Kategorien
Neueste Beiträge
DSGVO-Bußgelder als Folge von Betroffenenanfragen
Personen, deren Daten Verantwortliche verarbeiten (Betroffene Personen) haben umfangreiche Rechte bezüglich der Verarbeitung ihrer personenbezogenen Daten durch Verantwortliche. Beschäftigt ein Verantwortlicher sich also mit seinen Pflichten gemäß der DSGVO und setzt die Vorgaben in Prozessen um, kann er auf etwaige Betroffenenanfragen ohne Verzögerung oder zumindest fristgerecht (i. d. R. binnen eines Monats) reagieren. Folglich kann er dann u. a. auch DSGVO-Bußgelder als Folge von Betroffenenanfragen vermeiden.
In den Jahren seit dem Inkrafttreten der DSGVO fanden die Datenschutzaufsichtsbehörden dennoch Anlässe, Bußgelder im Zusammenhang mit Mängeln bei der Beantwortung von Betroffenenanfragen zu verhängen. Schauen wir uns also ein paar Beispiele solcher an:
Bußgeld wegen inkorrekter Negativauskunft und Nicht-Einhaltung der Antwortfrist
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit berichtet im 2022-Tätigkeitsbericht von einem Fall einer Auskunftei. Dem Bußgeld ging eine inkorrekte Negativauskunft voraus, nachdem die betroffene Person Auskunft zur Verarbeitung ihrer personenbezogenen Daten verlangte (Art. 15 DSGVO). – Fälschlicherweise teilte die Verantwortliche der betroffenen Person mit, dass von ihr keine personenbezogenen Daten verarbeitet werden. –
Als die Verantwortliche dem Auskunftsbegehren dann nachkam, geschah dies nach mehr als drei Monaten. – Wir erinnern hierbei an Art. 12 Abs. 3 DSGVO, wonach ein Verantwortlicher eine Anfrage eines Betroffenen in der Regel innerhalb eines Monats beantworten muss. Erhält ein Verantwortlicher unvorhergesehen viele Anfrage oder stellt sich eine Anfrage als besonders komplex heraus, kann er diese Frist um weitere zwei Monate verlängern. –
Die Berliner Datenschutzaufsichtsbehörde verhängte u. a. aufgrund der inkorrekten Negativauskunft und der Nicht-Einhaltung der Antwortfrist ein rechtskräftiges Bußgeld von 46.500 Euro.
Link
Eine Erläuterung dieses Falles findet sich im 2022-Tätigkeitsbericht der Berliner Datenschutzaufsichtsbehörde (Seite 118, Punkt 12.6).
Bußgeld wegen Verweigerung der Erfüllung von Löschbegehren
Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit berichtet in seinem Tätigkeitsbericht von 2022 von einem Covid-19-Testcenter. In diesem Fall stellten mehrere Personen Löschanfragen, welche das Testcenter ignorierte. Dies führte zu einem Bußgeld von 1.000 Euro.
Link
Auf Seite 128 unter Punkt IV.5. im Tätigkeitsbericht können Interessierte mehr dazu lesen.
Bußgeld wegen ausgebliebener Auskunftserteilung
Auch der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit verhängte 2020 ein Bußgeld von 250 Euro. Dies ergab sich daraus, dass eine Privatperson auf eine Auskunftsanfrage nicht antwortete. Weitere Details sind bisher leider nicht bekannt.
Link
Etwas mehr hierzu erfahren können Interessenten hier.
Und auch die Datenschutzaufsichtsbehörden in den anderen EU-Ländern verhängten Bußgelder aufgrund von fehlerhafte oder ausbleibender Behandlung von Betroffenenanfragen:
Bußgeld wegen unzureichender Informationen zur Aufbewahrungsfrist personenbezogener Daten
Ausgangspunkt dieses Bußgeldfalls war ein Löschbegehren der betroffenen Person. Dieses sprach sie mehrmals aus, da sie beständig die Antwort bekam, dass der Verantwortliche ihre personenbezogenen Daten erst nach Ablauf von zehn Jahren löschen könne. Nach Ablauf dieser zehn Jahre könne die betroffene Person erneut einen Löschantrag stellen. Die für alle betroffenen Personen einsehbaren Datenschutzinformationen machen dabei allgemeinere Angaben zum Aufbewahrungszeitraum. Gemäß der Datenschutzinformation gab das Unternehmen an, dass es personenbezogene Daten so lange aufbewahren würde, wie es notwendig sei. Diese Angabe war der spanischen Datenschutzaufsichtsbehörde zu allgemein und sie verhängte ein Bußgeld von anfänglich 10.000 Euro. Aufgrund des Schuldanerkenntnisses des Verantwortlichen und der freiwilligen Zahlung reduzierte sie das Bußgeld auf 6.000 Euro.
Link
Hier finden Sie eine kurze Erklärung zu diesem Bußgeld. Auf der Webseite der spanischen Datenschutzaufsichtsbehörde finden Sie auf Spanisch einen ausführlichen Bericht.
Bußgeld wegen nicht-fristgerechter oder fehlender Beantwortung von Auskunftsanfragen
In Frankreich verhängte die französische Datenschutzaufsichtsbehörde (CNIL) ein Bußgeld von 300.000 Euro. Der Grund hierfür fand sich u. a. auch in der Nicht-Einhaltung der Frist bei Betroffenenanfragen. In manchen Fällen wurden die Anfragen gar nicht beantwortet. – Es gab zu diesem Zeitpunkt 19 betroffenen Personen, die von ihren Rechten gemäß Artt. 15 – 22 DSGVO Gebrauch gemacht hatten. –
Links
Detaillierte Informationen können Interessierte im Bußgeldbescheid der CNIL nachlesen (auf Französisch). Die Pressemitteilung der CNIL zu diesem Bußgeld finden Sie hier (auf Französisch).
Fazit
Betroffenenanfragen, seien es Kunden, Patienten, Beschäftigte etc., können auf jeden Verantwortlichen zukommen. Um das Anliegen der betroffenen Person effektiv erfüllen zu können, also beispielsweise ein Löschbegehren, einen Widerspruch etc., ist es für einen Verantwortlichen wichtig, entsprechende Prozesse implementiert zu haben. Dabei müssen auch die Beschäftigten die internen Prozesse kennen und wissen, wer umgehend über eine Betroffenenanfrage zu informieren ist. Die mit der Bearbeitung von Betroffenenanfragen betrauten Beschäftigten müssen über die Art und den Umfang der Betroffenenrechte, die Fristen und deren Ausnahmen sowie Identifizierung der berechtigten Personen und die Art der vertraulichen Beantwortung unterrichtet sein.
Bei der Implementierung solcher Prozesse können wir Sie unterstützen, Schulungen durchführen bzw. die Beschäftigten sensibilisieren und auch entsprechende Richtlinien erstellen. Kontaktieren Sie uns gern noch heute dazu.