Tyskland og Østrig sætter barren højt: GDPR-bøder på hhv. 14,5 og 18 millioner euro

Siden maj 2018 har særligt GDPR’s bødeniveau været genstand for stor opmærksomhed. Senest har Østrigs og Berlins tilsynsmyndigheder bidraget med udstedelse af yderligere to bøder i millionklassen, der er retningsgivende for de andre datatilsyn i EU.

Den østrigske postvirksomhed Österreichische Post annoncerede den 29. oktober 2019, at virksomheden havde fået en bøde for overtrædelse af GDPR. Bøden blev givet for brug af kunders personoplysninger til at udlede hver enkelt kundes formodede politiske stemmeadfærd. Oplysningerne om formodet stemmeadfærd anvendte Österreichische Post til at tilbyde politiske partier markedsføring, ligesom oplysningerne blev solgt til politiske partier med henblik på direkte målrettet markedsføring. Bøden blev derudover givet for manglende hjemmel til behandling af oplysninger om, hvor ofte pakker blev leveret til hver enkelt adresse, og hvor ofte kunder skiftede adresse. De to overtrædelser resulterede i en bøde på i alt 18 millioner euro.

GDPR indeholder i artikel 5 et krav om, at al behandling af personoplysninger skal være lovlig. Det indebærer, at der skal være et korrekt behandlingsgrundlag. Dette gælder også, når personoplysninger videregives, fx ved salg. Österreichische Post har dog ikke offentliggjort, hvilke konkrete databeskyttelsesretlige bestemmelser virksomheden har overtrådt, og som dermed danner grundlag for beregning af bødens størrelse.

Österreichische Post forventer at indbringe afgørelsen for domstolene, og derfor er den udstedte bøde ikke endelig.

Datatilsynsmyndigheden i Berlin offentligjorde den 5. november 2019, at ejendomsmæglerfirmaet Deutsche Wohnen var blevet idømt en bøde på 14,5 millioner euro for overtrædelse af GDPR. Overtrædelsen bestod i, at Deutsche Wohnen opbevarede personoplysninger om lejere i form af bl.a. lønsedler, ansættelseskontrakter, skatteoplysninger, oplysninger om sociale forhold, kontoudskrifter og sundhedsforsikring i et arkivsystem, hvor det ikke var muligt at slette oplysningerne. Tilsynsmyndigheden bemærkede, at Deutsche Wohnen i forbindelse med et tilsynsbesøg i 2017 var blevet opmærksom på, at det pågældende system ikke gjorde det muligt at slette oplysningerne. Da Deutsche Wohnen på trods heraf ved tilsynsbesøget i 2019 fortsat ikke havde sikret, at systemet indeholdt en slettefunktion, havde Deutsche Wohnen bevidst overtrådt de databeskyttelsesretlige regler.

Bøden til Deutsche Wohnen blev konkret udstedt for overtrædelse af databeskyttelsesforordningens artikel 5 og artikel 25. Databeskyttelsesforordningens artikel 5 indeholder et princip om dataminimering, der blandt andet indebærer, at dataansvarlige er forpligtet til at slette personoplysninger, når de ikke længere er nødvendige til opfyldelsen af det formål, oplysningerne blev indsamlet til. Dette princip om dataminimering havde Deutsche Wohnen ikke overholdt, idet den manglende slettefunktion i det berørte arkivsystem medførte, at personoplysninger blev opbevaret længere end nødvendigt.

Samtidig pålægger databeskyttelsesforordningens artikel 25 dataansvarlige at sikre databeskyttelse gennem design og standardindstillinger. Idet Deutsche Wohnens arkivsystem ikke muliggjorde overholdelse af databeskyttelsesforordningens princip om dataminimering, overholdte ejendomsmæglerfirmaet ikke kravet om databeskyttelse gennem design.

Databeskyttelsesforordningen giver mulighed for udstedelse af en bøde på op til 4% af virksomhedens omsætning, når de grundlæggende principper i databeskyttelsesforordningens artikel 5 er overtrådt. Den maksimale bødestørrelse for Deutsche Wohnen, der i 2018 havde en samlet omsætning på mere end én milliard euro, var på omkring 28 millioner euro. Tilsynsmyndigheden tillagde det dog vægt, at Deutsche Wohnen havde taget skridt til at foretage de nødvendige ændringer i det berørte arkivsystem, samt at ejendomsmæglerfirmaet havde udvist samarbejdsvillighed. På den baggrund fastsatte tilsynsmyndigheden bøden skønsmæssigt til 14,5 millioner euro.


Bech-Bruuns kommentarer

De to bøder fra hhv. Østrig og Tyskland understreger, at det – udover et betydeligt omdømmetab – kan være dyrt ikke at overholde GDPR, også selvom en overtrædelse ikke i sig selv kan karakteriseres som grov, eller der ikke er lidt et egentligt tab som følge af overtrædelsen. For så vidt angår afgørelsen fra det tyske datatilsyn, er det særlig interessant, at bøden er beregnet på grundlag af en nylig offentliggjort tysk bødeberegningsmodel (for bøder under GDPR), som potentielt medfører et meget højt bødeniveau. Fremadrettet bliver det derfor spændende at se, om andre datatilsyn vil lade sig inspirere af eller anvende tilsvarende beregningsmodeller.

Hvis du ønsker vores bistand til gennemførelse af et mock-up tilsyn, hvor din organisations complianceniveau bliver efterprøvet og risiko vurderet,  eller rådgivning i øvrigt om GDPR, er du naturligvis velkommen til at kontakte os.