Die griechische Aufsichtsbehörde Hellenic Data Protection Authority (HDPA) verhängte am 25. September 2023 ein Bußgeld in Höhe von 50.000 Euro gegen den Verband für öffentliche Verkehrsbetriebe in Athen (OASA). Die Verstöße umfassten die verspätete Durchführung einer Datenschutz-Folgenabschätzung (DSFA) für das Automatische System zur Fahrgeldsammlung (ASSK), unzureichende Dokumentation der DSFA, die nicht festgelegte Speicherdauer und eine unklare Beschreibung der Verarbeitungszwecke.
Hintergrund des DSGVO-Bußgeldes
Der OASA ist eine Organisation, die den öffentlichen Nahverkehr in der griechischen Hauptstadt Athen betreibt und unter anderem für die Fahrpreisabrechnung verantwortlich ist. OASA betreibt das ASSK, ein elektronisches Ticketsystem, das eine erhebliche Menge personenbezogener Daten sammelt.
Die Datenschutzbehörde führte eine unangekündigte Vor-Ort-Prüfung durch und deckte schwerwiegende Datenschutzverstöße auf, die zu der genannten Geldstrafe führten.
Die festgestellten Verstöße lassen sich wie folgt zusammenfassen:
Verzögerte DSFA
OASA hatte versäumt, rechtzeitig eine DSFA durchzuführen, d.h. bevor das ASSK-System in Betrieb ging. Dies verstößt gegen Art. 35 DSGVO, der die DSFA als notwendigen Schritt bei der Einführung neuer Datenverarbeitungstätigkeiten mit voraussichtlich hohen Risiken für Betroffene vorschreibt.
Unzureichende DSFA-Inhalte
Die später durchgeführte DSFA wies Mängel bei der Identifizierung und Bewertung von Datenschutzrisiken auf. Eine umfassende und klare Dokumentation ist jedoch unerlässlich, um den Datenschutz zu gewährleisten und die Anforderungen der DSGVO zu erfüllen.
Speicherdauer der Daten
OASA hatte weiterhin keine klaren Aufbewahrungsfristen für die im ASSK-System gespeicherten Daten festgelegt, was gegen das Prinzip der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO verstößt.
Fehlende Klarheit in der Beschreibung der Verarbeitungszwecke
Zu guter Letzt wiesen die Angaben über die Datenverarbeitungszwecke Mängel auf, was gegen die Transparenzvorschriften nach Art. 5 Abs. 1lit. a) DSGVO verstößt.
Zusätzlich zur Geldbuße hat die Aufsichtsbehörde eine schriftliche Verwarnung an OASA gerichtet und eine Anordnung zur Beseitigung festgestellter Verstöße erlassen. Es sei darauf hingewiesen, dass die Höhe der Geldbuße weiter ansteigen kann, sollte die angemessene Umsetzung der erforderlichen Maßnahmen ausbleiben.
Tipp: Wir kommentieren regelmäßig verhängte DSGVO-Bußgelder und erläutern, was andere Unternehmen tun können, um solche Strafen zu vermeiden!
Datenschutzrechtliche Einschätzung
Die Bedeutung von Datenschutzfolgenabschätzungen sollte keinesfalls unterschätzt werden. DSFA sind ein essenzielles Instrument zur Gewährleistung der Datenschutzkonformität und ein Schlüssel zur Einhaltung der DSGVO. Eine DSFA muss immer dann durchgeführt werden, wenn die geplante Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Teilweise wird dies in sog. Blacklisten der Aufsichtsbehörden konkretisiert.
Mit einer DSFA kann man Datenschutzrisiken frühzeitig erkennen und angemessene Maßnahmen ergreifen, um diese Risiken zu minimieren. Dies ist von entscheidender Bedeutung, da Datenschutzverletzungen nicht nur erhebliche Bußgelder nach sich ziehen, sondern auch das Vertrauen von Kunden und Partnerunternehmen erheblich beeinträchtigen können. Bei Nichtdurchführung einer DSFA kann das Unternehmen zudem weiterhin gezwungen werden, die betroffenen Daten zu löschen, was mit zusätzlichem Aufwand und möglichen Reputationsschäden verbunden ist.
Des Weiteren sollten DSFA frühzeitig durchgeführt werden, d.h. bevor Verarbeitungsprozesse gestartet werden. Je früher Risiken identifiziert werden, desto einfacher und kostengünstiger ist es, geeignete Maßnahmen zu ergreifen. Verzögerungen bei der DSFA können zu nachträglich notwendigen Anpassungen von Prozessen und Systemen führen, was oft kompliziert und teuer ist.
Darüber hinaus ist sicherzustellen, dass die DSFA korrekt und umfassend sind. Unvollständige oder fehlerhafte Angaben können die Risikobewertung verzerrt darstellen und zu unzureichenden Schutzmaßnahmen führen. Daher ist es ratsam, Experten hinzuzuziehen oder sich auf bewährte Methoden und Werkzeuge zu stützen, um sicherzustellen, dass Ihre DSFA den gesetzlichen Anforderungen entsprechen.
Bestellen Sie jetzt einen unserer Experten als externen Datenschutzbeauftragten für Ihr Unternehmen und profitieren von der DSGVO-Compliance zum Flatratepreis!