Im öffentlichen Sektor und Bildungswesen haben Datenschutzbehörden aus 25 verschiedenen Ländern insgesamt 270 Bußgelder (+27 im Vergleich zum ETR 2024) gegen Vertreter von Kommunalverwaltungen (z. B. Bürgermeister), Polizeibeamte, Schulen, Universitäten und andere öffentliche Körperschaften oder Bildungseinrichtungen in Höhe von insgesamt mehr als EUR 29,3 Millionen (+EUR 1,8 Millionen im Vergleich zum ETR 2024) verhängt.
Man erkennt ein Muster, das weitgehend mit der Gesamtverteilung der DSGVO-Bußgelder im Enforcement Tracker übereinstimmt und in dem die Mehrheit der Bußgelder im öffentlichen Sektor und Bildungswesen im Zusammenhang mit einer unzureichenden Rechtsgrundlage für die Datenverarbeitung (insgesamt 90) und unzureichenden technischen und organisatorischen Maßnahmen (insgesamt 76) verhängt wurden. Die insgesamt zweithäufigste Art von Verstößen gegen die DSGVO (Nichteinhaltung der allgemeinen Grundsätze für die Datenverarbeitung) ist im öffentlichen Sektor und Bildungswesen weniger relevant, hat aber in der jüngsten Vergangenheit deutlich zugenommen (insgesamt 53 Bußgelder).
Schauen wir uns das genauer an
- Seit der Covid-19-Pandemie werden digitale Produkte (z. B. Messenger-Apps oder Tools für Videokonferenzen) von Universitäten und Schulen, insbesondere für die Durchführung von Online-Kursen und -Prüfungen, erheblich stärker genutzt. In diesem Zusammenhang wurden zahlreiche Bußgelder wegen Verstößen gegen die DSGVO bei der Nutzung von Softwareprodukten/IT-Systemen verhängt. So verhängte die italienische Datenschutzbehörde (Garante) ein Bußgeld in Höhe von EUR 200.000 gegen die Bocconi-Universität wegen des Einsatzes einer Software zur Fernüberwachung bei Online-Prüfungen (ETid-876). Die Studierenden wurden nicht ordnungsgemäß über die Datenverarbeitung informiert, obwohl sie per Video überwacht und Momentaufnahmen (Snapshots) von ihnen gemacht wurden. In anderen Fällen wurden Bußgelder gegen Schulen verhängt, die besondere Kategorien von personenbezogenen Daten wie biometrische Informationen verarbeiteten (z. B. durch den Einsatz von Gesichtserkennungstechnologie zur Überwachung der Anwesenheit von Schülern, siehe ETid-67). Die Datenschutzbehörden waren besonders kritisch im Hinblick auf die mögliche Verletzung von Daten von Kindern: Die isländische Datenschutzbehörde (Persónuvernd) verhängte Bußgelder zwischen EUR 13.300 und EUR 20.000 gegen fünf Gemeinden, die ein digitales Bildungssystem in Schulen ohne Datenverarbeitungsvertrag im Einklang mit der DSGVO eingesetzt hatten. In diesen Fällen wurde besonders berücksichtigt, dass die Daten von Kindern betroffen waren (ETid-2139, ETid-2140, ETid-2141, ETid-2142, ETid-2153).
- Auch die Zahl der Bußgelder wegen unzureichender Maßnahmen zur Sicherstellung der Datensicherheit hat zugenommen. Die britische Datenschutzbehörde (ICO) verhängte gegen den Police Service of Northern Ireland (Polizei in Nordirland - PSNI) ein Bußgeld in Höhe von GBP 750.000 (EUR 907.000) wegen einer schwerwiegenden Datenschutzverletzung, bei der personenbezogene Daten aller 9.483 PSNI-Beamten und -Mitarbeitenden offengelegt wurden (ETid-2555). Der Verstoß ereignete sich, als eine im Rahmen eines Antrags nach dem Freedom of Information Act veröffentlichte Tabelle versehentlich versteckte Daten enthielt, die Nachnamen, Initialen, Ränge, Funktionen und andere sensible Informationen offenlegte, wodurch PSNI-Beamte und -Mitarbeitende in Bedrängnis gerieten. Die ICO stellte fest, dass der Verstoß durch einfach umzusetzende Verfahren hätte verhindert werden können. Angesichts der insbesondere im Kontext des politischen Umfelds in Nordirland mit der Enthüllung verbundenen Sicherheitsrisiken bestätigte die Datenschutzbehörde die Möglichkeit der Einschüchterung und anderweitiger Schädigung. Des Weiteren verhängte die italienische Datenschutzbehörde ein Bußgeld in Höhe von EUR 25.000 gegen die Innova Camera, eine Spezialabteilung für Innovation der Handelskammer Rom (ETid-2334). Die Innova Camera war während einer Server-Migration Opfer einer Cyberattacke geworden, bei der auf eine Datenbank mit personenbezogenen Daten von 22.000 Nutzern zugegriffen wurde und bösartige Dateien eingefügt wurden, die einen unbefugten Backdoor-Zugriff ("durch die Hintertür") ermöglichten. Die Datenschutzbehörde stellte fest, dass der Verantwortliche schwach verschlüsselte Passwörter verwendet hatte und eine Sicherungskopie der Datenbank während der Server-Migration ungesichert ließ. In ähnlicher Weise verhängte die zyprische Datenschutzbehörde ein Bußgeld in Höhe von EUR 45.000 gegen die Open University of Cyprus, nachdem Hacker personenbezogene Daten von Studenten, Absolventen usw. im Darknet veröffentlicht hatten (ETid-2144). In beiden Fällen stellte die Datenschutzbehörde fest, dass der Verantwortliche es versäumt hatte, geeignete technische und organisatorische Maßnahmen zum Schutz personenbezogener Daten einzusetzen.
