Über 4 Mio. Euro DSGVO-Bußgeld wegen Missachtung der Datenschutz-Grundsätze

In den Niederlanden sollen das Außen- und das Finanzministerium laut der niederländischen Datenschutzbehörde AP im Zeitraum von 2013 bis 2020 mehrere schwerwiegende Datenschutzverstöße begangen haben. Grundlegende Prinzipien wie Rechtmäßigkeit, Zweckbindung, Richtigkeit, Speicherbegrenzung sowie eine sichere Verarbeitung sollen missachtet worden sein.

Hintergrund der Bußgelder

Die Datenschutzbehörde verhängte gegen das Außenministerium ein Bußgeld in Höhe von 565.000 Euro. Zur Begründung führte sie aus, dass Daten eines Visaverfahrens – wie Fingerabdrücke, Name, Adresse, Wohnort, Geburtsland, Reisezweck, Nationalität und Fotos – verarbeitet wurden und dass das Ministerium dabei gegen Art. 13 Abs. 1 lit. e und Art. 32 Abs. 1 DSGVO verstoßen habe. Konkret seien folgende Mängel festgestellt worden:

  • kein Sicherheitskonzept,
  • unzureichende Maßnahmen zum physischen Schutz personenbezogener Daten,
  • unzureichende Verfahren für die Kontrolle der Zugriffsrechte vorhanden,
  • Mängel bei den Protokolldateien und deren regelmäßiger Überprüfung,
  • unzureichendes Verfahren zur Meldung von Sicherheitsvorfällen,
  • unzureichende Information über die Weitergabe der Daten an Dritte.

Gegen das Finanzministerium verhängte die Datenschutzbehörde ihr bisher höchstes Bußgeld in Höhe von 3,7 Millionen Euro. Hier lag aus ihrer Sicht ein besonders schwerer und langwieriger Verstoß vor mit einer großen Zahl an Betroffenen. Die Daten von 270.000 Betroffenen seien unrechtmäßig verarbeitet worden, als sie zwischen 2013 und 2020 zu Unrecht auf einer sogenannten schwarzen Liste für Steuer- und Zollbetrüger mit Informationen über ihre Kreditunwürdigkeit geführt wurden. Konkret habe die Behörde folgende Mängel festgestellt:

  • Die dem Finanzministerium unterstehende Finanz- und Zollverwaltung hatte keine Rechtsgrundlage für diese Verarbeitung personenbezogener Daten.
  • Der Zweck der Liste wurde im Vorfeld nicht konkret definiert.
  • Es wurden falsche und nicht aktualisierte Daten verarbeitet.
  • Die Daten wurden zu lange aufbewahrt.
  • Die Datensicherheit war innerhalb der Liste nicht gewährleistet.
  • Der Datenschutzbeauftragte der Finanzbehörde wurde erst nach Jahren einbezogen.

Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!

Datenschutzrechtliche Einschätzung der Bußgelder

Offensichtlich wurden die grundlegenden Prinzipien der DSGVO missachtet: Rechtmäßigkeit und Transparenz der Verarbeitung (Art. 5 Abs. 1 lit. a DSGVO), festgelegte, eindeutige und legitime Zwecke (Art. 5 Abs. 1 lit. b DSGVO), sachlich richtig und auf dem neuesten Stand (Art. 5 Abs. 1 lit. d DSGVO) sowie Speicherung nur solange erforderlich (Art. 5 Abs. 1 lit. e DSGVO).

Bei der Verarbeitung personenbezogener Daten ist außerdem auf die Sicherheit der Verarbeitung, konkret auf die Einhaltung von technischen und organisatorischen Maßnahmen (TOM) gemäß Art. 32 DSGVO zu achten. Die Aufsichtsbehörden führen hierzu immer wieder anlasslose Überprüfungen in Unternehmen durch. Es ist daher essentiell entsprechende Maßnahmen zu implementieren und  Nachweise griffbereit zu haben.

Neben einem ordentlichen Zutrittsschutz muss bei der Verarbeitung der Daten unter anderem auch auf einen beschränkten und kontrollierten Zugriff geachtet werden. Die Zugriffsrechte sollten daher in einem Berechtigungskonzept definiert und nur danach auch verteilt werden. Zudem sollte als Teil eines umfassenden Datenschutz-Managementsystems auch ein Notfallkonzept für Sicherheits- und Datenschutznotfälle existieren. Alle Anforderungen an die Datensicherheit sollten schließlich in einem Datensicherungskonzept zusammengefasst werden.

Fazit

Der vorliegende Fall zeigt ein mangelndes Verständnis selbst der DSGVO-Grundsätze. Es ist auch für eine Behörde unabdingbar, den Datenschutz mithilfe eines funktionierenden Datenschutz-Managementsystems in allen Fachbereichen zu implementieren und zu kontrollieren. Anderenfalls droht schnell der Kontrollverlust, wie diese beiden Fälle anschaulich belegen.

Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!

Eine Antwort hinterlassen

Ihre E-Mail wird nicht veröffentlicht. * Benötigte Felder.

Netiquette: Wir dulden keine grob unsachlichen Beiträge oder Werbung in eigener Sache und werden entsprechende Einträge nicht veröffentlichen, sondern löschen. Alle weiteren Informationen zum Umgang mit Ihren Daten finden Sie in unserer Datenschutzerklärung.