abmahnung schmerzensgeld google fonts eugh urteil rechtmäßigkeit verstoß Drittes geschlecht divers korrektheit informationspflichten bußgeld cnil

Datenschutzverstöße auf einer Webseite führen zu einem Bußgeld i.H.v. 100.000 Euro

/von

In Frankreich wurde ein Verantwortlicher, dessen Webseite den datenschutzrechtlichen Anforderungen nicht entsprach, durch die französische Aufsichtsbehörde „Commission Nationale de l’Informatique et des Libertés“ (CNIL) mit einem Bußgeld i.H.v. 100.000 Euro sanktioniert. Hierüber hat die CNIL eine entsprechende Information auf ihrer Webseite hier veröffentlicht.

Wie man sieht, kann die Aufsicht ihren Auftrag aus Art. 83 Abs. 1 Datenschutz-Grundverordnung (DSGVO) sehr ernst nehmen und ein Bußgeld verhängen, das „wirksam, verhältnismäßig und abschreckend ist“.

Doch was ist konkret vorgefallen und wodurch rechtfertigt die CNIL so ein relativ hohes Bußgeld?

Was waren die Gründe für ein so hohes Bußgeld?

Das Unternehmen, gegen welches das Bußgeld verhängt wurde und welches die Website betreibt, ist ein Unternehmen aus dem privatwirtschaftlichen Sektor und ermöglicht es, Nutzer*innen seiner Webseite Immobilienanzeigen sich zeigen zu lassen und diese zu veröffentlichen.

Die zuständige Aufsichtsbehörde (CNIL) führte im Jahr 2022 zwei Prüfungen bei der verantwortlichen Stelle durch. Im Rahmen ihrer aufsichtsbehördlichen Untersuchungen stellte die Aufsicht insbesondere im Bereich der Datenverarbeitung, die mit dem Betrieb der Webseite zusammenhängt, diverse Verstöße gegen die DSGVO fest. Diese führten im Rahmen einer Gesamtschau dazu, dass die Aufsichtsbörde als Maßnahme die Verhängung eines Bußgelds in Höhe von 100.000 Euro wählte und sich mit anderen (weniger wirksamen und abschreckenden) Maßnahmen, wie beispielsweise einer Verwarnung oder Anordnung, nicht zufrieden gab.

Die Geldbuße wurde vorliegend im Rahmen eines sogenannten One-Stop-Shop-Verfahrens verhängt, das heißt in Zusammenarbeit mit Aufsichtsbehörden der EU- bzw. EWR-Länder, in denen die Seite abrufbar war und die im Rahmen des Bußgeldverfahrens betroffen waren. Dazu gehörten Behörden aus Belgien, Spanien, Portugal, Italien, Niederlande, Irland, Griechenland, Schweden, Österreich, Finnland, Dänemark, Polen und Norwegen und unter anderen auch Deutschland.

Verstoß gegen den Grundsatz der Speicherbegrenzung aus Art. 5 Abs. 1 lit. e DSGVO

Problematisch aus Sicht der CNIL war die Tatsache, dass das Unternehmen eine Aufbewahrungsfrist von zehn Jahren für die Daten bestimmter Konten der Kund*innen festgelegt hatte, die kostenpflichtige Dienste auf der Website nutzten. Diese Frist war jedoch nach Auffassung der CNIL durch nichts gerechtfertigt, da gesetzliche Verpflichtungen für eine derart lange Speicherdauer aus ihrer Sicht nicht existieren und die Zwecke der Verarbeitung eine derart lange Speicherfrist ebenfalls nicht rechtfertigen würden.

Zu den personenbezogenen Daten, die unter Missachtung des Speicherbegrenzungsgrundsatzes aus Art. 5 Abs. 1 lit. e DSGVO verarbeitet wurden, gehörten der Inhalt der Immobilienanzeigen, der Vor- und Nachname, die Telefonnummer und die E-Mail-Adresse der Kund*innen (betroffener Personen).

