Was kostet ein Verstoß gegen die Europäische Datenschutzgrundverordnung?
Ein Jahresrückblick auf 2022
Europäische Datenschutzbehörden verhängen Bußgelder bei Verstößen gegen die DSGVO. Die Höhe des Bußgeldes kann bis zu zehn Millionen Euro beziehungsweise zwei Prozent des weltweiten Jahresumsatzes betragen und ist von unterschiedlichen Faktoren abhängig – beispielsweise davon, wie viele Personen betroffen waren, wie schnell das Zuwiderhandeln beseitig wurde, ob bereits ein ähnlicher Missstand vorgefallen ist, ob mit der Behörde kooperiert wurde, ob Datenschutzmaßnahmen eingehalten wurden und anderem.
Das Gesamtbild quer über alle Europäischen Datenschutzbehörden zeigt: Bußgelder werden von den Datenschutzbehörden vorwiegend dann verhängt, wenn mangelnde oder keine Information erteilt wird, wenn Überwachungsbereiche nicht gekennzeichnet werden, wenn Werbung unrechtmäßig versandt wird, Cookies unerlaubt gesetzt werden, Daten von Konsument*innen und Patient*innen intransparent verarbeitet oder Daten ungesetzlicher Weise an Dritte weitergegeben werden. Verletzungen der DSGVO im Zusammenhang mit dem Arbeitsplatz werden vergleichsweise selten mit finanziellen Strafen geahndet.
Die Behörde hat gesprochen – seltener aber doch zum Datenschutz im Arbeitsverhältnis
In einigen Fällen gab es auch Sanktionen im Zusammenhang mit dem Beschäftigtendatenschutz im Arbeitsverhältnis; beispielsweise bei der italienischen Datenschutzbehörde. Diese verhängte gegen einen Sport-Fernsehsender eine Geldbuße von 20.000 Euro. Der Sender Sportitalia hatte Fingerabdrücke (also biometrische und somit besonders schützenswerte Daten) der Beschäftigten verwendet, um zu prüfen ob sie an ihrem Arbeitsplatz anwesend waren. Eine derart umfassende Verarbeitung ist nicht verhältnismäßig und verletzt somit die Rechte der Betroffenen. Außerdem wurden die Beschäftigten nicht ausreichend über diese Verarbeitung informiert.
Biometrischen Daten zum Zweck der Anwesenheitsüberprüfung sind überschießend
Ähnlich verhielt es sich bei dem österreichischen Hauben-Restaurant „Plachutta“, wo der Arbeitgeber die Beschäftigten zusammen mit ihrem Arbeitsvertrag eine Einverständniserklärung zum Scannen ihres Handflächenabdrucks unterzeichnen ließ. Mit diesem biometrischen Datum sollten die Arbeitnehmer*innen nun monatlich ihre Arbeitszeiten gegenzeichnen. In diesem Fall, den die Arbeiterkammer vor Gericht brachte, hat die Datenschutzbehörde am 19. Oktober 2022 (Entscheidung D124.2941, 2022-0.360.359) festgestellt, dass hochsensible, biometrische Daten, wie der Handflächenabdruck für den Zweck der Lohnverrechnung völlig überschießend und daher nicht geeignet sind.
Videokameras, die permanent den Arbeitsplatz überwachen, sind verboten
Außerdem wurden die 29 zur Überwachung der Kolleg*innen (unter anderem in der Küche) installierten Kameras als nicht zweckdienlich beurteilt. Videokameras zum Zweck der Mitarbeiter*innen-Kontrolle untersagt generell das Datenschutzgesetz. Zwei der Kameras mussten außer Betrieb genommen werden. Von einer Geldbuße ist nichts bekannt.
