Logo der activeMind AG

600.000 Euro Bußgeld wegen vielfacher Datenschutzverstöße

Inhalt

Aufgrund verschiedener Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) verhängte die französische Datenschutzbehörde (CNIL) gegen den Pay-TV-Anbieter Groupe Canal+ ein Bußgeld in Höhe von 600.000 Euro. Neben zahlreichen internen Fehlern stolperte das Unternehmen auch über gravierende Mängel bei seinen Auftragsverarbeitern.

 

Hintergrund des DSGVO-Bußgeldes

Die CNIL erhielt zwischen November 2019 und Januar 2021 ungefähr 31 Beschwerden gegen die Groupe Canal+, ein Unternehmen, das TV-Sender anbietet und kostenpflichtige Fernsehdienstleistungen vertreibt. Die Beschwerden bezogen sich auf Schwierigkeiten der Betroffenen, ihre Rechte nach der DSGVO wirksam durchzusetzen.

In ihren Untersuchungen kam die CNIL zu dem Schluss, dass das Unternehmen mehrere in der DSGVO und im französischen Post- und Elektronikkommunikationsgesetz (CPCE) festgelegte Verpflichtungen verletzt hatte. Es wurde eine Geldstrafe von 600.000 Euro gegen Groupe Canal+ verhängt.
Im Rahmen der Untersuchungen stellte die CNIL mit ihrer Entscheidung vom 12. Oktober 2023 folgende Verstöße fest:

Die Höhe der Geldbuße wurde unter Berücksichtigung der identifizierten Verstöße sowie der Zusammenarbeit des Unternehmens und aller im Verfahren ergriffenen Maßnahmen zur Einhaltung der vorgeworfenen Verstöße festgelegt.

Datenschutzrechtliche Einschätzung des Bußgeldes

Verstoß gegen die Bedingungen für die Einwilligung (Art. 7 DSGVO)

Die Groupe Canal+ führt regelmäßig Werbekampagnen durch. Das Unternehmen konnte jedoch nicht nachweisen, dass es im Vorfeld die erforderliche Einwilligung der Betroffenen eingeholt hatte. Im Rahmen der Untersuchungen übermittelte das Unternehmen der CNIL zwei Vorlagen für Standardformulare zur Erfassung von Interessenten, bereitgestellt von den Geschäftspartnern, bei denen die Daten erhoben werden. Weder auf den Erfassungsformularen noch über die Links war die Information enthalten, dass die Groupe Canal+ Empfänger der Daten ist.

Die CNIL stellte fest, dass bis zu vier Millionen Interessenten, deren Daten durch den Dienstleister gesammelt wurden, elektronisch beworben wurden. Für alle diese Leads konnte das Unternehmen keinen Nachweis liefern, dass eine gültige informierte Einwilligung eingeholt wurde, weder von den Dienstleistern noch von der Groupe Canal+ selbst. Dem brachte das Unternehmen entgegen, dass der Dienstleister für die Einholung der Einwilligung zuständig sei und gab diesbezüglich an, dass keine Kontrolle über die verwendeten Formulare zur Einholung der Einwilligung erfolgte, mit der Begründung, dass dies in der Eigenschaft als eigenständige Verantwortliche durchgeführt werden müsste.

Gemäß Art. 7 Abs. 1 DSGVO muss „bei Verarbeitung auf Einwilligung beruhend, der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat“. Eine informierte und gültige Einwilligung ist damit nicht erfolgt. Zusätzlich erwiesen sich die getroffenen Maßnahmen von Groupe Canal+ mit seinen Datenlieferanten als unzureichend, um sicherzustellen, dass die Einwilligung der Personen vor der Datenerhebung gültig war.