Zudem stellte die Aufsicht fest, dass obwohl eine Aufbewahrungsfrist von fünf Jahren für die Daten der Nutzer*innen festgelegt wurde, die kostenlose Dienste der Website nutzten, diese Speicherfrist jedoch nicht beachtet wurde. Die Daten würden durch die verantwortliche Stelle für einen längeren Zeitraum als fünf Jahre aufbewahrt.

Verstoß gegen die Bestimmungen der Artt. 12 ff. DSGVO  

Die Informationen, durch die das sanktionierte Unternehmen seine Kund*innen über die Verarbeitung ihrer personenbezogenen Daten informierte (Datenschutzhinweise), nahm die CNIL ebenfalls unter die Lupe. Nach ihren Feststellungen entsprachen die Datenschutzhinweise nicht den Anforderungen der Artt. 12 ff. DSGVO. Insbesondere wurde festgestellt, dass diverse Angaben in den Datenschutzhinweisen nicht ausreichend waren. Dies betraf vor allem die Angaben

  • zu den Rechtsgrundlagen,
  • zu den Unterauftragnehmern,
  • zu den Rechten betroffener Personen,
  • zu den Aufbewahrungsfristen.

Bei den Datenschutzhinweisen gemäß Artt. 12 ff. DSGVO reicht es also nicht aus, nur irgendwie die jeweils stattfindende Verarbeitungstätigkeit grob und oberflächlich zu beschreiben, sondern diese müssen so beschrieben werden, dass sich daraus ergibt, was in technischer / tatsächlicher Sicht auch umgesetzt wird. Dies führt dann in der Regen zu ausführlicheren Beschreibungen, die im Sinne des Art. 12 DSGVO nachvollziehbar sein müssen und zwar, wie in der Verordnung festgelegt, „in einer klaren und einfachen Sprache“.

Zudem reicht es nicht, einfach die erstbeste Vorlage oder fremde Ausführungen zu einer Verarbeitungstätigkeit (beispielsweise zu solchen Verarbeitungen wie Tracking-Tools, Einbindung von Videos, Kartendiensten, Chat-Bots) aus dem Netz zu kopieren und diese in die eigenen Datenschutzhinweise einzufügen. Denn zu einem ist die Qualität solcher Hinweise oft (vorsichtig ausgedrückt) diskussionswürdig. Zum anderen besteht hier – auch unabhängig vom Thema Datenschutz – die Problematik, dass Datenschutzhinweise im Sinne von Art. 12 Abs. 1 Satz 1 DSGVO nach den Umständen des Einzelfalls als ein Werk im Sinne von § 2 Abs. 1 Nr. 1, Abs. 2 UrhG gewertet werden können. Dies hätte zur Folge, dass das einfache „Kopieren / Einfügen“ der (fremden) Datenschutzhinweise zu einem urheberrechtlichen Problem würde (hierzu vgl. die Entscheidung des OLG München, Beschluss v. 03.03.2023 – 6 W 1491/22; abrufbar hier auf der Webseite der Bayrischen Staatskanzlei).

Verstoß gegen die Bestimmungen des Art. 28 DSGVO 

Nach Feststellungen der CNIL hat die verantwortliche Stelle es versäumt, mit den eingesetzten Unterauftragnehmern Verträge zur Regelung der Verarbeitung personenbezogener Daten im Auftrag zu schließen, die den Anforderungen des Art. 28 DSGVO entsprachen. Die Rede ist hier von den sogenannten Auftragsverarbeitungsverträgen (AV-Verträge).

Das bedeutet, die verantwortliche Stelle hat mit den Dienstleistern AV-Verträge zwar abgeschlossen, jedoch enthielten diese nicht alle Regelungen, die gesetzlich gemäß Art. 28 DSGVO vorgeschrieben sind. Das ist in der Praxis ein sehr häufiges Problem, das leider auch und gerade bei großen Dienstleistern festzustellen ist, die ihre AV-Verträge so gestalten, dass die erforderlichen Regelungen darin nicht oder nicht in der gesetzlich geforderten Form enthalten sind. Dies kann jedoch nur festgestellt werden, wenn ein AV-Vertrag gemäß einer Checkliste zur Prüfung von AV-Verträgen überprüft wird.

