Newsletter

Bußgeld wegen illegaler Datenweitergabe

Der Umgang mit personenbezogenen Daten erfordert ein erhöhtes Maß an Sorgfalt und Verantwortungsbewusstsein. Dies gilt in besonderem Maße für Einrichtungen, die mit Kindern und Jugendlichen arbeiten und dabei Gesundheits- und Sozialdaten verarbeiten. Ein aktueller Fall aus Griechenland verdeutlicht die Folgen, wenn datenschutzrechtliche Grundsätze nicht eingehalten werden. Die griechische Datenschutzaufsichtsbehörde (Hellenic Data Protection Authority) verhängte am 24.06.2025 gegen eine Vereinigung, die therapeutische Leistungen für Kinder mit Autismus-Spektrum-Störungen anbietet, ein Bußgeld wegen illegaler Datenweitergabe, Missachtung des Auskunftsrechts und mangelnder Kooperation mit der Datenschutzbehörde.  

Weiterlesen: Bußgeld wegen illegaler Datenweitergabe

Hintergrund des Falls

Ausgangspunkt war eine Beschwerde von Eltern eines minderjährigen Kindes mit Autismus-Spektrum-Störung. Sie machten geltend, dass die Vereinigung „Shield of David“ ihrem Auskunftsersuchen nach Art. 15 Datenschutzgrundverordnung (DSGVO) nicht nachgekommen sei. Die Eltern wollten Einsicht in Videoaufzeichnungen erhalten, auf denen ihr Kind erkennbar war. Statt die Anfrage zu bearbeiten, soll die Einrichtung die Erfüllung dieses Betroffenenrechts verweigert haben.

Die Vereinigung soll darüber hinaus Daten des Kindes an ein Unternehmen weitergegeben haben. Eine Einwilligung hierüber sowie eine vorherige Unterrichtung soll nicht stattgefunden haben. Dabei handele es sich nicht nur um allgemeine Informationen, sondern um besonders schützenswerte Gesundheitsdaten im Sinne von Art. 9 DSGVO, etwa den therapeutischen Behandlungsplan, einen ärztlichen Bericht sowie eine detaillierte Sozialanamnese, die bei der Aufnahme des Kindes erhoben wurde. Zusätzlich sei eine familienrechtliche Gerichtsentscheidung in großem Umfang an Dritte übermittelt worden.

Rechtliche Bewertung der Aufsichtsbehörde

Die griechische Aufsicht stellte in ihrer Entscheidung (abrufbar hier) gleich mehrere Datenschutzverstöße fest. Zunächst sah sie eine Verletzung der Grundsätze aus Art. 5 Abs. 1 DSGVO. Personenbezogene Daten dürfen nur rechtmäßig, nach Treu und Glauben sowie in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden. Die Weitergabe der Gerichtsentscheidung verstoße gegen diesen Grundsatz.

Darüber hinaus liege ein Verstoß gegen die Betroffenenrechte nach Art. 12 Abs. 2 und Art. 15 DSGVO vor. Hiernach ist der Verantwortliche verpflichtet, den Zugang zu den personenbezogenen Daten zu ermöglichen und hierüber Auskunft geben. Die Verweigerung der Herausgabe von Videomaterial verletzte diese Rechte.

Auch die Transparenzpflichten aus Art. 13 DSGVO seien missachtet worden, da die Eltern vor der Weitergabe der Daten weder informiert noch um Zustimmung gebeten worden seien. Gleichzeitig habe es die Einrichtung versäumte, interne Maßnahmen im Sinne von Art. 24 DSGVO zu etablieren, die eine rechtskonforme Verarbeitung sichergestellt hätten.

Schließlich sei auch Art. 31 DSGVO verletzt worden. Die Aufsicht stellte fest, dass die Vereinigung nicht in der gebotenen Weise mit ihr kooperiert habe.

Verhängte Sanktionen

Die Aufsichtsbehörde entschied sich für ein gestuftes Vorgehen und verhängte mehrere Einzelbußgelder, die sich zu einer Gesamtsumme von 10.000 Euro addierten. Konkret wurden folgende Verstöße sanktioniert:

  • 3.000 Euro wegen der Weigerung, das Auskunftsrecht zu gewähren,
  • 3.000 Euro wegen der unzulässigen Weitergabe besonders schützenswerter personenbezogener Daten ohne vorherige Information,
  • 3.000 Euro wegen der umfangreichen Übermittlung der familiengerichtlichen Entscheidung,
  • 1.000 Euro wegen mangelnder Kooperation mit der Aufsicht.

Praktische Implikationen für Unternehmen

Der Fall verdeutlicht die besondere Schutzwürdigkeit von Gesundheits- und Sozialdaten. Art. 9 DSGVO stuft diese Informationen als „besondere Kategorien personenbezogener Daten“ ein, deren Verarbeitung grundsätzlich untersagt ist, es sei denn, es liegt eine klare Rechtsgrundlage vor.

Hinzu kommt die besondere Schutzbedürftigkeit von Kindern. Nach Erwägungsgrund 38 DSGVO sind sie in Bezug auf ihre personenbezogenen Daten besonders vulnerabel. Das verpflichtet Verantwortliche zu noch strengeren Vorkehrungen, um Missbrauch und unrechtmäßige Offenlegung zu verhindern. Die unbefugte Weitergabe einer Sozialanamnese und medizinischer Informationen wie im vorliegenden Fall ist in dieser Kombination damit ein besonders schwerwiegender Eingriff.

Fazit

Das Bußgeld wegen illegaler Datenweitergabe und mangelnder Kooperation ist ein deutliches Mahnzeichen für alle Organisationen, die mit Gesundheits- und Sozialdaten arbeiten. Die Missachtung grundlegender Datenschutzpflichten kann zu erhöhten Geldbußen führen. Besonders Einrichtungen, die mit Kindern und Jugendlichen arbeiten, können es sich nicht leisten, Transparenz, Informationspflichten und Betroffenenrechte zu vernachlässigen. Nur so lässt sich das Risiko von Sanktionen und Reputationsschäden nachhaltig minimieren.

Das könnte Sie auch interessieren..

Im Trend

Signal warnt: KI-Agenten bedrohen Datenschutz und Cybersicherheit
Signal warnt: KI-Agenten bedrohen Datenschutz und Cybersicherheit
Cybersicherheit: BSI warnt vor Bias in der Künstlichen Intelligenz
Cybersicherheit: BSI warnt vor Bias in der Künstlichen Intelligenz
Palantir: Übermittlung in die USA technisch ausgeschlossen
Data Act: Standardvertragsklauseln für Cloud Switching & Exit
Data Act: Standardvertragsklauseln für Cloud Switching & Exit