Datenschutz und Cybersecurity

DSGVO-Bußgelder gegen TikTok und französischen Versicherungskonzern

Verfasst von

Dr. Jan-Peter Ohrtmann

Fast schon zeitgleich hat sowohl die niederländische und als auch die französische Datenschutzaufsicht am 22. Juni 2021 jeweils ein empfindliches Bußgeld wegen Verstößen gegen Bestimmungen der Datenschutz-Grundverordnung (DSGVO) verhängt. Während dem insbesondere bei Kindern und Jugendlichen beliebten sozialen Netzwerk TikTok in den Niederlanden ein Bußgeld in Höhe von 750.000 Euro auferlegt wurde, muss der französische Versicherungskonzern AG2R La Mondiale in Frankreich 1,75 Millionen Euro zahlen.

TikTok wegen Verletzung der Privatsphäre von Kindern bebußt

Die niederländische Aufsichtsbehörde, die Autoriteit Persoonsgegevens (AP), wirft dem chinesischen sozialen Netzwerk vor, die Privatsphäre insbesondere von Kindern verletzt zu haben. Genauer seien die Informationen, die TikTok den niederländischen Nutzern bei der Installation und Nutzung der App zur Verfügung stellte, nur auf Englisch und nicht auf Niederländisch angeboten worden. Dadurch sei gerade den jüngeren Nutzern nicht hinreichend verständlich gemacht worden, wie der App-Anbieter personenbezogene Daten erhebt, verarbeitet und nutzt, sodass ein Datenschutzverstoß vorläge. TikTok hat bereits Einspruch gegen den Bußgeldbescheid eingelegt.

Weitere Maßnahmen gegen TikTok nicht auszuschließen

Bereits im vergangenen Jahr startete die AP eine eingehende Untersuchung der App, da grundsätzliche Bedenken hinsichtlich der Privatsphäre von Kindern bestanden. Zu diesem Zeitpunkt verfügte der App-Anbieter über keine (Haupt-)Niederlassung in der Europäischen Union, sodass es allen Aufsichtsbehörden der EU-Mitgliedsstaaten möglich war, sich mit der Einhaltung von Datenschutzbestimmungen durch TikTok auseinanderzusetzen. Im Zuge der Ermittlungen hat sich TikTok jedoch in Irland niedergelassen, sodass der nun zuständigen irischen Aufsichtsbehörde, der Data Protection Commission (DPC), nun die Ergebnisse vorgelegt werden, um weitere mögliche Problemfelder des chinesischen Unternehmens zu untersuchen. Insbesondere im Hinblick auf den Schutz vor Mobbing und Cyber Grooming bleibt abzuwarten, ob TikToks Maßnahmen zum Schutz von Kindern aus datenschutzrechtlicher Perspektive ausreichend sind oder nicht.

Mehrfacher Datenschutzverstoß durch AG2R La Mondiale

Die französische Aufsichtsbehörde, die Commission nationale de l’informatique et des libertés (CNIL), begründet das millionenschwere Bußgeld gegen den französischen Versicherer AG2R La Mondiale damit, dass Daten von Millionen Bürgern über einen übermäßig langen Zeitraum aufbewahrt worden seien. Ferner habe der Konzern seine Informationspflichten bei Telefongesprächen verletzt. Konkret habe der Versicherungskonzern die Daten von ca. 2.000 Interessenten gespeichert, obgleich sie länger als drei, teilweise fünf Jahren keinen Kontakt mehr zum Versicherer gehabt hätten. Überdies habe der Konzern in seinen Kundendatenbanken keine Löschfristen integriert. Im Zuge dessen seien sensible Gesundheitsdaten oder auch Bankdaten von mehr als zwei Millionen Kunden über die nach Vertragsende zulässigen gesetzlichen Aufbewahrungsfristen hinaus aufbewahrt worden.

Darüber hinaus sei der Konzern seinen Informationspflichten bei Telefongesprächen von Subunternehmern nicht nachgekommen, indem die den kontaktierten Personen zur Verfügung gestellten Informationen nicht alle von der DSGVO geforderten Elemente enthielten. So seien Telefongespräche von Subunternehmern aufgezeichnet worden, ohne dass die kontaktierte Person über ihr Widerrufsrecht informiert wurde. Inzwischen habe AG2R La Mondiale allerdings die erforderlichen Maßnahmen ergriffen, um die in Frage stehenden Praktiken DSGVO-konform zu gestalten.

Fazit

Die Entscheidungen zeigen erneut, dass es nicht genügt, eine dem Grunde nach taugliche Rechtsgrundlage für die Verarbeitung zu finden. Vielmehr müssen im Rahmen des sog. risikobasierten Ansatzes auch die spezifischen Risiken, die die Datenverarbeitung für bestimmte Personengruppen mit sich bringt, evaluiert und in Abwägungstatbeständen, Einwilligungsmodalitäten und Betroffeneninformation berücksichtigt werden. Zudem müssen Daten gelöscht werden, wenn die betreffende Rechtsgrundlage – z.B. durch Zweckfortfall – entfällt. Hierfür bedarf es der Entwicklung und Implementierung eines dezidierten Löschkonzepts anhand der Zwecke und Rechtsgrundlagen der jeweiligen Verarbeitungsvorgänge.