Die maltesische Datenschutzbehörde (IDPC) verhängte im Zuge einer Beschwerde des Datenschutzunternehmens von Max Schrems (noyb) eine Geldstrafe von 65.000 Euro gegen das IT-Unternehmen C-Planet. Wir klären auf.

Das betroffene IT-Unternehmen “C-Planet” hatte im Zuge der Wahlen in Malta von rund 98% aller maltesischen Wähler unrechtmäßig und nicht DSGVO-konform Daten gesammelt. Zudem hatte das Unternehmen im Zuge dessen keinen Schutz der Daten sichergestellt. Die betroffenen Nutzer und die zuständige Datenschutzbehörde wurde über den mangelnden Datenschutz nicht informiert.  

Download: Entscheidung des IDPC gegen C-PLANET

Welche Daten wurden erfasst?

Die von C-Planet illegal gesammelten Daten umfassten Telefonnummern, Geburtsdaten, Wahlabsichten und politische Präferenzen von über 330.000 betroffenen Personen also 98% aller maltesischen Wähler, die an den Wahlen partizipierten. 

Verarbeitung der Daten ohne gültige Rechtsgrundlage 

Vorliegend wurden anhand von Feststellungen der IDPC bestätigt, dass die Verarbeitung der erhobenen Daten ohne eine gültige Rechtsgrundlage gemäß Artikel 6 und 9 der DSGVO erfolgt sind. Die numerische Kennung der jeweiligen Positionen in C-Planets Datenbank bezog sich auf die politischen Meinungen der betroffenen Personen. Solche sensible Daten dürfen nur unter besonderen Umständen verarbeitet werden. Zum Beispiel bedarf es gem. Art.9(2)(a) der DSGVO einer ausdrücklichen Einwilligung, dass solche hoch sensiblen Daten überhaupt verarbeitet werden dürfen. 

Datenquelle unbekannt

Das Unternehmen C-Planet widerlegte die Anschuldigungen und argumentierte, dass die Daten ihnen von einem ihrer Kunden zugespielt worden. Die Beweislage ist hinsichtlich der Datenquelle unklar, da der betroffene Kunde die Schuld von sich wies und der Name des Kunden in der Entscheidung des IDPC geschwärzt wurde. Die Datenquelle ist somit unübersichtlich und nicht eindeutig zu identifizieren.  

„Es ist besorgniserregend, dass wir weiterhin nicht wissen, wie und warum ein IT-Unternehmen diese Art von Daten sammelt und speichert. Es gibt keine Garantie dafür, dass so etwas nicht wieder passiert”, so Romain Robert, Programmdirektor bei noyb. 

Schuldhafte Fahrlässigkeit

Dem Unternehmen C-Planet ist schuldhafte Fahrlässigkeit vorzuwerfen, denn C-Planet hatte es laut IDPC versäumt, dem Risiko einer Datenschutzverletzung entgegenzuwirken und provisorische Maßnahmen zu ergreifen, die zum Schutze der Daten gedient hätte. Mangels eines angemessenen Datenschutzes wurde kausal eine Datenpanne herbeigeführt, die zudem den betroffenen Parteien sowie der Datenschutzbehörde nicht berichtet wurde. 

Geldstrafe von 65.000 €

Unter den oben erwähnten Gesichtspunkten wurde C-Planet zu einer Geldstrafe von 65.000 Euro verurteilt. Die Strafe wurde vor allem daran bemessen, dass der Eingriff in die Daten der Betroffenen und der mangelnde Datenschutz schwerwiegende Folgen mit sich zog. Dem Unternehmen wurde durch die Behörde außerdem angeordnet, dass C-Planet alle unrechtmäßig verarbeiteten personenbezogenen Daten zwingend löschen muss. Eine Sammelklage gegen C-Planet ist bereits eingegangen und befindet sich gerade vor den Gerichten. 

„Dieser Fall zeigt, wie wichtig der Datenschutz für die Demokratie und die Freiheitsrechte der Menschen ist. Das Sammeln und Verarbeiten von Wahlabsichten der Bevölkerung ist nicht nur illegal, sondern auch gefährlich, besonders in Zeiten, in denen politische Manipulationen im Internet ein heißes Thema sind”, beurteilt  Romain Robert, Programmdirektor bei noyb.

Beitragsbild: geralt auf pixabay