Aktuelle Bußgelder im Datenschutz (EU-weit)

Die schwedische Aufsichtsbehörde hat am 22.08.2019 ihr erstes Bußgeld i.H.v. 200.000 SEK (ca. 20.000 Euro) gegen eine Schule verhängt. Diese hatte für drei Wochen eine Gesichtserkennungssoftware zur Anwesenheitskontrolle der Schüler eingesetzt.

Für diese Verarbeitung hatte die Schule die Einwilligung der Erziehungsberechtigte nach Art. 6, Abs. 1 Lit. (a) eingeholt, um Ihre gesetzliche Pflicht zur Abwesenheitsüberprüfung zeitsparend einzuhalten.

Jedoch hat die Aufsichtsbehörde festgestellt, dass die Einwilligung nach Art. 4 Abs. 11 freiwillig erfolgen muss, was hier nicht der Fall sein konnte. Wie im Erwägungsgrund 43 festgelegt, ist die Einwilligung nicht freiwillig, wenn „zwischen der betroffenen Person und dem Verantwortlichen ein klares Ungleichgewicht besteht“, wie es zwischen einer Schule und einem Schüler, insb. Minderjährigen, vorliegt.

Die Behörde hat weiterhin festgestellt, dass ein öffentliches Interesse nach Art. 6 Abs. 1 lit. (e) existiert, so wie die Schule es begründet hatte, dieses aber nicht ausreicht, um sensible Daten nach Art. 9 DSGVO in eine hoch intrusive Art und Weise zu verarbeiten. Eine Anwesenheitskontrolle ist auf anderen Wegen mit weniger großen Eingriffen in die Privatsphäre möglich.

Die Aufsichtsbehörde hat dementsprechend bei dieser Datenverarbeitung drei Rechtswidrigkeiten gegen das Datenschutzrecht vermerkt:

  • Eine zu intensive Verarbeitung von Schülerdaten, entgegen dem Datenminimierungsprinzip des Art. 5 DSGVO.
  • Die Verarbeitung von sensiblen biometrischen Daten ohne rechtmäßige Grundlage nach Art. 9 DSGVO
  • Die Einführung des Prozesses ohne vorherige Durchführung einer Datenschutzfolgenabschätzung nach Art. 35 und Art. 36 DSGVO

Da grds. die Gesichtserkennung immer mehr zum Einsatz kommen wird, u.A. in Schulen, ist diese Thematik und eventuell noch kommende Entscheidungen hierzu mit Auswirkungen für die Zukunft zu sehen.

Auch in Griechenland war die Aufsichtsbehörde Ende Juli aktiv, mit einem hohen Bußgeld i.H.v. 150.000 Euro gegen das Consulting Unternehmen pwc. In diesem Fall war die Verarbeitung der Daten zwar rechtmäßig aber pwc hat die falsche Rechtsgrundlage genannt und hiermit, laut Aufsichtsbehörde, gegen die Prinzipien des Art. 5 Abs. 1 lit. a) bis c) der DSGVO verstoßen, insbesondere die Prinzipien der Rechtmäßigkeit und der Transparenz.

pwc hat für die Verarbeitung von personenbezogenen Daten von Mitarbeiter auf Art. 6 Abs. 1 Lit. a) DSGVO gestellt und die Einwilligung der Mitarbeiter eingeholt, wobei für diese spezifische Verarbeitung eine gesetzliche Grundlage bereits existiert. Dementsprechend war die korrekte Rechtsgrundlage Art. 6 Abs. 1 Lit. b) DSGVO. Die Aufsichtsbehörde nannte die scheinbare Möglichkeit für Betroffene Ihrer Einwilligung zu widersprechen als Grund für den Verstoß gegen die Prinzipien der Transparenz und der Rechtmäßigkeit.

Diese Strafe scheint, für legitimis, unverhältnismäßig hoch, da pwc nicht ohne Rechtsgrundlage die Daten verarbeitet hat. Im Gegenteil, das Unternehmen ist bei der Absicherung der Rechtmäßigkeit scheinbar ein Schritt zu weit gegangen und hat eine unnötige Einwilligung einholt.