Eine der wohl häufigsten Fragen in der täglichen Kundenberatung ist die Frage nach dem Preis: Was kostet es denn, wenn wir gegen Ihre Empfehlung verstoßen und das Datenschutzrecht nicht beachten? Oft kann darauf nur ein Schätzwert genannt werden.

Umso schöner, dass der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI BW) in seinem 39. Tätigkeitsbericht der Aufsichtsbehörde nun zumindest ein paar Zahlen(räume) genannt hat.

Der LfDI selbst hat im gesamten letzten Jahr elf rechtskräftige Bußgeldbescheide erlassen, die sich auf eine Gesamtsumme von 15.800 Euro erstreckten – die genaue Verteilung hingegen wurde nicht offengelegt.

Einsatz von Trackingsystemen in Partnerbeziehungen

Es wurde festgestellt, dass Privatpersonen zunehmend Tracking-Apps verwenden, um ihre Partner zu überwachen. Diese Ausspionage des Aufenthaltsortes anderer Personen wird als schwere Verletzung der Privatsphäre betrachtet und konsequent mit Bußgeldern geahndet. In einem Fall wurde gegen eine Frau ein „hohes Bußgeld“ verhängt, die einen Bewegungstracker am Auto ihres Ehemanns über einen längeren Zeitraum angebracht hatte, um seine Bewegungen zu überwachen und einen vermeintlichen Ehebruch zu beweisen. Auch bei schon gescheiterten Beziehungen spielen Trackingtools eine Rolle. Insbesondere fühlen sich die Personen, die als Fahrzeughalter eingetragen sind, noch dazu berechtigt, das einst gemeinsame Fahrzeug mit einem Bewegungstracker auszustatten. Dabei übersehen sie, dass die möglicherweise umstrittenen Eigentumsverhältnisse für die datenschutzrechtlichen Belange unbeachtlich sind. Also auch in diesem Fall wird strikt vom Einsatz dieser Tools abgeraten.

Auch Kassenbelege sind datenschutzkonform zu vernichten: Pizzalieferanten als Großdatenverarbeiter

Ein aktueller Fall zeigt, wie ein Pizzalieferdienst über Jahre hinweg Kassenbelege mit Kundendaten unsachgemäß in Müllsäcken lagerte und entsorgte, was in einer schwerwiegenden Datenschutzverletzung endete, die mit einem Bußgeld im mittleren vierstelligen Bereich geahndet wurde. Die Belege enthielten vollständige Kundendaten wie Vor- und Nachname, Adresse, Handynummer, Bezahlart, bestellte Speisen und Beträge. So entstand ein Datenarchiv von immenser Größe, da im Rahmen einer Durchsuchung knapp 8.000 Belege gefunden wurden. Auch wenn dem Gastronomiebetrieb die Bedeutung und Werthaltigkeit seiner über Jahre angesammelten Kundendatenbank, die er in Müllsäcken „lagerte“, wohl gar nicht bewusst gewesen war, kann nicht geleugnet werden, dass eine jahrelange unsachgemäße Ansammlung und Lagerung von Kassenbelegen sowie eine rechtswidrige Entsorgung nicht datenschutzkonform sein kann.

Keine Einsicht in dienstliche Datenbanken zu privaten Zwecken

In verschiedenen Bereichen werden Datenbanken zur Verarbeitung von personenbezogenen Daten zu festgelegten, eindeutigen und legitimen Zwecken von Arbeitgebenden bereitgestellt, um Aufgaben dienstlicher Natur zu erfüllen, wie etwa bei der Polizei, Banken oder Krankenhäusern. Ein Bußgeld traf eine Mitarbeiterin eines Klinikums, die sich in unzulässiger Weise über eine neue Nachbarin näher informieren wollte. Rechtliche Schritte gegen die Mitarbeiterin wurden eingeleitet. Gegen die Betroffene wurde ein Bußgeld in Höhe von insgesamt 2.000 Euro verhängt. Bei der Bemessung fanden die Tatsache, dass es sich um einen Erstverstoß handelte und zusätzlich arbeitsrechtliche Maßnahmen erlassen wurden zu ihren Gunsten Berücksichtigung. Allerdings wurde auch zu ihrem Nachteil angemessen berücksichtigt, dass es sich nicht nur um die vollständigen Personalien der Nachbarin handelte, sondern auch sämtliche Klinikaufenthalte und Diagnosen eingesehen werden konnten. Auch eine Polizistin hat es getroffen, gegen die ein Bußgeld i. H. v. 1.200 Euro verhängt wurde, weil sie sich unzulässigerweise weitere Informationen zu Akteuren einer Berichterstattung im Radio besorgte. Um welche Daten es hier ging, ist leider nicht bekannt.

All diese Bußgelder sind natürlich „Peanuts“ gegenüber dem Bußgeld, das gegen Meta Platforms Ireland Limited („Meta“) verhängt wurde: Mit 1,2 Milliarden Euro stellte das von der irischen Aufsichtsbehörde auf die Entscheidung des EDSA hin erlassene Bußgeld einen neuen Rekord auf (wir berichteten). Dagegen wirkt das Bußgeld gegen das Unternehmen TikTok Technology Limited („TikTok“) in Höhe von 345 Millionen Euro des EDSA im August 2023 schon fast gering.

Übrigens: Viele kleinere Fälle konnten so gelöst werden, dass von einem Bußgeld abgesehen wurde, da sich entweder Hinweise auf gravierendes Fehlverhalten nicht erhärteten oder festgestellt wurde, dass die Verantwortlichen einsichtig waren und glaubhaft darlegen konnten, dass sie aus ihren datenschutzrechtlichen Verfehlungen gelernt haben.