Nichteinhaltung der Informationspflichten (Art. 13 und 14 DSGVO) und Nichtbeachtung der Betroffenenrechte (Art. 12 und 15 DSGVO)

Die durch die CNIL durchgeführten Überprüfungen deckten zusätzliche Verstöße auf:

  1. Unterlassene Information Betroffener bei der Erstellung eines MyCanal-Kontos: Die Datenschutzerklärung, auf die das Erfassungsformular bei der Kontoerstellung verwies, war ungenau hinsichtlich der Aufbewahrungsfristen und verstieß somit gegen Art. 13 DSGVO.
  2. Verstoß gegen die Pflicht zur Information von Betroffenen bei telefonischer Akquise: Der für die telefonische Akquise zuständige Dienstleister des Unternehmens stellte nicht systematisch alle von der DSGVO geforderten Informationen bereit.
  3. Nichterfüllung von Verpflichtungen im Zusammenhang mit der Ausübung von Betroffenenrechten (Art. 12 DSGVO): Insbesondere versäumte das Unternehmen innerhalb der gesetzlich vorgeschriebenen Frist von einem Monat zu reagieren.
  4. Nichtbeachtung des Rechts auf Auskunft (Art. 15 DSGVO): Das Unternehmen reagierte nicht auf einige Anfragen und verletzte somit das Recht der Betroffenen auf Auskunft.

Art. 13 und 14 DSGVO stellen mit den Informationspflichten eine der wichtigsten Regelungen im Datenschutz dar. Aufgrund dessen sollten Verantwortliche stets darauf achten, dass Betroffene in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache informiert werden.

In diesem Kontext ist ein Augenmerk auf die regelmäßige Kontrolle von Auftragsverarbeitern zu legen. Im Rahmen des Auftragsverhältnisses bleibt der Auftraggeber verantwortlich für die Datenverarbeitung und muss im Rahmen seiner Rechenschaftspflicht sicherstellen, dass die Anforderungen der DSGVO eingehalten werden. Sollten Sie (wie Groupe Canal+) Dienstleister für telefonische Akquise nutzen, ist insbesondere sicherzustellen, dass die Betroffenen durch den Dienstleister ausreichend informiert werden.

Unzureichender Auftragsverarbeitungs-Vertrag (Art. 28 Abs. 3 DSGVO)

Zudem stellte die CNIL fest, dass diverse Auftragsverarbeitungs-Verträge nicht den Anforderungen des Art. 28 Abs. 3 DSGVO gerecht wurden. Insbesondere fanden sich Verträge, die vor dem Inkrafttreten der DSGVO abgeschlossen und seitdem nicht mehr aktualisiert wurden, um die Anforderungen der DSGVO zu erfüllen.

Das Unternehmen hielt dem entgegen, dass der entsprechende Vertrag bereits 2016 gekündigt wurde und der Vertrag mit dem neuen Dienstleister die fehlenden Angaben im Rahmen einer Zusatzvereinbarung regelt. Diesen Argumenten folgte ist die CNIL und kam in Hinblick auf dieses konkrete Auftragsverhältnis zum Ergebnis, dass keine Verletzung vorlag. Im Rahmen der Untersuchung stellte die CNIL dennoch Verstöße in Bezug auf weitere Auftragsverarbeitungs-Verträge fest, die die Anforderungen des Art. 28 DSGVO nicht erfüllten oder nicht unterzeichnet und somit nicht gültig waren.

Auch wenn die DSGVO schon seit 2018 anwendbar ist, sind bei vielen Unternehmen noch veraltete (insbesondere vor Zeiten der DSGVO abgeschlossene) Verträge aufzufinden, was ebenfalls ein Indiz für fehlende regelmäßige Kontrollen von Auftragsverarbeitern ist.

Nichtgewährleistung der Sicherheit personenbezogener Daten (Art. 32 DSGVO)

Einen weiteren Verstoß stellte die CNIL bei der Speicherung der Passwörter von Mitarbeitern für eine im Unternehmen genutzte Anwendung fest. Die Speicherung erfolgte durch Hashing mit dem sogenannten Message-Digest Algorithmus 4 (MD4), welcher zum Zeitpunkt der Feststellung der CNIL bereits als veraltet und nicht robust genug galt, um die Vertraulichkeit zu gewährleisten. Zwar fand die CNIL andere Maßnahmen, die die Sicherheit der Daten gewährleisteten und auch dem Stand der Technik entsprachen, blieb jedoch im Falle des MD4 Algorithmus beim Standpunkt, dass ein Verstoß gegen Art. 32 DSGVO vorliegt.

