Datenschutzverletzung: Überblick über Datenschutzverletzungen gegen die DSGVO

Nach Rechtskraft der Datenschutz-Grundverordnung Ende Mai 2018 haben die Aufsichtsbehörden mit der Durchsetzung der Datenschutz-Grundverordnung («DSGVO») begonnen und haben diverse Verstösse gegen die DSGVO sanktioniert. Nachfolgender Beitrag gibt einen Überblick über verschiedene Verstösse gegen die DSGVO. Diese Übersicht sowie weitere Urteile und Vorlagen zum Datenschutz finden Sie in der Online-Lösung «Datenschutz kompakt».

11.01.2022 Von: Regina Arquint
Datenschutzverletzung

Datenschutzverletzungs-Handlung: WhatsApp

Verletzungsart: Verletzung der Transparenz- und Informationspflichten (Art. 5, 12, 13 und 14 DSGVO)

Busse (EUR): 225 Mio.

Land: Irland

Datum: September 2021

Die irische Datenschutzkommission DPC hat am 2. September ihren Entscheid betreffend einen Verstoss gegen die DSGVO durch die WhatsApp Ireland Ltd. bekannt gegeben. Zuständig war in diesem Fall die irische Aufsichtsbehörde da WhatsApp zu Facebook gehört und der EU-Hauptsitz von Facebook in Irland liegt.

Die Untersuchung der Datenschutzkommission dauerte drei Jahre. Gegenstand der Untersuchung war, ob WhatsApp gegen die Transparenzpflichten der DSGVO betreffend die Bereitstellung von Informationen und die Transparenz dieser Informationen für Nutzer und Nichtnutzer (wenn Nutzer die Kontakt-Funktionalität von WhatsApp nutzen) nachgekommen ist. Diese umfasste insbesondere auch die Weitergabe von Informationen für betroffene Personen und die Verarbeitung dieser Informationen zwischen WhatsApp und anderen Facebook-Unternehmen.

Im Dezember 2020 legte die federführende irische Datenschutzbehörde den Entwurf ihres Entscheides gestützt auf Art. 60 DSGVO allen betroffenen Aufsichtsbehörden (CSAs) vor. In der Folge erhielt die irische Datenschutzkommission Einwände von acht CSAs, u.a. auch von Deutschland, Frankreich und Italien. Diese betrafen vor allem die Höhe der Geldstrafe und spezifische Bestimmungen der DSGVO, gegen welche vorliegend verstossen wurde. Da es zu keiner Einigung zwischen der irischen Datenschutzkommission und den CSAs kam, wurde am 3. Juni 2021 gestützt auf Art. 65 DSGVO das Streitbeilegungsverfahren beim Europäischen Datenschutzausschuss (EDSA) eingeleitet.

Am 28. Juli 2021 hat der Europäische Datenschutzausschuss eine verbindliche Entscheidung erlassen, die der irischen Datenschutzkommission mitgeteilt wurde. Diese Entscheidung enthielt eine klare Anweisung, wonach die irische Datenschutzbehörde dazu aufgefordert wurde, ihre vorgeschlagene Geldbusse auf der Grundlage einer Reihe von Faktoren, die in der Entscheidung des EDSA enthalten waren, neu zu bewerten und zu erhöhen. Nach dieser Neubewertung verhängte die Datenschutzbehörde eine Geldbusse von 225 Mio. EUR gegen WhatsApp.

Neben der Verhängung der Geld busse sprach die irische Datenschutzkommission auch einen Verweis aus und ordnete an, dass WhatsApp seine Verarbeitung durch eine Reihe spezifischer Abhilfemassnahmen in Einklang mit den Vorschriften bringen muss. WhatsApp hat bereits angekündigt, gegen diesen Entscheid Berufung einzulegen.

Datenschutzverletzungshandlung: Monsanto Unternehmung

Verletzungsart: Verletzung der Informationspflicht und fehlende Auftragsverarbeitungsverträge (Art. 14 und Art. 28 DSGVO)

Busse (EUR): 400 000.

Land: Frankreich

Datum: August 2021

Monsanto stellt das Unkrautvernichtungssmittel Glyphosat her, welches in der EU nicht ganz unumstrittenen ist. Im Mai 2019 wurde bekannt, dass Monsanto über eine Datei mit verschiedenen personenbezogenen Daten von mehr als 200 politischen Persönlichkeiten oder Mitgliedern der Zivilgesellschaft (wie bspw. Journalisten, Umweltaktivisten, Wissenschaftlern oder Landwirten) verfügte, die geeignet waren, den Diskurs oder die öffentliche Meinung über die Erneuerung der Zulassung von Glyphosat in Europa zu beeinflussen.

In dieser Datei wurden verschiedene Informationen über diese Personen gespeichert. Dazu gehörten die Organisation, der sie angehörten, die Position, die sie innehatten, ihre Geschäftsadresse, ihre geschäftliche Telefonnummer, ihre Mobiltelefonnummer, ihre geschäftliche E-Mail-Adresse und in einigen Fällen auch ihr Twitter-Account. Ferner beinhaltete diese Datei über jede Person eine Punktzahl von 1 bis 5, um ihren Einfluss, ihre Glaubwürdigkeit und ihre Unterstützung für Monsanto bei verschiedenen Themen zu bewerten.

Monsanto hatte die betroffenen Personen allerdings nicht darüber informiert, dass ihre Daten auf interne Listen für Lobbyzwecken gespeichert wurden. Die französische Datenschutzbehörde CNIL sah darin eine Verletzung der DSGVO vor. Sie führte aus, dass es grundsätzlich nicht unzulässig sei, solche Listen zu führen. Sie erkannte jedoch einen Verstoss gegen die Informationspflicht (Art. 14 DSGVO), weil die betroffenen Personen nicht darüber informiert wurden. Gemäss Art. 14 DSGVO müssen betroffene Personen auch dann über die sie betreffenden Datenverarbeitungen informiert werden, wenn die personenbezogenen Daten nicht direkt bei der betroffenen Person erhoben wurden. Die Informationspflichten seien eine grundlegende Regelung der DSGVO, da sie der betroffenen Person die Ausübung ihrer Rechte, insbesondere des Widerspruchsrechts, ermöglicht.

Ferner stellte die CNIL fest, dass die personenbezogenen Daten im Auftrag von Monsanto von mehreren Unternehmen gesammelt wurden, die auf Öffentlichkeitsarbeit und Lobbying spezialisiert waren. Dies erfolgte jedoch ohne mit diesen Unternehmen für die im Auftrag durch Monsanto erbrachten Leistungen entsprechende Auftragsverarbeitungsverträgen abzuschliessen, weshalb auch ein Verstoss gegen Art. 28 DSGVO vorlag.

Für diese Verstösse hat die französische Aufsichtsbehörde CNIL Monsanto eine Bussgeldstrafe in Höhe von EUR 400 000.– ausgesprochen.

Newsletter W+ abonnieren