Vom 6. Juni bis zum 9. Juni 2024 finden die Europawahlen statt, bei der EU-Bürger ihre Stimmen für Parteien ihrer jeweiligen Länder abgegeben können. Um möglichst viel Aufmerksamkeit zu generieren, wird natürlich auch bei dieser Wahl durch Europaabgeordnete auf Werbung zurückgegriffen, um möglichst viele Stimmen für die eigene Partei oder politische Vereinigung zu sammeln.

Wahlwerbung per E-Mail?

Genau das dachte sich wohl auch die Europaabgeordnete Anna-Michelle Asimakopoulou aus Griechenland, die an unzählige griechische Auslandswähler unaufgefordert politische Werbung per E-Mail zusendete (siehe Pressemitteilung und Entscheidung der Aufsichtsbehörde vom 27. Mai 2024). Als Folge gingen zahlreiche Beschwerden bei der griechischen Datenschutzbehörde (Hellenic Data Protection Authority) ein, welche wiederum von ihren Ermittlungsbefugnissen gebraucht machte und Prüfungen bei den beteiligten Stellen einleitete.

Nach einer Reihe von Prüfungen und Beweissichtungen der Aufsichtsbehörde wurde festgestellt, dass eine Datei mit den personenbezogenen Daten aller registrierten griechischen Auslandswähler, die eigentlich nur dem Innenministerium zur Verfügung stehen sollte, an Stellen außerhalb des Innenministeriums übermittelt wurde. Ergänzend zu den bekannten personenbezogenen Daten aus dem Wählerverzeichnis waren sowohl die Telefonnummer als auch die E-Mail-Adresse der Personen dort aufgeführt. Solche Informationen – die Telefonnummer und die E-Mail-Adresse – sind in der Wählerdatei eigentlich nicht vorgesehen.

Besagte Datei wurde Frau Asimakopoulou zugespielt und von ihr dazu verwendet, jedem der benannten Wähler eine politisch motivierte E-Mail zukommen zu lassen. Neben der Tatsache, dass für die Zusendung der E-Mails keine Rechtsgrundlage vorlag, wurden auch die gesetzlichen Informationspflichten aus Art. 14 DSGVO nicht umgesetzt.

Bußgeld für das griechische Innenministerium und die Europaabgeordnete

Im Hinblick auf die Verstöße gegen die DSGVO hat die griechische Aufsichtsbehörde folgende Entscheidungen getroffen:

Durch die Veröffentlichung der Datei wurde ein Verstoß gegen die Vertraulichkeit und eine Verletzung des Schutzes personenbezogener Daten festgestellt. Bei der im Innenministerium durchgeführten Prüfung wurden Mängel in der Datenschutzpolitik, der Aufklärung des Sachverhalts und der Darstellung der Verarbeitungstätigkeit festgestellt. Als Folge wurde gegen das griechische Innenministerium als Verantwortlicher eine Geldbuße in Höhe von 400.000 Euro wegen Verstößen gegen Art. 5, 25, 30, 32 und 33 DSGVO verhängt.

Im Hinblick auf Frau Asimakopoulou wurde festgestellte, dass die Erhebung der personenbezogenen Daten sowie die Verwendung der elektronischen Kontaktdaten gegen den Grundsatz der Rechtmäßigkeit, Objektivität und Transparenz verstieß. Gegen Frau Asimakopoulou als Verantwortliche verhängte die griechische Aufsichtsbehörde eine Geldbuße in Höhe von 40.000 Euro wegen Verstößen gegen Art. 5, 6 und 14 DSGVO

Wie genau die Datei letzten Endes veröffentlicht wurde, ist bisher unbekannt. Weder die Identität noch die Funktion der Person, welche die Datei aus dem Innenministerium heraus veröffentlicht hat, konnten bis dato durch die Prüfungen der Aufsichtsbehörde ermittelt werden.

Fazit

Im Hinblick auf die Entscheidungen der griechischen Aufsichtsbehörde zeigt sich ein deutlicher Unterschied zur aktuellen Bußgeldsituation in Deutschland. Innerhalb Deutschlands hat der Gesetzgeber die Verhängung von Bußgeldern gegenüber Behörden oder öffentlichen Stellen so gut wie ausgeschlossen (wir berichteten). Nichtsdestotrotz müssen sich auch Behörden und öffentliche Stellen an die DSGVO halten und deren Anforderungen erfüllen. Am Beispiel des griechischen Innenministeriums hat sich gezeigt, dass dies trotzdem nicht immer der Fall ist und das obwohl den Behörden hier nicht nur ein Reputationsschaden und Vertrauensverlusts seitens der Bürger drohen, sondern eben auch ein erhebliches Bußgeld als Konsequenz.