Dies verdeutlicht, dass die technischen Aspekte im Rahmen der DSGVO nicht außer Acht gelassen werden sollten. Die DSGVO spricht immer wieder vom Stand der Technik und zeigt damit auch die Wichtigkeit, dass Verantwortliche technische Veränderungen und Entwicklungen im Auge behalten, um ggf. Maßnahmen gegen neue Risiken ergreifen bzw. bestehende Maßnahmen anpassen zu können.

Versäumnis, Datenschutzverletzung an die Behörde zu melden (Art. 33 DSGVO)

Es wurde festgestellt, dass die Groupe Canal+ am 5. Februar 2020 von einer Datenschutzverletzung im eigenen Verantwortungsbereich erfahren hatte. Abonnenten konnten nach einer Aktualisierung des Kundenbereichs auf Informationen anderer Abonnenten zugreifen. Trotz der hohen Anzahl betroffener Personen und der hohen Sensibilität der Daten (weshalb laut CNIL ein Risiko für die Rechte und Freiheiten der Betroffenen anzunehmen sei), informierte das Unternehmen die CNIL als die zuständige Aufsichtsbehörde nicht. Dies stellt einen Verstoß gegen Art. 33 DSGVO dar.

Das Unternehmen argumentierte, die Leitlinien des Europäischen Datenschutzausschusses und der Agentur der Europäischen Union für Cybersicherheit befolgt zu haben und sah keine Notwendigkeit für eine Meldung aufgrund der begrenzten Sensibilität und Dauer des Vorfalls. Dies begründete die Groupe Canal+ damit, dass die Daten lediglich für sieben Nutzer einsehbar waren. Die CNIL widersprach dem vorgelegten Argument damit, dass die Anzahl betroffener Personen mit 10.154 erheblich ist und dass eine Beeinträchtigung der Privatsphäre für diese Personen bestand. Daher hätte das Unternehmen die CNIL über die Datenschutzverletzung informieren müssen. Die CNIL kam folglich zum Schluss, dass ein Verstoß gegen Artikel 33 DSGVO vorliegt.

Das hohe Bußgeld, das von der Datenschutzbehörde verhängt wurde, unterstreicht die Wichtigkeit einer genauen Risikoanalyse. Es verdeutlicht insbesondere, dass das Versäumnis einer Meldung einer Datenschutzverletzung als gravierender Verstoß betrachtet wird.

Der Datenschutzbeauftragte sollte daher über jede Datenschutzverletzung informiert werden und eine Risikoanalyse durchführen. Dadurch können die Schwere der Verletzung der Sicherheit personenbezogener Daten und die damit verbundenen Risiken für die Rechte und Freiheiten betroffener Personen im jeweiligen Einzelfall bewertet sowie die erforderlichen Maßnahmen identifiziert werden. Die Deutsche Datenschutzkonferenz hat in einem Kurzpapier die Kriterien veröffentlicht, die bei der Risikobewertung helfen können. Ein funktionierender Prozess ist diesbezüglich insbesondere wichtig, um die Meldefrist von 72 Stunden einhalten zu können.

Fazit

Die verhängte Geldstrafe von 600.000 Euro gegen die Groupe Canal+ unterstreicht, wie wichtig die Aufsichtsbehörden Verstöße gegen die DSGVO nehmen.
Unternehmen sollten diesen Fall als Warnung sehen und sicherstellen, dass ihre Datenschutzmaßnahmen den rechtlichen Anforderungen entsprechen, regelmäßig überprüft werden und neben den rechtlichen auch die technischen und organisatorischen Maßnahmen zum Schutz von Daten umfassen. Ein erfolgreiches Datenschutzmanagement ist hierbei von großer Bedeutung und entscheidend, um Risiken zu minimieren und das Vertrauen der Kunden in die Sicherheit ihrer persönlichen Daten zu wahren.

Der Fall Groupe Canal+ zeigt auch, dass die Überwachung all dieser Maßnahmen nicht an den Grenzen des eigenen Unternehmens endet – sondern Lieferanten und Auftragsverarbeiter umfasst.

Weiterlesen

Newsletter

Sichern Sie sich das Wissen unserer Experten.

Zweimal im Monat alles Wichtige zu Datenschutz, Informationssicherheit und künstlicher Intelligenz.