Datenschutz-Geschichten wie sie nur das Leben schreibt: Durch eine Verkettung von besonderen Umständen verlor nicht nur ein Lieferant seinen Job, sondern der Lebensmittelgroßhändler Metro bekam von der griechischen Datenschutzbehörde Hellenic Data Protection Authority ein Bußgeld in Höhe von 50.000 Euro auferlegt.
Im vorliegenden Fall hatte sich eine Betroffene bei der griechischen Datenschutzbehörde beschwert, da sie privat von einem ehemaligen Metro-Mitarbeiter per SMS belästigt wurde. Im Vorfeld hatte sich die Dame in Bezug auf die Lieferung ihres Mannes über eben diesen Fahrer bei Metro beschwert, woraufhin Metro diesen gekündigt hatte. Darüber war der ehemalige Mitarbeiter so erbost, dass er sich auf dem Firmensystem Zugang zu den Kontaktdaten der Dame verschafft hatte und ihr daraufhin sarkastische SMS zukommen ließ.
Als Folge von diesem Vorfall verlangte die Betroffene von Metro Auskunft über ihre gespeicherten personenbezogenen Daten. Diese Auskunft verweigerte Metro allerdings mit der Begründung, dass der Ehemann der Betroffenen der eigentliche Kunde der Bestellung gewesen sei. Laut Angaben von Metro habe die Betroffene mit dem Lieferanten direkt kommuniziert, sodass es diesem möglich war, über den Lieferschein an die private Rufnummer zu kommen.
Die griechische Datenschutzbehörde wies diese Erklärungsversuche allerdings ab und verdeutlichte, dass Metro den Anfragen hätte nachkommen müssen. Zudem kritisierte sie, dass es keine geeigneten technischen und organisatorischen Maßnahmen zum Schutz der Daten gegeben hätte und so der Mitarbeiter erst die Möglichkeit hatte, sich die Daten zu beschaffen. Weiterhin leitete Metro nach diesem Vorfall keine Anpassungen an und meldete den Fall auch nicht proaktiv der Datenschutzbehörde.
Metro hatte nach Ansicht der Behörde gegen die Art. 15 DSGVO (Auskunftsrecht der betroffenen Person), Art. 17 DSGVO (Recht auf Löschung), Art. 24 DSGVO (Verantwortung des für die Verarbeitung Verantwortlichen) Art. 32 DSGVO (Sicherheit der Verarbeitung) und Art. 33 DSGVO (Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde) verstoßen. Aufgrund der Vielzahl der Verstöße kam es zu dem Bußgeld in Höhe von 50.000 Euro, das in Relation dazu, dass es sich um einen einzigen Vorfall handelte, durchaus relativ hoch ausgefallen ist. [SRE]
Quellenangabe:
- Artikel: „Top 5 DSGVO-Bußgelder im Juli 2024“, abgerufen am 13.08.2024 unter: https://www.dr-datenschutz.de/top-5-dsgvo-bussgelder-im-juli-2024/
Autorin:
Sabrina Reinecke [SRE], externe betriebliche Datenschutzbeauftragte (TÜV-Zertifizierung)