Achtung Bußgeldentscheidungen! Höhere Anforderungen an das Datenmanagement!
28.09.2023
In den letzten Monaten sind mehrere bußgeldbewährte Entscheidungen von europäischen Aufsichtsbehörden ergangen, die (u.a.) die Anforderungen an die Erfüllung von Informations- und Auskunftspflichten nach der DSGVO konkretisiert haben. Die Entscheidungen sollten insbesondere für Unternehmen, die eine Webseite mit Kommentar- oder Kontaktfunktion betreiben, Anlass dafür sein, ihr Datenmanagement zu überprüfen und ggf. die Inhalte ihrer Datenschutzerklärung sowie den Prozess für die Erteilung von Auskünften nach Art. 15 DSGVO anzupassen.
Betroffen von den aufsichtsbehördlichen Entscheidungen war das auf Online-Werbung spezialisierte Unternehmen CRITEO, gegen das von der nationalen Datenschutzbehörde Frankreichs (CNIL) ein Bußgeld in Höhe von 40 Millionen Euro verhängt wurde. Von der CNIL wurde außerdem ein Bußgeld in Höhe von 380.000€ gegen das Unternehmen DOCTISSIMO verhängt, welches Betreiber einer Webseite ist, auf der u.a. Artikel und Diskussionsforen zum Thema Gesundheit für die breite Öffentlichkeit angeboten werden.
Weiter betroffen war eine Bank, die von der Berliner Beauftragten für Datenschutz mit einem Bußgeld von 300.000€ belegt wurde sowie der Audio-Streaming-Dienst Spotify, gegen den von der schwedischen Behörde für Datenschutz ein Bußgeld in Höhe von knapp 5 Millionen Euro erlassen wurde.
Grob zusammenfassend kann man sagen, dass Unternehmen in ihren Datenschutzhinweisen für die Webseite darauf achten sollten, alle Verarbeitungszwecke genau anzugeben. Insbesondere sind auch (Neben-) Zwecke anzugeben, z.B., dass die Navigationsdaten von Webseitenbesuchern (auch) genutzt werden, um die eigene Technologie zu verbessern.
Außerdem muss darauf geachtet werden, dass die Verarbeitungszwecke so genau bezeichnet werden, dass für den Betroffenen erkennbar wird, welche seiner Daten konkret für welchen Zweck verarbeitet werden. Hinsichtlich der Datenschutzerklärung von dem Unternehmen CRITEO wurden insoweit z.B. Formulierungen bemängelt, wie: „um die mit unseren Kunden und Partnern geschlossenen Handelsvereinbarungen einzuhalten“ oder „um unseren Werbetreibenden zu ermöglichen, für ihre Produkte und Dienstleistungen zu werben“.
Sofern Benutzerdaten in verschiedenen Kategorien aufgesplittet werden (z.B. Vertragsdaten, Kommunikationsdaten oder Kaufhistorie) - dies kommt insbesondere vor, wenn Daten in großem Umfang verarbeitet werden -, dann muss in der Datenschutzerklärung auch hinreichend deutlich darüber informiert werden, dass die Gesamtheit der Informationen in verschiedenen Schichten abgelegt sind und um welche Informationen es sich in der jeweiligen Schicht handelt. „Hinreichend deutlich“ meint, dass eine betroffene Person, die sich mit einem Auskunftsverlangen nach Art. 15 DSGVO an den Verantwortlichen wendet, verstehen muss, welche Informationen im Falle einer Auskunft in der jeweiligen Kategorie tatsächlich enthalten sind und welche nicht.
Was die im Rahmen von Auskunftsverlangen nach Art. 15 DSGVO an den Betroffenen mitgeteilten Informationen anbelangt, so müssen diese konkret auf den Betroffenen zugeschnitten sein. Die betroffene Person muss z.B. erkennen können, konkret welche seiner Daten in Kategorien wie „user data“ „usage data“, „plan verification data“, „voting data“, „payment and purchase data“ and „competition, survey and lottery data“ enthalten sind.
Dem Betroffenen sollen außerdem die tatsächlichen Empfänger seiner Daten angegeben werden (Art. 15 Abs. 1 lit. c DS-GVO), die für ihn relevant sind (also z.B. „Unternehmen xy“ und nicht nur Empfängerkategorien wie „Auftragsverarbeiter“).
Für den Fall, dass anlässlich von Verarbeitungsprozessen personenbezogene Daten an ein Drittland außerhalb der EU übermittelt werden, muss anlässlich eines Auskunftsverlangens gegenüber dem Betroffenen außerdem klargestellt werde, ob tatsächlich auch seine Daten vom Drittlandtransfer betroffen sind und ggf. muss weiter mitgeteilt werden, um welches Drittland es sich handelt und welche geeigneten Sicherheitsmaßnahmen im konkreten Fall ergriffen wurden (z.B., dass EU Standarddatenschutzklauseln mit dem Unternehmen im Drittland vereinbart wurden).
Im Fall von automatisierten Entscheidungsfindungen unter Einsatz von künstlicher Intelligenz (solche Verfahren werden von Banken z.B. anlässlich der Entscheidung über Kreditvergaben eingesetzt), ist der Verantwortliche verpflichtet, die Entscheidung gegenüber dem Betroffenen nachvollziehbar zu begründen (Art. 15 Abs. 1 lit. h DS-GVO). Zu den notwendigen Auskünften zählen dabei Informationen zur Datenbasis, den Entscheidungsfaktoren im konkreten Fall (Algorithmus) sowie die Kriterien für die Ablehnung im Einzelfall.
Fazit
Aufgrund der Entscheidungen der Aufsichtsbehörden sollten Unternehmen jetzt ihre Datenschutzerklärungen überprüfen und Standardprozesse zur Erledigung von Auskunftsverlangen nach Art. 15 DSGVO ggf. anpassen.
Autorin: Tanja Zerull, GROSS Rechtsanwaltsgesellschaft mbH
Bildnachweis: Pixabay