Bußgeld in Millionenhöhe: Rundumschlag der kroatischen Aufsichtsbehörde

Ein kroatisches Telekommunikationsunternehmen verstieß gleich in mehrfacher Hinsicht gegen die Vorgaben der DSGVO und musste dies am Ende teuer bezahlen. Nachdem im Rahmen des aufsichtsbehördlichen Verfahrens unterschiedliche Verstöße festgestellt wurden, wurde das Telekommunikationsunternehmen von der kroatischen Datenschutzbehörde (AZOP) mit einer Geldstrafe in Höhe von insgesamt 4,5 Millionen Euro belegt.

Sachverhalt

Der in Kroatien ansässige Telekommunikationsanbieter hatte einen Teil der in seiner Verantwortlichkeit stattfindenden Datenverarbeitung an einen IT-Dienstleister mit Sitz in Serbien ausgelagert. Dieser Dienstleister hatte im Rahmen von Wartungen und Support Zugriff auf das gesamte CRM-System und damit auf 847.862 Datensätze mit personenbezogenen Daten, u. a. Namen, Adressen, Telefonnummern, E-Mail-Adressen, Bankverbindungen (IBAN) und Vertragsdaten. Zwischen den Parteien wurden Standardvertragsklauseln abgeschlossen, wobei eine Erneuerung der Verträge nach dem 27.12.2022 versäumt wurde. Eine Information der Betroffenen bezüglich des stattfindenden Drittstaatentransfers wurde vom Telekommunikationsanbieter nicht bereitgestellt.
Unabhängig vom oben beschriebenen Sachverhalt wurde festgestellt, dass der Telekommunikationsanbieter Ausweiskopien seiner Mitarbeiter
Hinzu kam der Einsatz eines Auftragsverarbeiters im Bereich des telefonischen Vertriebs, ohne vorausgegangene Prüfung der vom Dienstleister getroffenen Schutzmaßnahmen.

Datenschutzrechtliche Würdigung und aufsichtsbehördliche Reaktion

Abschluss von Standardvertragsklauseln

Da für Serbien kein Angemessenheitsbeschluss der EU-Kommission besteht und auch keine anderen geeigneten Garantien vorlagen, war der Abschluss von Standarddatenschutzklauseln erforderlich, um ein angemessenes Datenschutzniveau zu gewährleisten (Art. 46 Abs.2 lit. c DSGVO). Diese wurden zwischen den Parteien zunächst auch abgeschlossen, allerdings nach Überarbeitung der „alten Standardvertragsklauseln“ nicht erneuert. Nachdem die alten Standardvertragsklauseln zum 27.12.2022 ihre Gültigen verloren hatten, war somit keine Grundlage mehr für den Drittstaatentransfer gegeben.

Zudem wurde die erforderliche Risikobewertung für den Drittstaatentransfer (sog. Transfer Impact Assessment) nach Serbien nicht durchgeführt.

Exkurs: Transfer Impact Assessment

Das Transfer Impact Assessment (TIA) ist eine Risikobewertung des Sicherheitsniveaus des jeweiligen Drittlandes, in welches die Daten übermittelt werden sollen. Bei einem TIA geht es primär darum zu prüfen, ob im Drittstaat ein angemessener Verfahrensgrundsatz besteht, der den behördlichen Zugriff auf die personenbezogenen Daten regelt. Durch ein TIA soll festgestellt werden können, ob der Verantwortliche Grund zur Annahme hat, dass der Datenempfänger geltenden Rechtsvorschriften im Drittland unterliegt, die mit den übrigen Standardvertragsklauseln nicht vereinbar sind.

Im Ergebnis geht es also darum festzustellen, wie hoch das Risiko ist, dass der Datenempfänger aufgrund landesspezifischer Vorschriften oder Gepflogenheiten gegen die im Rahmen der Standardvertragsklauseln vereinbarten Regelungen verstößt bzw. diese gar nicht einhalten kann.

Information der Betroffenen

Nach Art. 13 DSGVO sind die betroffenen Personen zum Zeitpunkt der Erhebung ihrer personenbezogenen Daten über die Verarbeitung zu informieren. Im Falle einer Drittstaatenübermittlung ist hiervon auch die Information über diese Übermittlung sowie die Art der Garantien umfasst, die den Schutz der Daten sicherstellen sollen (Art. 13 Abs.1 lit. f DSGVO).

Grundsatz der Datenminimierung

Nach dem in Art. 5 Art. 1 lit. c DSGVO verankerten Grundsatz der Datenminimierung dürfen immer nur so viele Daten verarbeitet werden, wie zur Erreichung des Zwecks notwendig sind. Die Erstellung von Ausweiskopien ist dabei nur in seltenen Fällen erforderlich und unterliegt strengen Voraussetzungen. Diese Voraussetzungen waren im vorliegenden Fall nicht gegeben, worauf die Verantwortliche vom eigenen Datenschutzbeauftragten bereits hingewiesen wurde. Eine Anpassung des Prozesses erfolgte trotz des Hinweises nicht.

Prüfung von Auftragsverarbeitern

Der Telekommunikationsdienstleister bleibt als „Verantwortlicher“ auch bei der Auslagerung einer Datenverarbeitung an einen Auftragsverarbeiter verantwortlich und hat damit den hinreichenden Schutz der personenbezogenen Daten zu gewährleisten (siehe Blogbeitrag). Vor Beauftragung des Dienstleisters hat der Verantwortliche demnach sicherzustellen, dass der Dienstleister geeignete technische und organisatorische Maßnahmen (TOM) trifft, um den Schutz der Rechte der betroffenen Personen zu gewährleisten.

Eine solche Prüfung durch den Telekommunikationsdienstleister blieb aus, wodurch der Verantwortliche seiner entsprechenden Pflicht nicht nachgekommen ist.

Fazit

Auch wenn die kroatische Aufsichtsbehörde keine Angaben dazu gemacht hat, was Anlass für die Untersuchung war, sollten sich Verantwortliche darüber im Klaren sein, dass im Rahmen aufsichtsbehördlicher Untersuchungen ggf. auch weitere Datenschutzverstöße aufgedeckt werden, selbst wenn diese mit dem ursprünglichen Sachverhalt möglicherweise in keinem direkten Zusammenhang stehen.

Dabei handelt es sich bei den oben aufgeführten datenschutzrechtlichen Mängeln leider nicht um Ausnahmefälle. Soweit der Verantwortliche einen Datenschutzbeauftragten bestellt hat, sollte es daher umso wichtiger sein, dessen Hinweise ernst zu nehmen, selbst wenn dies im Einzelfall mit größeren Aufwänden verbunden ist.

Alisa Herr | 27. November 2025 | Aufsichtsbehörden | Angemessenheitsbeschluss, Auftragsverarbeiter, AZOP, Bußgeld, Datenminimierung, Datenschutzaufsichtsbehörde, Kroatien, personenbezogene Daten, Serbien, Standardvertragsklauseln, TIA, TOM