40.000 Euro DSGVO-Bußgeld wegen falsch adressierter Rechnung
Es scheint fast so, als wären die Datenschutzbehörden vor den anstehenden Sommerferien noch besonders fleißig bei der Ausstellung von Bußgeld-Bescheiden. So verurteilte die spanische Aufsichtsbehörde (AEPD) kürzlich den spanischen Energieriesen Iberdrola Clientes zur Zahlung von 40.000 Euro wegen Verletzung der Grundsätze und Garantien nach Art 5 DSGVO.
Rechnung an einen falschen Empfänger
Eine betroffene Person hatte sich bei der Aufsichtsbehörde beschwert, dass ein Dritter, der nichts mit dem Beschwerdeführer zu tun hat, an seine E-Mail-Adresse die Stromrechnung des Beschwerdeführers erhalten hatte. Der Beschwerdeführer betonte, dass die Rechnung vertrauliche Daten enthält, zB vollständiger Name, Steuernummer, Adresse und einen Teil der Nummerierung des Bankkontos.
Aufsichtsbehörde ermittelt Ursachen für Datenschutzverletzung
Auf Grundlage der Beschwerde führte die Aufsichtsbehörde vorläufige Ermittlungen zur Klärung des fraglichen Sachverhalts durch und forderte vom Verantwortlichen weitere Informationen zu den Ursachen, die zu dem Vorfall geführt hatten, sowie die Maßnahmen, die zur Vermeidung ähnlicher Vorfälle ergriffen wurden, die Umsetzungsfristen und durchgeführten Kontrollen.
Aus dem Beschluss der Aufsichtsbehörde sind über die durch den Verantwortlichen erteilten Antworten keine Informationen verfügbar.
Grundsätze für die Verarbeitung personenbezogener Daten verletzt
Auf Basis der verfügbaren Beweise stellte die Aufsichtsbehörde fest, dass der Verantwortliche es versäumt hatte, eine angemessene Sicherheit bei der Verarbeitung der personenbezogenen Daten des Beschwerdeführers zu gewährleisten, was einen Verstoß gegen Art 5 (1) f DSGVO darstellt.
Der Artikel regelt die Grundsätze der Integrität und Vertraulichkeit personenbezogener Daten sowie die proaktive Verantwortung des für die Datenverarbeitung Verantwortlichen für den Nachweis ihrer Einhaltung.
Der Verantwortliche wurde wegen eines Verstoßes gegen Art 5 (1) f DSGVO zu einer Geldbuße von 40.000 Euro verurteilt.
Anmerkungen
- Obwohl hier nur eine Rechnung falsch versendet wurde, hat die Aufsichtsbehörde in ihrer Begründung den Verstoß gegen Art 5 DSGVO, zwar als nicht vorsätzliche fahrlässige Handlung, aber als erheblich eingestuft;
- Interessanterweise hat die Aufsichtsbehörde den Vorfall in Hinblick auf die Grundsätze für die Verarbeitung von personenbezogenen Daten (Art 5 DSGVO) bewertet und nicht hinsichtlich Sicherheit der Verarbeitung (Art 32 DSGVO);
- Dennoch zeigt der Fall die Wichtigkeit der Umsetzung von wirksamen technischen und organisatorischen Maßnahmen zur Gewährleitung der Sicherheit der Verarbeitung,
- Ebnso wichtig, die laufende Überprüfung bzw Weiterentwicklung der Maßnahmen zur Qualitätssicherung bei der Verarbeitung von personenbezogenen Daten.
- Der Verantwortliche hat durch fristgerechte Zahlung der Geldbuße seine Schuld anerkannt und auf weiter Rechtsmittel verzichtet. Hier ist auf eine Eigenheit des spanischen Datenschutzrechts hinzuweisen: Bei vollständigen Bezahlung des Bußgelds innerhalb der Einspruchsfrist reduziert sich der Strafbetrag um 40 Prozent;
- Die Iberdrola S.A. ist ein spanisches Stromerzeugungs- und -vertriebsunternehmen. Es zählt zu den größten europäischen Stromproduzenten. Im Jahr 2019 erzielte das Unternehmen einen Umsatz in Höhe von rund 36,4 Milliarden Euro (Quelle: Statista);Dennoch zeigt
Quelle
Resolution R/00269/2020 der AEPD im Sanktionsverfahren, URL: https://www.aepd.es/es/documento/ps-00102-2020.pdf (In Spanisch)