Die griechische Aufsichtsbehörde Hellenic Data Protection Authority (HDPA) verhängte am 24. Juni 2025 ein Bußgeld in Höhe von 10.000 Euro gegen den gemeinnützigen Verein Η Ασπίδα του Δαυίδ (Der Schild Davids). Ausschlaggebend waren mehrere Datenschutzverstöße, darunter die Verweigerung des Auskunftsrechts der Eltern eines minderjährigen Kindes auf Videoaufnahmen, die unrechtmäßige Weitergabe sensibler Gesundheitsdaten an eine externe Firma sowie die unzulässige Verbreitung einer gerichtlichen Entscheidung.
Hintergrund des Bußgelds
Im vorliegenden Fall erhoben Eltern eines minderjährigen Kindes Beschwerde gegen den Verein, eine gemeinnützige Einrichtung für Menschen mit Autismus. Sie verlangten Auskunft über Videoaufnahmen, die ihr Kind in den Räumen der Einrichtung zeigten, nachdem dieses dort Verletzungen erlitten hatte. Ziel war es, die Umstände aufzuklären. Die Eltern stützten ihr Auskunftsersuchen auf Art. 15 DSGVO.
Der Verein verweigerte jedoch die Herausgabe der Aufnahmen. Zur Begründung führte er an, die Videodaten würden nach 48 Stunden automatisch gelöscht, außerdem seien auch Mitarbeitende im Bild, deren Rechte geschützt werden müssten. Gleichzeitig stellte sich aber heraus, dass Videomaterial in anderen Verfahren sehr wohl vorhanden und sogar vor Gericht verwendet worden war.
Hinzu kam, dass der Verein sensible Gesundheitsdaten des Kindes – einschließlich Diagnosen, Therapieplänen und eines ausführlichen Sozialprofils – ohne Wissen und Zustimmung der Eltern an eine externe Firma weitergegeben hatte. Darüber hinaus wurde eine gerichtliche Entscheidung, die die Situation des Kindes betraf, an eine Vielzahl von Empfängern verbreitet, ohne die Eltern zu informieren oder den Grundsatz der Datenminimierung zu beachten.
Aufgrund dieser Umstände verhängte die HDPA Bußgelder in Höhe von insgesamt 10.000 Euro, aufgeteilt in:
- 3.000 Euro für die Verletzung von Art. 5, 12 und 15 DSGVO,
- 3.000 Euro für die Verletzung von Art. 5, 13 und 24 DSGVO,
- 3.000 Euro für die Verletzung von Art. 5 und 13 DSGVO,
- 1.000 Euro für die Verletzung von Art. 31 DSGVO.
Bemerkenswert ist, dass die Aufsichtsbehörde nicht auf fehlende Verfahren oder Richtlinien verwies – vielmehr stellte sie fest, dass der Verein selbst dort, wo Verfahren möglich gewesen wären (z. B. Verpixelung von Mitarbeitenden, transparente Information der Eltern), schlicht untätig blieb oder bewusst blockierte. Mit anderen Worten: Das Bußgeld beruhte nicht auf fehlenden Regeln, sondern auf deren Nichtanwendung in der Praxis.
DSGVO-Bußgelder vermeiden
Wir analysieren regelmäßig von den Aufsichtsbehörden verhängte DSGVO-Bußgelder und erklären Ihnen, wie Sie diese effektiv vermeiden!
Datenschutzrechtliche Einschätzung
Die Entscheidung der griechischen Aufsichtsbehörde verdeutlicht mehrere zentrale Grundsätze des Datenschutzrechts:
Vorrang des Auskunftsrechts nach Art. 15 DSGVO
Das Auskunftsrecht nach Art. 15 DSGVO gewährt betroffenen Personen nicht nur einen Anspruch auf Bestätigung, ob personenbezogene Daten verarbeitet werden, sondern auch auf Herausgabe von Kopien der Daten selbst (Art. 15 Abs. 3 DSGVO). Darunter fallen auch Videoaufzeichnungen, soweit diese eine identifizierte oder identifizierbare Person betreffen – was bereits dann gegeben ist, wenn ein Kind oder dessen Verhalten im Bildmaterial erkennbar ist.
Die griechische Aufsichtsbehörde stellte klar, dass eine pauschale Berufung auf die Rechte Dritter – im vorliegenden Fall die Arbeitnehmer, die ebenfalls auf den Aufnahmen zu sehen sind – nicht ausreicht, um ein Auskunftsersuchen zurückzuweisen. Nach Art. 15 Abs. 4 DSGVO sind zwar die Rechte und Freiheiten anderer zu berücksichtigen, dies erfordert jedoch eine konkrete und dokumentierte Abwägung. Der Verantwortliche muss prüfen, ob technische und organisatorische Maßnahmen (z. B. Verpixelung, Schwärzung, Tonspurtrennung) den Interessenkonflikt auflösen können. Nur wenn dies nachweislich nicht möglich ist, darf die Herausgabe verweigert werden.
