9 Mio. Euro Bußgeld aufgrund unrechtmäßiger Verarbeitung personenbezogener Daten

Gemäß Art. 5 Abs. 1 Buchstabe c DSGVO dürfen nur diese personenbezogenen Daten verarbeitet werden, die für den verfolgten Zweck von direkter Relevanz und für dessen Erfüllung erforderlich sind.

In Anbetracht dessen wäre es für die Zwecke der Störungsbehebung nur dann zulässig, die oben genannten Daten aufzubewahren, wenn diese für die Identifizierung und Behebung von technischen Fehlern und Störungen notwendig wären. Dies trifft jedoch auf die von Cosmote gespeicherten Daten (wie Alter, Geschlecht, usw.) nicht zu.

Auch die Speicherdauer der Daten ist im vorliegenden Fall nicht angemessen. Gemäß Art. 5 Abs. 1 Buchstabe e dürfen personenbezogene Daten nur so lange gespeichert werden, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Eine Speicherdauer von 90 Tagen kann für die Behebung von technischen Störungen nach Ansicht der Behörde nicht begründet werden.

Cosmote hatte zwar für ihre Kunden ein Informationsschreiben bereitgestellt, dieses war jedoch nicht ausreichend.

Im Informationsschreiben wird für die Verarbeitung der Verkehrsdaten als Zweck die Vertragserfüllung genannt, ohne dass begründet wird, warum die Daten aus Gründen der Störungsbehebung drei Monate aufbewahrt werden.

Weiterhin speichert Cosmote nicht nur Daten ihrer Kunden, sondern auch der Betroffenen, die von ihren Kunden angerufen werden (Standortdaten). In diesem Zusammenhang wäre nicht ein Informationsschreiben gemäß Art. 13, sondern gemäß Art. 14 DSGVO notwendig.

Tipp: Lesen Sie dazu auch unsere Anleitung zu Ihren Informationspflichten.

Bei der Datenschutzfolgenabschätzung (DSFA) werden die dem Verfahren innewohnenden besonderen Risiken für die Rechte und Freiheiten der Betroffenen geprüft und am Ende dieser Prüfung wird eine Stellungnahme zur Rechtmäßigkeit der Datenverarbeitung vom Datenschutzbeauftragten (DSB) abgegeben. Dies dient der Bewertung von Risiken und deren möglichen Folgen. Auf dieser Basis sollen bereits frühzeitig angemessene Maßnahmen getroffen werden, um die Risiken für die Persönlichkeitsrechte der Betroffenen einzudämmen.

Cosmote hatte eine DSFA durchgeführt. Diese war jedoch fehlerhaft und nicht ausreichend.

Eine DSFA muss unter anderem eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck, enthalten. Cosmote hatte jedoch diesbezüglich keine ausreichende Bewertung abgegeben.

Weiterhin wurden nicht sämtliche Risiken der Rechte und Freiheiten der betroffenen Personen identifiziert. Demnach konnten auch keine Abhilfemaßnahmen, einschließlich Garantien und Sicherheitsvorkehrungen, getroffen werden, durch die der Schutz personenbezogener Daten sichergestellt werden soll.

Tipp: Wie eine Datenschutz-Folgenabschätzung funktioniert, lesen Sie in unserer umfangreichen DSFA-Anleitung.

Eine Überprüfung des Anonymisierungsverfahrens ergab, dass die für die statistischen Zwecke verwendeten Daten nicht anonymisiert, sondern nur pseudonymisiert wurden.

Gemäß diesem Verfahren wird eine kryptografische Hash-Funktion auf die Identitäten jedes Teilnehmers unter Verwendung eines geheimen Schlüssels (sogenannter Salt) angewendet, der separat gespeichert wird.

Cosmote kennt jedoch die Identitäten seiner Kunden, so dass das Unternehmen jederzeit jeden Wert mit der entsprechenden ID der Kunden abgleichen kann. Demnach handelt es sich um einen klassischen Fall von Pseudonymisierung, da die Daten wieder zuordenbar gemacht werden können.

Wobei die Zuordnung durch Einsatz eines geheimen Schlüssels, welcher zur Pseudonymisierung verwendet wird, wieder ermöglicht werden kann und der Schlüssel deswegen unbedingt geschützt werden muss. Nach Beschreibung von Cosmote wird dieser gesondert aufbewahrt. Cosmote hat somit die Daten lediglich pseudonymisiert.

Pseudonymisierte Daten gelten weiterhin als personenbezogene Daten und somit greift hier auch die DSGVO, nach deren Bestimmungen diese Art der Verarbeitung nicht rechtmäßig ist.

Dies stellt einen Verstoß gegen Art. 25 Abs. 1 DSGVO durch Cosmote dar, da zum Zeitpunkt der Bestimmung der Verarbeitungsmittel und zum Zeitpunkt der Verarbeitung keine angemessenen technischen und organisatorischen Maßnahmen ergriffen wurden, um die korrekte Durchführung des Anonymisierungsverfahrens sicherzustellen.

Tipp: Lesen Sie dazu auch unseren Artikel zur Unterscheidung von Anonymisierung und Pseudonymisierung.

Die beiden beanstandeten Unternehmen arbeiten nach eigenen Angaben gemeinsam an den Systemen, aber jeweils unabhängig voneinander. Die Tatsache, dass die Zusammenarbeit von Unternehmen zumindest in Bezug auf Sicherheitsmaßnahmen nicht geregelt ist, steht nicht im Einklang mit dem Grundsatz der Rechenschaftspflicht des Art. 5 Absatz 2 DSGVO. Es wird nicht klar, welche der kooperierenden Stellen für die Auswahl der Zwecke und Mittel der Verarbeitung verantwortlich ist. Die Zusammenarbeit der beiden Stellen und die Aufteilung ihrer Zuständigkeiten sollte entweder auf einem Vertrag zur gemeinsamen Verarbeitung nach Art. 26 DSGVO oder einem Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Wie sich herausstellte, bestanden solche Vereinbarungen nicht.