Die Landesbeauftragte für Datenschutz und Informationsfreiheit NRW (LDI NRW) hat einen schwerwiegenden Fall aufgedeckt: Ein Taxiunternehmen aus Nordrhein-Westfalen teilte über zwei WhatsApp-Gruppen hochsensible Daten – darunter Fotos von Kundinnen und Kunden, Ausweisdaten, Rezepte und Kliniktermine – mit sämtlichen Fahrerinnen und Fahrern. Eine Einwilligung der Betroffenen lag nicht vor. Nachdem die Behörde einschritt, wurde die Praxis beendet. Doch die Konsequenzen sind erheblich.
Welche Befugnisse hat die Behörde genutzt?
Die LDI NRW hat die Nutzung der WhatsApp-Gruppen untersagt und prüft nun die Verhängung einer Geldbuße. Damit griff sie auf ihre Abhilfebefugnisse nach Art. 58 Abs. 2 DSGVO zurück, insbesondere:
- lit. f: Verbot der Verarbeitung,
- lit. g: Anweisung zur Löschung oder Berichtigung,
- lit. i: Möglichkeit zur Verhängung einer Geldbuße.
Diese Schritte zeigen: Die Behörde reagiert konsequent, wenn Unternehmen sensible Daten ohne Rechtsgrundlage verarbeiten.
Welche Strafen drohen?
Die DSGVO sieht bei Verstößen gegen die Grundsätze der Datenverarbeitung (Art. 5) und die Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9) empfindliche Sanktionen vor. Die Geldbuße kann bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist. Bei der Bemessung berücksichtigt die Behörde Faktoren wie die Schwere des Verstoßes, die Anzahl der Betroffenen und die Kooperationsbereitschaft des Unternehmens. Angesichts der Vielzahl sensibler Daten und der Dauer des Rechtsverstoßes ist mit einem erheblichen Bußgeld zu rechnen.
Vergleichbare Fälle
- Spanien (AEPD, 2021): Ein medizinisches Zentrum nutzte WhatsApp zur Übermittlung von Gesundheitsdaten ohne Einwilligung. Bußgeld: 25.000 €.
- Italien (Garante, 2022): Arztpraxis tauschte Patientendaten über Messenger-Dienste aus. Bußgeld: 50.000 €.
- Deutschland (LfDI Baden-Württemberg, 2019): Unternehmen setzte WhatsApp für interne Kommunikation ein, ohne Datenschutzmaßnahmen. Bußgeld: 10.000 €.
- Portugal (CNPD, 2020): Krankenhaus verwendete WhatsApp für Patientendaten. Bußgeld: 400.000 €.
Diese Beispiele zeigen: Die Höhe der Strafe hängt stark von der Sensibilität der Daten und der Anzahl der Betroffenen ab. Bei Gesundheitsdaten sind die Bußgelder regelmäßig deutlich höher
Fazit und Ausblick
Dieser Fall ist ein Warnsignal für alle Unternehmen – nicht nur für Taxiunternehmen. Die Nutzung von WhatsApp oder ähnlichen Diensten für die Weitergabe personenbezogener Daten ist riskant und in den meisten Fällen rechtswidrig. Wer sensible Informationen verarbeitet, muss sichere Kommunikationswege wählen und die Vorgaben der DSGVO strikt einhalten.
Unser Tipp: Prüfen Sie Ihre internen Prozesse, schulen Sie Mitarbeitende und setzen Sie auf datenschutzkonforme Lösungen. So vermeiden Sie nicht nur hohe Bußgelder, sondern schützen auch das Vertrauen Ihrer Kundinnen und Kunden.
Recent Comments