Es empfiehlt sich also, AV-Verträge nicht blind zu akzeptieren, sondern diese auf ihre Rechtskonformität überprüfen zu lassen. Über die Checkliste der Berliner Datenschutzaufsicht zur Prüfung von Auftragsverarbeitungsverträgen haben wir in unserem Beitrag vom 18.08.2022 berichtet.

Verstoß gegen die Bestimmungen des Art. 32 DSGVO 

Im Rahmen ihrer Prüfungen hat die CNIL festgestellt, dass die Regeln für die Passwortkomplexität bei den Konten der Nutzer*innen der Webseiten nicht komplex genug waren. Das Gleiche galt für die vertraulichen Hinweise, die das Unternehmen nach der Schaltung einer Immobilienanzeige auf der Website an die Nutzer*innen geschickt hatte, die nicht über ein Konto verfügten, um auf die Anzeige zugreifen zu können.

Die Speicherung der Passwörter durch die verantwortliche Stelle erfolgte nach Angaben der CNIL unverschlüsselt. Zudem wurden alle Daten zu inaktiven Konten unsortiert gehalten, so dass auch die sogenannte Trennungskontrolle bzw. das Trennungsgebot, das sich aus dem Art. 32 DSGVO ergibt, nicht eingehalten wurde.

Insgesamt stellte die CNIL bei den erforderlichen, jedoch nicht umgesetzten Maßnahmen, jeweils einen Verstoß gegen die Anforderungen des Art. 32 DSGVO fest, der die Verantwortlichen verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Als eine solche Maßnahme nennt der Art. 32 DSGVO in Absatz 1 Buchstabe a übrigens explizit die Verschlüsselung der personenbezogenen Daten.

In der Praxis können wir leider oft feststellen, dass gerade die Verschlüsselung, die inzwischen mit einfachen On-Board-Mitteln der Betriebssysteme und der genutzten Programme ohne weiteres umgesetzt werden kann, nicht genutzt wird.

Was kann man tun, um aufsichtsbehördliche Sanktionen zu vermeiden?

Nun, die kurze Antwort lautet: Compliance-Anforderungen einhalten.

Die etwas längere Version der Antwort finden Sie in unserem Artikel, den wir am 24.05.2023 veröffentlicht haben, in dem wir ganz gezielt auf die Compliance-Anforderungen eingehen, die im Rahmen des Betriebs von Webseiten zu beachten sind. Nicht uninteressant dürften in diesem Zusammenhang auch unsere Beiträge vom 01.02.2022, vom 19.01.2021 sowie vom 20.12.2021 sein.

Wichtig ist vor allem, die Webseiten regelmäßig zu pflegen und immer die neuesten Änderungen, sei es gesetzlich, im Bereich der Rechtsprechung, bzgl. der technischen Änderungen und Anpassungen zu beachten und erforderlichenfalls darauf so zu reagieren, dass den gesetzlichen Anforderungen entsprochen wird.

Fazit

Das Unternehmen, das mit dem recht hohen Bußgeld nun sanktioniert wurde, hat das Thema Datenschutz zwar auf dem Radar gehabt und es nicht völlig aus dem Auge verloren. Es wurde durchaus versucht, die gesetzlichen Pflichten umzusetzen. Jedoch war die Qualität der Umsetzung aus Sicht der zuständigen Aufsichtsbehörde nicht ausreichend, um den gesetzlichen Vorgaben zu entsprechen.

Besonders wichtig: Eine datenschutzkonforme Webseite ist kein Zustand, den man einmal herstellt und der dann für alle Zeit bestehen bleibt. Es bedarf vielmehr eines kontinuierlichen Prozesses ständiger Anpassungen und Änderungen, die notwendig sind, weil sich gesetzliche Regelungen ändern, sich eingesetzte Technologien ändern oder andere Sicherheitsmaßnahmen erforderlich werden.


Diesen Beitrag teilen