Nach endgültiger Einführung der DSGVO im Mai 2018 sind bisher nur vereinzelte Bußgelder bekannt geworden. Nun scheint die Schonfrist langsam aber sicher dem Ende entgegen zu gehen.
Fehlender Auftragsvereinbarungvertrag: 5.000,- EUR
Das kleine Versandunternehmen Kolibri Image wurde aufgefordert, einen Betrag von 5.000 Euro zuzüglich 250 Euro Gebühren zu zahlen. Begründet wird dieser Bescheid nach Art. 83 Abs. 4 DSGVO durch das Fehlen eines Auftragsverarbeitungsvertrags.
Ausgangspunkt für dieses Schreiben war eine E-Mail des Unternehmens an den Hessischen Beauftragten für den Datenschutz im letzten Jahr, in der man um Rat hinsichtlich eines beauftragten Dienstleisters, der Kundendaten verarbeitet, aber trotz mehrfacher Anforderung keinen Vertrag zur Auftragsverarbeitung übersandt hatte. Die Behörde antwortete darauf, dass die Pflicht, eine solche Vereinbarung abzuschließen, nicht nur den Dienstleister, sondern auch den Auftraggeber als datenschutzrechtlich Verantwortlichen treffe. Das Unternehmen solle und müsse daher selbst eine entsprechende Vereinbarung verfassen.
Darauf antwortete das Unternehmen, dass man sich diese Arbeit nicht machen wolle und dies für eine Pflicht des Auftragnehmers halte, zumal der Auftragnehmer in Spanien ansässig ist und eine mögliche Übersetzung zu teuer sei. Die Behörde aus Hessen gab daraufhin die Sache an die zuständigen Kollegen aus Hamburg ab.
Der Beauftrage aus Hamburg sieht in dem Verhalten des Unternehmens einen Verstoß gegen Art. 28 Abs. 3 DSGVO. Nach dieser Vorschrift muss bei jeder Verarbeitung von personenbezogenen Daten durch einen Dritten ein zusätzlicher Vertrag zum Datenschutz geschlossen werden, der unter anderem Details zu den getroffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten enthält. Eine solche Vereinbarung sei zwischen den Parteien nicht geschlossen worden. Das Unternehmen hätte demnach zwingend von der Beauftragung des Dienstleisters absehen müssen.
50 Millionen EUR Bußgeld für Google in Frankreich
In einer Pressemitteilung gibt die französische Datenschutzbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL) bekannt, ein Bußgeld verhängt zu haben. Dieses beträgt 50 Millionen Euro und richtet sich gegen Google.
Die Datenschutzaufsicht stellte zwei Verstöße fest. Zunächst bemängelt sie unzureichende Transparenz. Ihrer Ansicht nach können Nutzer die Informationen, die Google zur Verfügung stellt, nicht leicht finden. Wichtige Angaben wie den Zweck der Datenverarbeitung verteilt das Unternehmen unnötig auf mehrere Dokumente. Auch an deren Inhalt hat die Behörde etwas auszusetzen. Die Beschreibungen seien zu allgemein und ungenau. Damit sei es nicht möglich, das Ausmaß der Datenverarbeitung durch Google zu verstehen. Und dies wiege schwer, weil das Unternehmen umfangreich Daten sammle. Die DSGVO verpflichte verantwortliche Stellen, „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu informieren“.
Außerdem hält die CNIL die Einwilligung, die Google von den Nutzern einholt, für unzulässig. Der Konzern informiere nicht ausreichend über die Ziele der Datenverarbeitung. So sei beispielsweise das Ausspielen personalisierter Werbung voreingestellt. Das ließe sich zwar später in den Einstellungen ändern, aber der Nutzer gebe somit keine eindeutige Zustimmung.
Sie haben hierzu Fragen? Dann sprechen Sie uns an – unsere Datenschutzexperten beraten Sie gerne!