Auf welchen Grundlagen könnten Bußgelder begründet werden
Laut einem Bericht der Online Plattform Correctiv kam es bei Vodafone zu einem Datenleck bei dem wörtlich sensible Daten wie Passwörter und Kundennummern, aber auch Kopien von Personalausweisen oder Kreditkarten jeweils mit Vorder- und Rückseite, Vertragsdetails, Kontonummern und Bankverbindungen, die individuelle Handy-Kennung (IMEI-Daten), Adressen, Geburtstage, Telefonnummern für Vodafone Beschäftigte von rund 400 Vertragspartner Agenturen und Fachhändler einsehbar waren. Laut Bericht der Plattform war dieses Datenleck bis in das Frühjahr 2023 offen.
Unabhängig davon, ob sich diese Vorwürfe erhärten, wollen wir den Sachverhalt aus Datenschutz Sicht beleuchten, um festzustellen aus welchen hypothetischen Gründen hier ein Verstoß gegen die DSGVO vorliegen könnte.
Szenariobetrachtung aus Sicht der DSGVO
Im folgenden werden Mögliche Einwände präsentiert, wie Sie eine Landesdatenschutzbehörde gegen die Verantwortlichen vorbringen könnte, um Bußgelder zu begründen.
Missachtung Artikel 17 DSGVO
Im oben genannten Fall wird unterstellt, dass das Recht auf Vergessenwerden nach Art. 17 DSGVO missachtet wurde. Denn die DSGVO schreibt vor, dass Daten nur so lange gespeichert werden dürfen, wie für den Zweck (hier Vertragserfüllung) notwendig. Im konkreten Fall bestünde durch die Übernahme der Daten in ein zentrales System kein weitere Bedarf, die erfassten Daten bei den Vermittlern und Fachhändlern weiterzuspeichern.
Folgen:
- Betroffene können die Löschung Ihrer Daten nach Art. 17 DSGVO einfordern
- Sollten dabei Schäden für die Betroffenen entstanden sein, kann man eine Schadenersatzpflicht prüfen
- sollte sich der Vorwurf bewahrheiten, so könnte es zu einem Bußgeld gegen die Verantwortlichen (hier evtl. auch gemeinsam verantwortlich, Fachhändler, Vertragspartner und Anbieter) kommen
Missachtung der Meldepflicht nach Art. 33 DSGVO
Sollte den Verantwortlichen bewusst sein, dass eine Datenpanne im Sinne der DSGVO vorliegt, so haben diese 72 Stunden Zeit diese den Behörden zu melden. Geschieht dies nicht, so drohen weitere Bußgelder aus Artikel 83 DSGVO, je nach Schwere bis zu 4 % des Jahresumsatzes des verantwortlichen Unternehmens.
Missachtung der Vertraulichkeit nach Art. 5 DSGVO
Es ist auch zu prüfen, ob der Verantwortliche hier nach Art. 5 DSGVO geeignete technische und organisatorische Maßnahmen (TOM) zum Schutz der Vertraulichkeit der Daten getroffen hat.
Mögliche Einwände wären:
- es ist entweder kein Löschkonzept vorhanden, oder noch schlimmer: dieses wurde ignoriert
- es wurden unzureichende Verschlüsselungsmaßnahmen getroffen
- die Anzahl der Zugriffsberechtigten Personen wurde nicht auf ein Minimum reduziert
- es fand keine Pseudonymisierung der Daten statt
- oder generell der Stand der Technik an TOM wurde nicht ausreichend erfüllt
Fehlen / Ignorieren einer Datenschutz-Folgeabschätzung nach Art. 35 EU-DSGVO
Die Daten beinhalten laut DSGVO Art. 4 besonders schützenswerte Daten – in diesem Fall einzig das biometrische Foto auf dem Personalausweis. Alle anderen in der Einleitung genannten Daten gelten zwar als persönliche Daten, aber Kreditkartennummern und Bankverbindungen sind laut DSGVO nicht besonders schützenswert. Da hier der Fall zutrifft, dass in Form von Biometrischen Fotos besonders schützenswerte Daten verarbeitet werden und zus. auch Daten in großer Zahl verarbeitet werden muss laut Erwägungsgrund 81 zur DSGVO auf jeden Fall eine Datenschutz Folgeabschätzung durchgeführt werden.
Es ist immer etwas strittig, wann die notwendigen Voraussetzungen für eine Datenschutz-Folgeabschätzung gegeben sind, wie die Leitlinien zur Datenschutzfolgeabschätzung WP248 zeigt. Folgt man aber der aktuellen Rechtsprechung so gehen Urteile meist in die Richtung, dass eine Verpflichtung einer Datenschutz-Folgeabschätzung bestanden hat, auch wenn eine scheinbar griffige Argumentation dagegen bestand, wie das italienische Urteil Az. 9685922 aus dem Juni 2021 gegen den Flughafen Bologna gezeigt hat. In diesem Prozess argumentierte der Verantwortliche, dass eine Prüfung auf die Notwendigkeit einer Datenschutz Folgeabschätzung wegen
- Begrenzte Anzahl von Meldungen und verarbeiteten Daten
- „Geringer Nutzen“ für Dritte und „äußerst geringe Wahrscheinlichkeit von Bedrohungen“, so dass die in seiner Datenbank gespeicherten und über das öffentliche Netz übermittelten personenbezogenen Daten nicht verschlüsselt wurden
- Verschlüsselung sei nur risikoangemessen, wenn große Mengen von Daten verarbeitet würden
- Die Implementierung einer solchen Funktionalität habe die Anschaffung einer zusätzlichen Komponente mit unverhältnismäßig hohen Implementierungskosten erfordert
- Außerdem sei der technische Zugang ausschließlich dem Auftragsverarbeiter vorbehalten, der kein Interesse an der Übermittlung oder Weitergabe von Daten habe
im Hinblick auf den Betrieb eines Hinweisgeberschutzsystems nicht bestand. Das Gericht wies trotz dieser Argumentation darauf hin, dass unzureichende Technisch-Organisatorische Maßnahmen zur Verschlüsselung ergriffen worden sind und die Verpflichtung zur Datenschutz-Folgeabschätzung für den Betrieb eines Hinweisgeberschutz Systems bestand.
Auch im hier vorliegenden Szenario könnte so argumentiert werden.
Abschätzung von Bußgeldern
Um abzuschätzen, welche Bußgelder in so einem Szenario drohen, muss man mehrere Faktoren, wie Unternehmensgrösse, Schwere der Verfehlung, Wiederholungsverhalten und weitere Umstände betrachten. Um eine grobe Idee über die Höhe von Bußgelder zu bekommen verweisen wir an dieser Stelle auf unseren Bußgeld-Rechner.