Die Grundlage für die Verhängung der Strafe

Anfang Juli Vinted UAB , ein Unternehmen, das eine Plattform für den Verkauf gebrauchter Kleidung betreibt, mit einer Verwaltungsstrafe in Höhe von 2.300.000,00 € . Die Strafe wurde von der litauischen Aufsichtsbehörde verhängt. Das Verfahren wurde aufgrund von Beschwerden von Nutzern der Website eingeleitet.

Nutzer bemängelten, dass das Unternehmen ihre Rechte, insbesondere das Recht auf Auskunft über ihre personenbezogenen Daten und das Recht auf Löschung, nicht umsetzt. Zudem wurde das Unternehmen dafür kritisiert, dass es zwar behauptet, die Anmeldung auf der Plattform sei einfach und intuitiv, die Auszahlung von Geldern nach einem Kauf jedoch schwierig sei und die Plattform die Angabe zahlreicher zusätzlicher personenbezogener Daten, darunter eines Scans des Personalausweises, verlange.

Dieser Fall zeigt deutlich, dass selbst großen Unternehmen noch immer ein angemessenes Datenschutzkonzept fehlt. Die Nichtausübung von Betroffenenrechten zieht hohe Geldstrafen nach sich, d. h. bis zu 20 Millionen Euro oder, im Falle eines Unternehmens, bis zu 4 % seines weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist.

Rechte der betroffenen Person

Es sei darauf hingewiesen, dass Personen, deren Daten verarbeitet werden, folgende Rechte haben:

das Recht auf Information (Artikel 12 der DSGVO),
das Recht auf Zugang zu personenbezogenen Daten, einschließlich des Rechts, eine Kopie dieser Daten in maschinenlesbarer Form zu erhalten (Artikel 15 der DSGVO).
das Recht auf Berichtigung unrichtiger oder unvollständiger Daten, einschließlich deren Aktualisierung (Artikel 16 der DSGVO).
das Recht auf Löschung von Daten, wenn keine andere Rechtsgrundlage für die weitere Verarbeitung besteht (Artikel 17 der DSGVO).
das Recht auf Einschränkung der Datenverarbeitung (Artikel 18 der DSGVO),
das Recht auf Datenübertragbarkeit (Artikel 20 der DSGVO)
das Recht, der Datenverarbeitung zu widersprechen und das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden (Artikel 21 und 22 der DSGVO).

Die betroffenen Personen haben das Recht, darüber informiert zu werden, wie und zu welchen Zwecken ihre personenbezogenen Daten vom Verantwortlichen verarbeitet werden, und die Kontrolle darüber auszuüben. Der Verantwortliche muss technisch und organisatorisch in der Lage sein, jedes dieser Rechte umzusetzen.

Datenminimierungsprinzip

Es ist zu beachten, dass es dem Verantwortlichen untersagt ist, überflüssige Daten, sogenannte „Vorsichtsbenachrichtigungen“, oder Daten für die zukünftige Verwendung zu erheben. Personenbezogene Daten dürfen gemäß dem Grundsatz der Datenminimierung nur in dem Umfang erhoben werden, der zur Erreichung eines bestimmten Zwecks erforderlich ist. Das Scannen von Ausweisen beinhaltet primär die Verarbeitung zusätzlicher Daten, darunter Bild, Namen der Eltern, PESEL-Nummer und Dokumentennummer, die für die Geldüberweisung nicht erforderlich sind. Wird deren Vertraulichkeit beeinträchtigt, besteht ein hohes Risiko der Verletzung der Rechte und Freiheiten der betroffenen Person, insbesondere des Identitätsdiebstahls oder der Entstehung finanzieller Haftungsansprüche.

Gemäß dem „Datenschutz durch Technikgestaltung“ sollte der Verantwortliche seine Prozesse von Anfang an so gestalten, dass die Verarbeitung sicherer ist und die Privatsphäre der betroffenen Personen gewährleistet wird. Jede Verarbeitungstätigkeit muss zudem durch eine Rechtsgrundlage gemäß Artikel 6 DSGVO gestützt sein.

Risikobasierter Ansatz

Dieser Fall verdeutlicht, dass das Bewusstsein der Betroffenen für die Verarbeitung ihrer personenbezogenen Daten stetig wächst, was als positive Entwicklung zu werten ist. Sobald Betroffene Unregelmäßigkeiten bei der Verarbeitung ihrer Daten feststellen, melden sie diese der Aufsichtsbehörde. Für die Verantwortlichen bedeutet dies, dass sie ihre Verarbeitungsprozesse erneut prüfen und feststellen müssen, ob sie in irgendeiner Phase gegen die DSGVO verstoßen, gemäß dem Grundsatz des risikobasierten Ansatzes.

Dieser Artikel dient ausschließlich Informationszwecken und stellt keine Rechtsberatung dar.

Rechtsstatus ab dem 24. Juli 2024

Autor:

Reihenherausgeber:

Mateusz Grosicki

Rechtsanwalt, Partner
+48 506 367 109 | m.grosicki@kglegal.pl

Beitragsaufrufe: 53

Die Anwaltskanzlei Graś i Wspólnicy steht für Professionalität, Erfahrung und Unterstützung.

Vinted wurde wegen Nichteinhaltung der DSGVO mit einer hohen Geldstrafe belegt.

Die Grundlage für die Verhängung der Strafe

Rechte der betroffenen Person

Datenminimierungsprinzip

Risikobasierter Ansatz

Neueste Beiträge

Wird KOWR das Problem des Mangels an Baugrundstücken lösen?

Entwurf einer Änderung des Gesetzes über das Eigentum an Grundstücken

Sanktionen im KSeF

Der Grundsatz der Lohngleichheit im Arbeitsrecht – Anwendungsbereich, Bedeutung und rechtliche Konsequenzen

Kofinanzierung für die Registrierung von Marken und Geschmacksmustern

Unsere Zyklen

Anwaltskanzlei Warschau
Graś und Partner

Unsere Dienstleistungen

Speisekarte

Kontaktieren Sie uns!

Die Anwaltskanzlei Graś i Wspólnicy steht für Professionalität, Erfahrung und Unterstützung.

Vinted wurde wegen Nichteinhaltung der DSGVO mit einer hohen Geldstrafe belegt.

Die Grundlage für die Verhängung der Strafe

Rechte der betroffenen Person

Datenminimierungsprinzip

Risikobasierter Ansatz

Neueste Beiträge

Wird KOWR das Problem des Mangels an Baugrundstücken lösen?

Entwurf einer Änderung des Gesetzes über das Eigentum an Grundstücken

Sanktionen im KSeF

Der Grundsatz der Lohngleichheit im Arbeitsrecht – Anwendungsbereich, Bedeutung und rechtliche Konsequenzen

Kofinanzierung für die Registrierung von Marken und Geschmacksmustern

Unsere Zyklen

Wichtigste Themen

Anwaltskanzlei Warschau Graś und Partner

Unsere Dienstleistungen

Speisekarte

Kontaktieren Sie uns!

Anwaltskanzlei Warschau
Graś und Partner