- Das bisher höchste Bußgeld im öffentlichen Sektor und Bildungswesen wurde von der portugiesischen Datenschutzbehörde verhängt, die das portugiesische nationale Institut für Statistik mit einem Bußgeld in Höhe von EUR 4,3 Millionen für zahlreiche Verstöße gegen mehrere allgemeine Grundsätze für die Datenverarbeitung nach der DSGVO im Zusammenhang mit der Volkszählung 2021 in Portugal sanktionierte (ETid-1524). Der Verantwortliche hat die betroffenen Personen nicht über die Freiwilligkeit der Angabe ihrer Daten zu Religion und Gesundheit informiert. Außerdem hatte der Verantwortliche entgegen seiner Verpflichtung gemäß Art. 28 DSGVO bei der Auswahl seines Auftragsverarbeiters nicht die gebotene Sorgfalt walten lassen und die Übermittlung personenbezogener Daten in Länder außerhalb des EWR zugelassen, ohne neben dem Standardvertragsklauseln der Europäischen Kommission zusätzliche Sicherheitsmaßnahmen zu ergreifen, wie im Schrems-II-Urteil gefordert. Die Datenschutzbehörde sah darin einen Verstoß gegen die Art. 44 und 46 (2) DSGVO. Schließlich wurde für die Volkszählung keine Datenschutz-Folgenabschätzung durchgeführt.
- Das zweithöchste Bußgeld wurde von der niederländischen Datenschutzbehörde (AP) verhängt, die die niederländische Steuer- und Zollverwaltung im Jahr 2022 mit dem (höchsten jemals von der AP verhängten) Bußgeld in Höhe von EUR 3,7 Millionen sanktionierte, weil sie personenbezogene Daten wie Gesundheits-, Staatsangehörigkeits- und strafrechtliche Daten von mehr als 270.000 Personen (einschließlich Minderjähriger) in einer Betrugsrisikoliste ohne gültige Rechtsgrundlage und ohne geeignete technische und organisatorische Maßnahmen zur Sicherstellung eines angemessenen Schutzes verarbeitet hatte (ETid-1124). Die Daten wurden entgegen dem Grundsatz der Speicherbegrenzung und entgegen der in der Liste festgelegten Aufbewahrungsfrist mehrere Jahre lang gespeichert. Darüber hinaus wurde eine große Anzahl von Personen fälschlicherweise als mögliche Betrüger registriert, und das Betrugsrisiko wurde unter anderem anhand der Nationalität und des Aussehens der betroffenen Person in diskriminierender Weise bestimmt. Die Verarbeitung der in der Liste aufgeführten Daten war für die ordnungsgemäße Erfüllung der Aufgaben der Verwaltung nicht erforderlich. Außerdem hatte die Verwaltung gegen den Grundsatz der Zweckbindung verstoßen.
Wichtigste Erkenntnisse
Behörden haben eine besondere Vertrauensstellung inne, die eine besonders strenge Einhaltung des Datenschutzrechts und ein äußerst hohes Maß an Datensicherheit erfordert, zumal sie häufig hochsensible Daten verarbeiten und daher attraktive Ziele für Cyberangriffe darstellen sowie für eine versehentliche Offenlegung anfällig sind. Dasselbe gilt für Schulen und andere Bildungseinrichtungen, insbesondere solche, die personenbezogene Daten von Minderjährigen verarbeiten. Seit dem ETR 2020 scheinen Datenschutzbehörden den öffentlichen sowie den Bildungssektor genauer zu überprüfen, insbesondere im Zusammenhang mit dem Einsatz von Technologie (z. B. Online-Unterrichtstools an Schulen und Universitäten). Dieser Trend wird sich voraussichtlich in Zukunft fortsetzen.
Zudem nimmt die Zahl der Bußgelder im öffentlichen Sektor für Verstöße gegen Datenschutzrecht in Bezug auf die Verarbeitung sensibler Daten allgemein sowie das Profiling und Nachverfolgen oder Überwachen von Personen zu. In diesem Zusammenhang ist bemerkenswert, dass das höchste und das zweithöchste Bußgeld im öffentlichen und Bildungssektor auf die weitreichende und systematische Erhebung und Verarbeitung von personenbezogenen Daten (einschließlich sensibler Daten) von Bürgern, hauptsächlich zu statistischen Zwecken und zur Profilerstellung, zurückzuführen sind.
