Datatilsynet verhängt 496.746 Euro Bußgeld gegen Ferde AS
Norwegen: Durch einen Bericht im öffentlich-rechtlichen, norwegischen Rundfunk NRK wurde die norwegische Datenschutzbehörde darauf aufmerksam, dass das Mautunternehmen Ferde AS Informationen zu Durchfahrten von Mautstationen im Rahmen der Tätigkeit eines Auftragsverarbeiters nach China, d.h. in ein unsicheres Drittland, übermittelt.
Ferde ist für die Registrierung von Durchfahrten an Mautstellen zuständig. Wenn Autos, die die Mautstationen von Ferde passieren, über keinen oder einen nicht richtig registrierten Chip verfügen, mit dem die Durchfahrt normalerweise erfasst wird, wird ein Foto vom Kennzeichen des Autos gemacht. Diese Fotos werden dann mittels automatisierter Software ausgewertet. In Fällen, in denen die Bildqualität nicht gut genug für eine automatisierte Auswertung ist, werden die Bilder manuell ausgewertet. Dafür hatte Ferde das Unternehmen Unitel Bratseth Services (UBS) beauftragt, welches über Mitarbeiter in China verfügte, die über das Internet Zugriff auf die Bilder erhielten.
Vor diesem Hintergrund leitete die Datenschutzbehörde ein Aufsichtsverfahren ein, bei dem es um die Frage ging, ob Ferde Routinen und Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus für die nach China übermittelten Daten implementiert hatte. Für den Untersuchungszeitraum September 2017 bis Oktober 2019 stellte die Behörde dabei mehrere Datenschutzverstöße aufseiten des Bußgeldempfängers fest.
So hatte Ferde im Vorfeld keine Analyse durchgeführt, um die mit der Übermittlung einhergehenden Risiken für die Betroffenen zu identifizieren, und außerdem seine Pflicht verletzt, technische und organisatorische Maßnahmen umzusetzen, um ein dem Risiko angemessenes Sicherheitsniveau zu gewährleisten. In diesem Zusammenhang stellte die Behörde einen Verstoß gegen das Prinzip der Integrität und Vertraulichkeit fest.
Des Weiteren hatte Ferde die von UBS vorgenommene Übermittlung nach China nicht ordnungsgemäß vertraglich geregelt. Nach Auffassung der Behörde fehlte dafür entsprechend eine Rechtsgrundlage. Da Ferde im Laufe der Untersuchung nicht in der Lage war, die Rechtmäßigkeit dieser Verarbeitung nachzuweisen, stellte die Behörde folglich eine Verletzung der Rechenschaftspflicht des Unternehmens fest.
Bei der Festsetzung der Bußgeldhöhe wurde erschwerend berücksichtigt, dass eine Vielzahl von Personen und ein großer Umfang personenbezogener Daten vom Verstoß betroffen war – geschätzt wurden jährlich über 2,5 Mio. Bilder zur manuellen Auswertung an UBS übermittelt. Mildernd wirkte sich hingegen aus, dass nach Kenntnis der Behörde keiner der Betroffenen materiellen oder immateriellen Schaden erlitten hatte. .
Veröffentlicht am: 28-09-2021
Quelle von dsgvo-portal.de
Globeria Mannschaft
Die Globeria Mannschaft ist ein engagiertes Team von Technologie- und Datenschutzexperten, spezialisiert auf die neuesten Entwicklungen in der künstlichen Intelligenz und der Datenschutz-Grundverordnung (DSGVO). Mit umfassender Erfahrung und Fachwissen bieten sie tiefgehende Analysen, praktische Ratschläge und strategische Empfehlungen, um Unternehmen und Einzelpersonen bei der Navigation durch die komplexen DSGVO-Bestimmungen zu unterstützen. Die Globeria Mannschaft hilft Unternehmen auch bei der Ernennung externer Datenschutzbeauftragter, um die Einhaltung der DSGVO sicherzustellen.