Postfächer dürfen vom Arbeitgeber nicht anlasslos gesperrt werden
Ebenfalls in Italien wurde das Firmen-Emailkonto eines Beschäftigten gesperrt. Der Arbeitnehmer meldete den Vorfall dem Unternehmen und bat um Wiederherstellung des Postfachs, in dem sowohl private als auch geschäftliche E-Mails lagen. Die italienische Datenschutzbehörde hat den Arbeitgeber „Palumbo Superyacht Ancona srl“ eine Geldstrafe von 50.000 Euro auferlegt, die jedoch zuerst einmal nicht bezahlt wurde. Die Behörde ermittelte folglich weiter und stellt weitere Verstöße fest. So reagierte man beispielsweise nicht auf Auskunftsersuchen und verstieß gegen das Prinzip der Datenminimierung.
Gegen Jahresende wurde es dann noch mal richtig teuer für einige Konzerne, zu deren Kerngeschäft die Datenverarbeitung zählt. Zwar ging es bei diesen Urteilen gegen die Tech-Riesen meta (facebook Irland) oder Epic Games nicht um Beschäftigtendatenschutz und es wurde im Fall von Epic Games auch nicht von einer Europäischen Datenschutzbehörde rechtgesprochen – es zeigt jedoch, dass Verstöße gegen datenschutzrechtliche Vorgaben, die in der DSGVO verankert sind, auch in Drittstaaten teuer werden können.
Tech-Konzerne sind ebenfalls im Visier der Behörden
Meta wurde im Herbst 2022 in zwei verschiedenen Fällen zu Geldbußen verurteilt, weil es sich beharrlich weigert allgemeine Grundsätze der DSGVO einzuhalten. Im September wurde instagram zu 405 Millionen Euro Strafe wegen Offenlegung von Emailadressen und Telefonnummern Minderjähriger verurteilt. Facebook fasste 265 Millionen Euro aus, weil es an datenschutzfreundlichen Voreinstellungen mangelt.
Am 19. Dezember kostete die Kombination aus einem Verstoß gegen das Jugendschutzgesetz und gegen das Konsumentenschutzgesetz dem US-amerikanischen online-Spieleanbieter Epic Games, bekannt als Erfinder von Fortnite, einem der weltweit erfolgreichsten Spiele, beinahe eine halbe Million Euro (520 Millionen Dollar). Das US-amerikanische Handelsministerium vereinbart jeweils die Hälfte des Betrags als Entschädigung für einen Verstoß gegen das Jugendschutzgesetz und die andere Viertel Million Euro wegen Konsumentenschutzverletzungen, da den (oftmals minderjährigen) Spieler*innen eine Kosten-Falle gestellt worden war. Das Handelsministerium (Federal Trade Commission) ist zuständig für die Einhaltung der DSGVO in den USA und hat sich mit dem Spieleentwickler, -anbieter und -verkäufer auf diesen Vergleich geeinigt, nachdem Epic Games Daten von Minderjährigen verarbeitet hatte ohne die Zustimmung der Erziehungsberechtigten erhalten zu haben. Außerdem musste der Spielehersteller die Privatsphäre-Einstellungen verändert, damit keine Stimme oder Textinhalte aufgezeichnet werden.
Microsoft erhielt kurz vor Weihnachten, am 22. Dezember, Post von der französischen Datenschutzbehörde CNIL: eine Geldstrafe von 60 Millionen Euro. Schuld waren die Coockies der Microsoft-Suchmaschine Bing, die ohne Einwilligung der Betroffenen gesetzt wurden und bei denen auch keine Möglichkeit bestand, sie abzulehnen. So ist das in der DSGVO nicht vorgesehen.
Weltweit betrachtet, ein teures Jahr für Datenschutzverletzer*innen. Für Österreich betrachtet hatte ein Zuwiderhandeln gegen die DSGVO am Arbeitsplatz keine direkten finanziellen Auswirkungen für den Beklagten; die Sanktion besteht darin, dass unrechtmäßiges Verhalten zurückgenommen werden muss und es steht zu hoffen, dass das abschreckend genug wirkt, um zukünftig Verstöße zu unterlassen.