Die Norwegische Datenschutzaufsicht Datatilsynet hat ein Bußgeld in Höhe von umgerechnet 170.000 Euro gegen die Stadtverwaltung von Bergen verhängt.
Der Fall
Über 35.000 Benutzerkonten von Schülern und Schulangestellten waren offen zugänglich. Fehlende Sicherheitsmaßnahmen führten dazu, dass sich jeder in unterschiedlichste Informationssysteme einloggen konnte. Dabei waren Daten wie Name, Passwort, Geburtsdatum, Adresse, Schulzugehörigkeit und Schulnote des Benutzers einsehbar. Unter anderem war so auch eine digitale Lernplattform erreichbar, in der die schulischen Leistungen der Schüler und die Einschätzungen der Lehrer zu den Leistungen jedes einzelnen Schülers enthalten waren.
Die Aufsichtsbehörde erließ aufgrund eines Verstoßes gegen Art. 5 Abs. 1 lit f) DSGVO und Art. 32 DSGVO ein Bußgeld in Höhe von 170.000 Euro. Auf ihrer Internetseite begründet die Behörde die Höhe des Bußgelds damit, dass vor allem Daten von Kindern betroffen waren und die Verarbeitung der personenbezogenen Daten durch eine Behörde erfolgte. Die Betroffenen hätten keine Wahl gehabt, ob sie diese Informationen zur Verfügung stellen oder nicht. Die Stadtverwaltung hat angekündigt das Bußgeld zu akzeptieren.
Wieso gilt die DSGVO in Norwegen?
Seit dem 20. Juli 2018 gilt die DSGVO auch in den EWR-Staaten Norwegen, Island und Lichtenstein. Der Europäische Wirtschaftsraum (EWR) ist eine vertiefte Freihandelszone, die die vollen Rechte und Pflichten des EU-Binnenmarkts auf die Mitgliedsstaaten ausdehnt.
Um Anwendung zu finden, müssen Rechtsvorschriften vom EWR-Ausschuss überprüft werden undin die Protokolle und Anhänge zum EWR-Abkommen übernommen werden. Dies ist am 6. Juli 2018 geschehen und die DSGVO gilt seit dem 20. Juli 2018 nun auch unmittelbar in Norwegen, Island und Liechtenstein.