Datenschutzverletzung schnell zu erkennen und die Netzwerksicherheit zu gewährleisten, was ebenfalls einen Verstoß gegen den Grundsatz des Datenschutzes durch Technologie darstellt. Der Zugriff auf das Netzwerk über VPN erfolgte über ein Authentifizierungsverfahren, das ausschließlich auf der Verwendung eines Benutzernamens und eines Passworts basierte. Darüber hinaus führte die fehlende Netzwerksegmentierung dazu, dass sich der Virus in der gesamten IT-Infrastruktur verbreiten konnte. Bei der Bemessung der Geldstrafe der Datenschutzverletzung spielte es für die Datenschutzbehörde eine besondere Rolle, dass es sich um Daten handelte, aus denen Informationen über den Gesundheitszustand einer sehr großen Zahl registrierter Nutzer gewonnen werden konnten, sowie die mangelnde Bereitschaft und unkooperative Haltung der betroffenen Gesundheitsbehörde.

Branche: Gesundheitswesen
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 25 DSGVO, Art. 32 DSGVO
Bußgeld: 30.000 EUR

Fazit:
Der technisch bestmögliche Schutz der eigenen IT-Infarstruktur, sollte nicht nur im ureigenen Interesse des Betreibers liegen. Dieser Fall zeigt, dass der Schutz einer IT-Infastruktur einer ständigen Überprüfung bedarf, um technische Neuerungen oder neue Erkenntnisse schnell in diese zu integrieren. Ansonsten wird man, neben einem Lösegeld, auch noch mit einem Bußgeld bestraft.

23.10.2023
Die italienische Datenschutzbehörde verhängte ein Bußgeld gegen eine Krankenhauskette, nachdem ein Mitarbeiter von Azienda Usl Toscana Sud Est im Eingangsbereich der Notaufnahme ein Informationsplakat angebracht hatte. Auf dem Plakat saß ein medizinischer Angestellter an einem Computer, auf dessen Bildschirm ein Notfallprotokoll mit den personenbezogenen Daten, einschließlich Gesundheitsdaten, einer realen Person zu sehen war. Auf Anfrage der Behörde erklärte die Krankenhauskette, dass die Veröffentlichung der Daten auf reiner Unachtsamkeit beruhte und das Plakat erst seit einigen Wochen öffentlich war.

Branche: Gesundheitswesen
Verstoß: Art. 5 Abs. 1 lit. a, c und f DSGVO, Art. 9 DSGVO, Art. 25 DSGVO, Art. 2-septies (8)
Bußgeld: 20.000 EUR

Fazit:
Die Veröffentlichung selbsterstellter Fotos umgeht die Problematik des Urheberrechts. Aber dieser Fall zeigt:
Kontrollieren Sie selbsterstellte Fotos vor einer Veröffentlichung. Sind abgebildete Personen identifizierbar, benötigen Sie eine Einverständniserklärung (bei Kindern aller Erziehungsberechtigten!). Achten Sie darauf, dass keinerlei Daten erkennbar sind, die die Identifizierung einer realen Person ermöglichen.

23.10.2023
Ein Mitarbeiter von Wallbox Chargers S.L. - ein Unternehmen mit Sitz in Barcelona - versendete E-Mails an vier Kunden, wobei er einen fünften Kunden jeweils unbeabsichtigt in CC setzte. Der Kunde erhielt personenbezogene Daten der anderen Kunden sowohl durch die E-Mail selbst, als auch durch die Antworten der vier angeschriebenen Kunden, da sie diesen in ihren Antworten mit einbezogen. Der fünfte Kunde teilte dem Mitarbeiter von Wallbox Chargers S.L. den Fehler mit, der sich daraufhin entschuldigte und meinte, der Fehler sei nicht so schlimm. Nachdem der fünfte Kunde den Mitarbeiter auf das Missbrauchsrisiko aufmerksam machte und auch darauf, dass es sich dabei um Datenschutzverletzungen handelte, meldete das Unternehmen schließlich den Vorfall an die spanische Aufsichtsbehörde. Aufgrund des Schuldeingeständnisses des Verantwortlichen und einer freiwilliger Zahlung setzte die Aufsichtsbehörde ein Bußgeld von 4.800 EUR fest.

Branche: Verkehr
Verstoß: Art. 5 Abs. 1 lit. f DSGVO, Art. 32 Abs. 1 DSGVO
Bußgeld: 4.800 EUR

Fazit:
Beim Versand von E-Mails schleichen sich schnell mal Fehler ein. Vor allem wenn personenbezogene Daten zum Inhalt der E-Mail gehören, kontrollieren sie den oder die Empfänger vor dem Versand der E-Mail.
Generell sollten bei Versand und Empfang von E-Mails bestimmte Sicherheits-Maßnahmen ergriffen werden. Durch die massiven Zunahmen von Cyberattacken auf E-Mail-Accounts haben die Aufsichtsbehörden die Sicherheit von E-Mail-Accounts verstärkt im Blick.

01.10.2020
Die H&M Gesellschaft mit Sitz in Hamburg betreibt ein Service Center in Nürnberg. Die Führung dieses Service Centers sammelte und speicherte dauerhaft, seit mindestens 2014, Daten der Beschäftigten. Darunter waren Daten zu Urlaubs- und Krankheits-Abwesenheiten und Daten zu privaten Lebensumständen, die auch in Flurgesprächen gesammelt wurden. Diese Daten wurden zu Profilen der einzelnen Beschäftigten zusammengefasst, die für mehrere Führungskräfte abrufbar waren. Diese Profile sollten für Maßnahmen und Entscheidungen im Arbeitsverhältnis genutzt werden.
Durch eine administrative Panne im Oktober 2019, konnte für mehrere Stunden unternehmensweit auf diese Daten zugegriffen werden. Nach Hinweis darauf, verlangte der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) die Herausgabe des Datenträgers (ca. 60 GB) und befragte zahlreiche Zeugen, die die dokumentierten Praktiken bestätigten.

Die Aufdeckung der schwerwiegenden Verstöße hat die Verantwortlichen veranlasst, verschiedene Korrekturmaßnahmen zu ergreifen. Der HmbBfDI wurde ein umfassendes Konzept vorgelegt, wie der Datenschutz am Standort Nürnberg fortan umgesetzt werden soll.
Positiv ist zu vermerken, dass die Unternehmensleitung sich ausdrücklich bei den Betroffenen entschuldigte und den Mitarbeitern eine erhebliche finanzielle Entschädigung zu zahlen bereit war.

Branche: Business
Verstoß: Art. 6 Abs. 1 DSGVO
Bußgeld: 35.258.708 EUR

Fazit:
Die Kombination aus der Erhebung von Details über das Privatleben und der Aufzeichnung ihrer Tätigkeiten führte zu einem besonders intensiven Eingriff in die Bürgerrechte der Beschäftigten. Man sei also gewarnt, wenn Teamleiter in sogenannten Welcome Back Talks Fragen zum Privatleben stellen.