Datenschutzverletzung: Überblick über Datenschutzverletzungen gegen die DSGVO
Regina Arquint, lic.iur. HSG, RA, CIPP/E
Frau Arquint schloss ihr Studium der Rechtswissenschaften an der Universität St. Gallen im Jahr 2002 ab. Nach absolviertem Gerichts- und Anwaltspraktikum erwarb Regina Arquint das Anwaltspatent im Jahr 2005. Anschliessend arbeitete sie in einer renommierten Wirtschaftskanzlei in Zürich. In den Jahren 2008 – 2017 war sie in leitender Stelle in einem internationalen Konzern der Luxus- und Modeschmuckbranche tätig. Heute ist sie Partnerin bei der Kanzlei AFFINITY LAW & TAX in Meilen und Zürich und Dozentin für Datenschutzrecht an der Ostschweizer Fachhochschule St. Gallen im Lehrgang CAS Führung und Steuerung der IT. Regina Arquint ist Mitglied des Zürcherischen und des Schweizerischen Anwaltsverbandes. Sie hat das Zertifikat als International Privacy Professional (CIPP/E) erlangt und ist Mitglied der Internationalen Vereinigung für Datenschutz (IAPP).
Passende Arbeitshilfen
Datenschutzverletzungs-Handlung: WhatsApp
Verletzungsart: Verletzung der Transparenz- und Informationspflichten (Art. 5, 12, 13 und 14 DSGVO)
Busse (EUR): 225 Mio.
Land: Irland
Datum: September 2021
Die irische Datenschutzkommission DPC hat am 2. September ihren Entscheid betreffend einen Verstoss gegen die DSGVO durch die WhatsApp Ireland Ltd. bekannt gegeben. Zuständig war in diesem Fall die irische Aufsichtsbehörde da WhatsApp zu Facebook gehört und der EU-Hauptsitz von Facebook in Irland liegt.
Die Untersuchung der Datenschutzkommission dauerte drei Jahre. Gegenstand der Untersuchung war, ob WhatsApp gegen die Transparenzpflichten der DSGVO betreffend die Bereitstellung von Informationen und die Transparenz dieser Informationen für Nutzer und Nichtnutzer (wenn Nutzer die Kontakt-Funktionalität von WhatsApp nutzen) nachgekommen ist. Diese umfasste insbesondere auch die Weitergabe von Informationen für betroffene Personen und die Verarbeitung dieser Informationen zwischen WhatsApp und anderen Facebook-Unternehmen.
Im Dezember 2020 legte die federführende irische Datenschutzbehörde den Entwurf ihres Entscheides gestützt auf Art. 60 DSGVO allen betroffenen Aufsichtsbehörden (CSAs) vor. In der Folge erhielt die irische Datenschutzkommission Einwände von acht CSAs, u.a. auch von Deutschland, Frankreich und Italien. Diese betrafen vor allem die Höhe der Geldstrafe und spezifische Bestimmungen der DSGVO, gegen welche vorliegend verstossen wurde. Da es zu keiner Einigung zwischen der irischen Datenschutzkommission und den CSAs kam, wurde am 3. Juni 2021 gestützt auf Art. 65 DSGVO das Streitbeilegungsverfahren beim Europäischen Datenschutzausschuss (EDSA) eingeleitet.
Passende Produkt-Empfehlungen
Am 28. Juli 2021 hat der Europäische Datenschutzausschuss eine verbindliche Entscheidung erlassen, die der irischen Datenschutzkommission mitgeteilt wurde. Diese Entscheidung enthielt eine klare Anweisung, wonach die irische Datenschutzbehörde dazu aufgefordert wurde, ihre vorgeschlagene Geldbusse auf der Grundlage einer Reihe von Faktoren, die in der Entscheidung des EDSA enthalten waren, neu zu bewerten und zu erhöhen. Nach dieser Neubewertung verhängte die Datenschutzbehörde eine Geldbusse von 225 Mio. EUR gegen WhatsApp.
Neben der Verhängung der Geld busse sprach die irische Datenschutzkommission auch einen Verweis aus und ordnete an, dass WhatsApp seine Verarbeitung durch eine Reihe spezifischer Abhilfemassnahmen in Einklang mit den Vorschriften bringen muss. WhatsApp hat bereits angekündigt, gegen diesen Entscheid Berufung einzulegen.
Datenschutzverletzungshandlung: Monsanto Unternehmung
Verletzungsart: Verletzung der Informationspflicht und fehlende Auftragsverarbeitungsverträge (Art. 14 und Art. 28 DSGVO)
Busse (EUR): 400 000.
Land: Frankreich
Datum: August 2021
Monsanto stellt das Unkrautvernichtungssmittel Glyphosat her, welches in der EU nicht ganz unumstrittenen ist. Im Mai 2019 wurde bekannt, dass Monsanto über eine Datei mit verschiedenen personenbezogenen Daten von mehr als 200 politischen Persönlichkeiten oder Mitgliedern der Zivilgesellschaft (wie bspw. Journalisten, Umweltaktivisten, Wissenschaftlern oder Landwirten) verfügte, die geeignet waren, den Diskurs oder die öffentliche Meinung über die Erneuerung der Zulassung von Glyphosat in Europa zu beeinflussen.
In dieser Datei wurden verschiedene Informationen über diese Personen gespeichert. Dazu gehörten die Organisation, der sie angehörten, die Position, die sie innehatten, ihre Geschäftsadresse, ihre geschäftliche Telefonnummer, ihre Mobiltelefonnummer, ihre geschäftliche E-Mail-Adresse und in einigen Fällen auch ihr Twitter-Account. Ferner beinhaltete diese Datei über jede Person eine Punktzahl von 1 bis 5, um ihren Einfluss, ihre Glaubwürdigkeit und ihre Unterstützung für Monsanto bei verschiedenen Themen zu bewerten.
Monsanto hatte die betroffenen Personen allerdings nicht darüber informiert, dass ihre Daten auf interne Listen für Lobbyzwecken gespeichert wurden. Die französische Datenschutzbehörde CNIL sah darin eine Verletzung der DSGVO vor. Sie führte aus, dass es grundsätzlich nicht unzulässig sei, solche Listen zu führen. Sie erkannte jedoch einen Verstoss gegen die Informationspflicht (Art. 14 DSGVO), weil die betroffenen Personen nicht darüber informiert wurden. Gemäss Art. 14 DSGVO müssen betroffene Personen auch dann über die sie betreffenden Datenverarbeitungen informiert werden, wenn die personenbezogenen Daten nicht direkt bei der betroffenen Person erhoben wurden. Die Informationspflichten seien eine grundlegende Regelung der DSGVO, da sie der betroffenen Person die Ausübung ihrer Rechte, insbesondere des Widerspruchsrechts, ermöglicht.
Ferner stellte die CNIL fest, dass die personenbezogenen Daten im Auftrag von Monsanto von mehreren Unternehmen gesammelt wurden, die auf Öffentlichkeitsarbeit und Lobbying spezialisiert waren. Dies erfolgte jedoch ohne mit diesen Unternehmen für die im Auftrag durch Monsanto erbrachten Leistungen entsprechende Auftragsverarbeitungsverträgen abzuschliessen, weshalb auch ein Verstoss gegen Art. 28 DSGVO vorlag.
Für diese Verstösse hat die französische Aufsichtsbehörde CNIL Monsanto eine Bussgeldstrafe in Höhe von EUR 400 000.– ausgesprochen.
