Frankreich: DSGVO Verstoß in Beratungsbüro

Das französische Unternehmen UNIONTRAD COMPANY, welches seinen Firmensitz in Paris hat, bietet Übersetzungen in den Bereichen Recht und Finanzen an. Mehrere Mitarbeiter beschwerten sich über ein Überwachungssystem, dass diese permanent überwachte. Zusätzlich dazu hatten die Angestellten keine Informationen über den Verwendungszweck der Überwachungsanlage erhalten. Aus diesem Grund ging die französische Datenschutzbehörde CNIL den Beschwerden nach.

Bei zwei Untersuchungen im Oktober 2013 und Juni 2016 wurde das Unternehmen jedes Mal auf grobe Verstöße gegen die Datenschutzgesetze hingewiesen und aufgefordert, seine Verhaltensweise zu ändern. Mitarbeiter dürfen nicht mehr permanent gefilmt werden und müssen über den Verwendungszweck der Aufnahmen informiert werden. Auf Rückfrage von CNIL gab die UNIONTRAD COMPANY an, dass die Kameras für die Sicherheit erforderlich seien.

Als die Beschwerden nicht aussetzten, führte die Behörde einen Vor-Ort Untersuchung durch. Dabei kamen noch mehr DSGVO-Verstöße ans Licht: Alle Mitarbeiter teilten sich einen PC-Account und einen Mail-Account. Dadurch hatte jeder Zugriff auf alle Daten, obwohl das Unternehmen sich mit juristischen Angelegenheiten beschäftigt, zu welchen auch personenbezogene Daten gehören konnten und welche deshalb einen besonderen Schutz erfordern. Außerdem wurde die zulässige Speicherdauer der Daten überschritten.

Nach Ablauf der Umsetzungsfrist führte die CNIL eine erneute Kontrolle durch. Das Unternehmen hatte jedoch die geforderten Maßnahmen nicht zufriedenstellend umgesetzt. Da die UNIONTRAD COMPANY nur ein kleines Unternehmen mit neun Mitarbeitern ist und im Jahr 2017 einen Nettoverlust von € 110.884,- erwirtschaftet hatte, wurde die anfangs angedachte Strafe von € 750.000,- auf € 20.000,- gesenkt.

Fazit

Die Umsetzung der DSGVO darf von keinem Unternehmen auf die leichte Schulter genommen werden. Empfehlungen bzw. Vorgaben der Datenschutzbehörde sollten umgesetzt werden, andernfalls setzt es empfindliche Geldstrafen. In diesem Fall hat die französische Behörde nur aufgrund der massiven Verluste des Unternehmens von einer hohen Strafe abgesehen.

Mit easyGDPR können Sie als Unternehmen sicherstellen, dass Ihr Unternehmen den Vorgaben der DSGVO entspricht. Das Programm fragt Ihren aktuellen Datenschutz-Standard ab und gibt Ihnen aufgrund dieser Informationen detaillierte Umsetzungsempfehlungen. Gleichzeitig wird die entsprechende Dokumentation erstellt, bei einer etwaigen Kontrolle können Sie die verpflichtende Dokumentation somit problemlos vorlegen

Datum der Entscheidung:
01.10.2018

Land:
Frankreich

Art des Datenschutzvorfalls:
technische Mängel

Anzahl der betroffenen Datensätze:
unbekannt

Sensible Daten betroffen:
Ja

Höhe der Geldstrafe:
€ 20,000,-

Verstoß gegen DSGVO Paragraph:

18. Recht auf Einschränkung der Verarbeitung
21. Widerspruchsrecht
25. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen
31. Zusammenarbeit mit der Aufsichtsbehörde
5. Grundsätze für die Verarbeitung personenbezogener Daten
6. Rechtmäßigkeit der Verarbeitung

Quelle:
Entscheidung der französischen Datenschutzbehörde (französisch)

Workshop "DSGVO und Cyberkriminalität – Sonderthema HomeOffice"

Workshop "DSGVO und Cyberkriminalität – Gefahren rechtzeitig erkennen"