Das Bußgeld wurde 2022 von der schwedischen Datenschutzbehörde (IMY) gegen Klarna verhängt (7.500.000,00 SEK). Klarna ist ein Finanzunternehmen, das personenbezogene Daten über viele Menschen und auf viele verschiedene Arten verarbeitet. Die schwedische Behörde befand die Informationen für die Betroffenen, wie das Unternehmen personenbezogene Daten verarbeitet, für unzulänglich.
Bußgeldrelevant waren folgende Verletzungen der Informationspflichten:
- Keine Angaben darüber, zu welchem Zweck und auf welcher Rechtsgrundlage personenbezogene Daten in einem der Dienste des Unternehmens verarbeitet wurden.
- Unvollständige und irreführende Angaben darüber, wer die Empfänger der verschiedenen Kategorien personenbezogener Daten waren, wenn Daten an schwedische und ausländische Kreditinformationsunternehmen weitergegeben wurden.
- Klarna informierte nicht darüber, in welche Länder außerhalb der EU/des EWR personenbezogene Daten übermittelt wurden oder wo und wie Einzelpersonen Informationen über die für die Übermittlung in Drittländer geltenden Garantien erhalten konnten.
- Außerdem wurden unvollständige Informationen über die Rechte der Betroffenen bereitgestellt.
Die schwedische Behörde hat damit Verstöße gegen folgende DSGVO-Artikel sanktioniert:
- Art. 5 (1) a und Art. 5 (2) Prinzipien der „Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“
- Art. 12 (1) Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
- Art. 13 Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
Was sollten Sie nun tun bzw. prüfen?
Wenn Sie als Unternehmen oder Organisation Daten von natürlichen Personen verarbeiten (gem. Art. 4 Punkt 2 DSGVO) sind Sie in der Pflicht, den Betroffenen entsprechende Informationen leicht zugänglich zu machen, in denen Sie in einfacher Sprache u.a. darüber aufklären zu welchem Zweck und auf welcher Rechtsgrundlage Sie die Daten verarbeiten. In den Art. 13 und 14 DSGVO sind alle Punkte genannt, die Sie in Ihren Informationen berücksichtigen müssen. Hier finden Sie Beispiele, wie wir das gelöst haben: https://mb-datenschutz.de/dse/.