Ausgespäht und abgespeichert

Unwirksame Anonymisierung, kein DSB, Unterauftragnehmer ohne Erlaubnis | 200.000 Euro

Das Unternehmen Amiu s.p.a. betreibt die Müllabfuhr für die Gemeinde Tarent in Italien, das Unternehmen gehört der Geminde zu 100%. Um gegen illegale Müllentsorgung vorzugehen und die Täter zu überführen, installierte die Amiu mit Genehmigung der Gemeinde an ausgewählten Orten Videoüberwachungskameras.

Einige der so entstandenen Aufnahmen wurden von Amiu auch auf Facebook veröffentlicht, um die Medienwirkung der Überwachung zu verstärken und abschreckend zu wirken. Die Fotos und Videos wurden zuvor jeweils bearbeitet, um die Identifikation von Personen zu verhindern, in einigen Fällen waren Personen aber dennoch erkennbar. Amiu führte dies auf einen Fehler des Mitarbeiters zurück, der für die Anonymisierung zuständig war.

Die italienische Datenschutzbehörde stellte fest, dass die Veröffentlichung auf Facebook den Grundsatz der Zweckbindung verletzte, da der Zweck der Aufnahmen ausschließlich die Bekämpfung illegaler Müllentsorgung war. Die weitere Verarbeitung, welche eine abschreckende Wirkung durch die Überwachung fördern sollte, war nicht mehr durch diesen Zweck gedeckt.

Die Behörde stellte bei ihrer Untersuchung auch fest, dass der Bußgeldempfänger keinen Datenschutzbeauftragten benannt hatte und zudem die ITS s.r.l. als Subunternehmen ohne Autorisierung der Gemeinde beauftragt hatte.

Gegen die Amiu s.p.a. wurde daher ein Bußgeld von 200.000 Euro erlassen, welches durch Zahlung einer Summe von 100.000 Euro innerhalb von 30 Tagen, als ausgeglichen gilt. In einem separaten Verfahren wurde gegen die Gemeinde Tarent ein Bußgeld in Höhe von 150.000 EUR verhängt.

Sanktionsadressat
Amiu s.p.a.

Bußgeld
200.000 Euro

Verletzte Rechtsnorm

Art. 5 DSGVO
Art. 6 DSGVO
Art. 28 DSGVO
Art. 37 DSGVO

 

Matthias A. Walter, http://www.tec4net.com

EDV-Sachverständiger und Datenschutzauditor

————————————————————————————————————————-

Quellen und Links:

Datenschutzbehörde: Italien – Garante per la protezione dei dati personali
https://www.gpdp.it/web/guest/home/docweb/-/docweb-display/docweb/9777996

tec4net – Datenschutz und IT-Sicherheit praktikabel umsetzen
Wir beraten und auditieren DSGVO und BDSG sowie die Normen ISO/IEC 27001, TISAX und PCI-DSS.