Besonders gravierend war im vorliegenden Fall, dass der betroffene Verein in anderen Verfahren Videomaterial selbst aktiv genutzt und vorgelegt hatte. Damit widersprach er seiner eigenen Argumentation, wonach eine Herausgabe unmöglich sei. Dies zeigte deutlich, dass es sich nicht um eine technische, sondern um eine rechtliche Fehlbewertung handelte. Die HDPA wertete dies als klaren Verstoß gegen die Transparenzpflichten (Art. 5 Abs. 1 lit. a), die Pflicht zur Bearbeitung von Betroffenenanfragen (Art. 12) sowie das Auskunftsrecht selbst (Art. 15 DSGVO).
Für die Praxis bedeutet dies, dass Verantwortliche bereits bei Einrichtung von Videoüberwachung technische und organisatorische Verfahren zur Anonymisierung und Herausgabe von Sequenzen vorsehen und Auskunftsersuchen nachvollziehbar dokumentieren und umsetzen müssen.
Besondere Sensibilität bei Gesundheits- und Kinderdaten
Besonders schwer wog in diesem Fall die unzulässige Weitergabe von Gesundheitsdaten eines minderjährigen Kindes an eine externe Firma. Nach Art. 9 DSGVO dürfen besondere Kategorien personenbezogener Daten – hierzu gehören Gesundheitsdaten – nur verarbeitet werden, wenn hierfür eine ausdrücklich vorgesehene Rechtsgrundlage besteht. Eine solche fehlte hier vollständig.
Hinzu kam, dass die Eltern weder informiert noch um ihre Einwilligung gebeten wurden, womit zugleich ein Verstoß gegen die Transparenz- und Informationspflichten nach Art. 13 DSGVO vorlag. Da es sich um besonders sensible Daten eines Kindes handelte, war der Eingriff von erheblichem Gewicht. Die Entscheidung macht deutlich, dass gerade im Umgang mit Gesundheitsdaten und Daten Minderjähriger höchste rechtliche Anforderungen gelten und Verantwortliche hier keinerlei Spielräume für eine pauschale oder informelle Weitergabe haben.
Weitergabe gerichtlicher Entscheidungen
Auch die Verteilung einer das Kind betreffenden gerichtlichen Entscheidung an „eine Vielzahl von Empfängern“ verstößt gegen die Grundsätze von Datenminimierung und Zweckbindung (Art. 5 DSGVO). Eine gerichtliche Entscheidung darf nicht beliebig weitergegeben werden, insbesondere nicht, wenn dadurch die Rechte des betroffenen Kindes beeinträchtigt werden.
Kooperationspflicht mit der Aufsichtsbehörde
Art. 31 DSGVO verpflichtet Verantwortliche, aktiv und transparent mit der Aufsichtsbehörde zusammenzuarbeiten. Verzögerungen, unvollständige Antworten oder ein demonstratives Nicht-Erscheinen vor der Behörde gelten als Pflichtverletzung.
Fazit
Die Entscheidung der griechischen Aufsichtsbehörde macht deutlich, dass auch gemeinnützige Organisationen uneingeschränkt an die Vorgaben der DSGVO gebunden sind. Weder interne Schwierigkeiten bei der Bearbeitung von Auskunftsersuchen noch der Non-Profit-Charakter rechtfertigen es, Betroffenenrechte zu missachten oder sensible Gesundheits- und Kinderdaten ohne Rechtsgrundlage weiterzugeben.
Besonders hervorzuheben ist, dass die Behörde mehrere Verstöße – von der Verweigerung des Auskunftsrechts über die unzulässige Weitergabe sensibler Daten bis hin zur fehlenden Kooperation – festgestellt hat. Dennoch fiel das Bußgeld mit insgesamt 10.000 EURO vergleichsweise niedrig aus, was vor allem dem Umstand geschuldet sein dürfte, dass es sich um einen gemeinnützigen, vollständig durch das Gesundheitsministerium finanzierten Verein handelte.
Gleichwohl sendet die Entscheidung ein klares Signal: Auch Non-Profit-Organisationen müssen datenschutzrechtliche Strukturen schaffen, die den besonderen Schutzbedürfnissen von Kindern und Gesundheitsdaten ebenso Rechnung tragen wie den Transparenz- und Auskunftspflichten. Andernfalls drohen spürbare Sanktionen – unabhängig von Größe oder Finanzierungsstruktur der Einrichtung.