Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Tyskland og Østrig sætter barren højt: GDPR-bøder på hhv. 14,5 og 18 millioner euro

Bech Bruun
12/11/2019
Tyskland og Østrig sætter barren højt: GDPR-bøder på hhv. 14,5 og 18 millioner euro
Bech Bruun logo
Siden maj 2018 har særligt GDPR’s bødeniveau været genstand for stor opmærksomhed. Senest har Østrigs og Berlins tilsynsmyndigheder bidraget med udstedelse af yderligere to bøder i millionklassen, der er retningsgivende for de andre datatilsyn i EU.

Den østrigske postvirksomhed Österreichische Post annoncerede den 29. oktober 2019, at virksomheden havde fået en bøde for overtrædelse af GDPR. Bøden blev givet for brug af kunders personoplysninger til at udlede hver enkelt kundes formodede politiske stemmeadfærd. Oplysningerne om formodet stemmeadfærd anvendte Österreichische Post til at tilbyde politiske partier markedsføring, ligesom oplysningerne blev solgt til politiske partier med henblik på direkte målrettet markedsføring. Bøden blev derudover givet for manglende hjemmel til behandling af oplysninger om, hvor ofte pakker blev leveret til hver enkelt adresse, og hvor ofte kunder skiftede adresse. De to overtrædelser resulterede i en bøde på i alt 18 millioner euro.

GDPR indeholder i artikel 5 et krav om, at al behandling af personoplysninger skal være lovlig. Det indebærer, at der skal være et korrekt behandlingsgrundlag. Dette gælder også, når personoplysninger videregives, fx ved salg. Österreichische Post har dog ikke offentliggjort, hvilke konkrete databeskyttelsesretlige bestemmelser virksomheden har overtrådt, og som dermed danner grundlag for beregning af bødens størrelse.

Österreichische Post forventer at indbringe afgørelsen for domstolene, og derfor er den udstedte bøde ikke endelig.

Datatilsynsmyndigheden i Berlin offentligjorde den 5. november 2019, at ejendomsmæglerfirmaet Deutsche Wohnen var blevet idømt en bøde på 14,5 millioner euro for overtrædelse af GDPR. Overtrædelsen bestod i, at Deutsche Wohnen opbevarede personoplysninger om lejere i form af bl.a. lønsedler, ansættelseskontrakter, skatteoplysninger, oplysninger om sociale forhold, kontoudskrifter og sundhedsforsikring i et arkivsystem, hvor det ikke var muligt at slette oplysningerne. Tilsynsmyndigheden bemærkede, at Deutsche Wohnen i forbindelse med et tilsynsbesøg i 2017 var blevet opmærksom på, at det pågældende system ikke gjorde det muligt at slette oplysningerne. Da Deutsche Wohnen på trods heraf ved tilsynsbesøget i 2019 fortsat ikke havde sikret, at systemet indeholdt en slettefunktion, havde Deutsche Wohnen bevidst overtrådt de databeskyttelsesretlige regler.

Bøden til Deutsche Wohnen blev konkret udstedt for overtrædelse af databeskyttelsesforordningens artikel 5 og artikel 25. Databeskyttelsesforordningens artikel 5 indeholder et princip om dataminimering, der blandt andet indebærer, at dataansvarlige er forpligtet til at slette personoplysninger, når de ikke længere er nødvendige til opfyldelsen af det formål, oplysningerne blev indsamlet til. Dette princip om dataminimering havde Deutsche Wohnen ikke overholdt, idet den manglende slettefunktion i det berørte arkivsystem medførte, at personoplysninger blev opbevaret længere end nødvendigt.

Samtidig pålægger databeskyttelsesforordningens artikel 25 dataansvarlige at sikre databeskyttelse gennem design og standardindstillinger. Idet Deutsche Wohnens arkivsystem ikke muliggjorde overholdelse af databeskyttelsesforordningens princip om dataminimering, overholdte ejendomsmæglerfirmaet ikke kravet om databeskyttelse gennem design.

Databeskyttelsesforordningen giver mulighed for udstedelse af en bøde på op til 4% af virksomhedens omsætning, når de grundlæggende principper i databeskyttelsesforordningens artikel 5 er overtrådt. Den maksimale bødestørrelse for Deutsche Wohnen, der i 2018 havde en samlet omsætning på mere end én milliard euro, var på omkring 28 millioner euro. Tilsynsmyndigheden tillagde det dog vægt, at Deutsche Wohnen havde taget skridt til at foretage de nødvendige ændringer i det berørte arkivsystem, samt at ejendomsmæglerfirmaet havde udvist samarbejdsvillighed. På den baggrund fastsatte tilsynsmyndigheden bøden skønsmæssigt til 14,5 millioner euro.


Bech-Bruuns kommentarer


De to bøder fra hhv. Østrig og Tyskland understreger, at det – udover et betydeligt omdømmetab – kan være dyrt ikke at overholde GDPR, også selvom en overtrædelse ikke i sig selv kan karakteriseres som grov, eller der ikke er lidt et egentligt tab som følge af overtrædelsen. For så vidt angår afgørelsen fra det tyske datatilsyn, er det særlig interessant, at bøden er beregnet på grundlag af en nylig offentliggjort tysk bødeberegningsmodel (for bøder under GDPR), som potentielt medfører et meget højt bødeniveau. Fremadrettet bliver det derfor spændende at se, om andre datatilsyn vil lade sig inspirere af eller anvende tilsvarende beregningsmodeller.

Hvis du ønsker vores bistand til gennemførelse af et mock-up tilsyn, hvor din organisations complianceniveau bliver efterprøvet og risiko vurderet,  eller rådgivning i øvrigt om GDPR, er du naturligvis velkommen til at kontakte os.

 

 

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
Hvornår har I sidst ført tilsyn med jeres databehandlere?
Hvornår har I sidst ført tilsyn med jeres databehandlere?
20/02/2024
Persondata
Implementeringen af NIS2-direktivet bliver forsinket
Implementeringen af NIS2-direktivet bliver forsinket
20/02/2024
Compliance, EU-ret, Persondata
Manglende open source policy udgør en risiko for softwarevirksomheder
Manglende open source policy udgør en risiko for softwarevirksomheder
01/03/2024
Persondata, Compliance, IT- og telekommunikation
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
AI Act vedtaget af Europa-Parlamentet
AI Act vedtaget af Europa-Parlamentet
22/03/2024
Persondata, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted