50.000 Euro Bußgeld wegen mangelhafter DSFA

Hintergrund des DSGVO-Bußgeldes

Der OASA ist eine Organisation, die den öffentlichen Nahverkehr in der griechischen Hauptstadt Athen betreibt und unter anderem für die Fahrpreisabrechnung verantwortlich ist. OASA betreibt das ASSK, ein elektronisches Ticketsystem, das eine erhebliche Menge personenbezogener Daten sammelt.

Die Datenschutzbehörde führte eine unangekündigte Vor-Ort-Prüfung durch und deckte schwerwiegende Datenschutzverstöße auf, die zu der genannten Geldstrafe führten.

Die festgestellten Verstöße lassen sich wie folgt zusammenfassen:

Verzögerte DSFA

OASA hatte versäumt, rechtzeitig eine DSFA durchzuführen, d.h. bevor das ASSK-System in Betrieb ging. Dies verstößt gegen Art. 35 DSGVO, der die DSFA als notwendigen Schritt bei der Einführung neuer Datenverarbeitungstätigkeiten mit voraussichtlich hohen Risiken für Betroffene vorschreibt.

Unzureichende DSFA-Inhalte

Die später durchgeführte DSFA wies Mängel bei der Identifizierung und Bewertung von Datenschutzrisiken auf. Eine umfassende und klare Dokumentation ist jedoch unerlässlich, um den Datenschutz zu gewährleisten und die Anforderungen der DSGVO zu erfüllen.

Speicherdauer der Daten

OASA hatte weiterhin keine klaren Aufbewahrungsfristen für die im ASSK-System gespeicherten Daten festgelegt, was gegen das Prinzip der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO verstößt.

Fehlende Klarheit in der Beschreibung der Verarbeitungszwecke

Zu guter Letzt wiesen die Angaben über die Datenverarbeitungszwecke Mängel auf, was gegen die Transparenzvorschriften nach Art. 5 Abs. 1lit. a) DSGVO verstößt.

Zusätzlich zur Geldbuße hat die Aufsichtsbehörde eine schriftliche Verwarnung an OASA gerichtet und eine Anordnung zur Beseitigung festgestellter Verstöße erlassen. Es sei darauf hingewiesen, dass die Höhe der Geldbuße weiter ansteigen kann, sollte die angemessene Umsetzung der erforderlichen Maßnahmen ausbleiben.

Datenschutzrechtliche Einschätzung

Die Bedeutung von Datenschutzfolgenabschätzungen sollte keinesfalls unterschätzt werden. DSFA sind ein essenzielles Instrument zur Gewährleistung der Datenschutzkonformität und ein Schlüssel zur Einhaltung der DSGVO. Eine DSFA muss immer dann durchgeführt werden, wenn die geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Teilweise wird dies in sog. Blacklisten der Aufsichtsbehörden konkretisiert.

Mit einer DSFA kann man Datenschutzrisiken frühzeitig erkennen und angemessene Maßnahmen ergreifen, um diese Risiken zu minimieren. Dies ist von entscheidender Bedeutung, da Datenschutzverletzungen nicht nur erhebliche Bußgelder nach sich ziehen, sondern auch das Vertrauen von Kunden und Partnerunternehmen erheblich beeinträchtigen können. Bei Nichtdurchführung einer DSFA kann das Unternehmen zudem weiterhin gezwungen werden, die betroffenen Daten zu löschen, was mit zusätzlichem Aufwand und möglichen Reputationsschäden verbunden ist.

Des Weiteren sollten DSFA frühzeitig durchgeführt werden, d.h. bevor Verarbeitungsprozesse gestartet werden. Je früher Risiken identifiziert werden, desto einfacher und kostengünstiger ist es, geeignete Maßnahmen zu ergreifen. Verzögerungen bei der DSFA können zu nachträglich notwendigen Anpassungen von Prozessen und Systemen führen, was oft kompliziert und teuer ist.

Darüber hinaus ist sicherzustellen, dass die DSFA korrekt und umfassend sind. Unvollständige oder fehlerhafte Angaben können die Risikobewertung verzerrt darstellen und zu unzureichenden Schutzmaßnahmen führen. Daher ist es ratsam, Experten hinzuzuziehen oder sich auf bewährte Methoden und Werkzeuge zu stützen, um sicherzustellen, dass Ihre DSFA den gesetzlichen Anforderungen entsprechen.