Portugal: 4,3 Mio. € Bußgeld wegen Verstößen im Rahmen der Volkszählung 2021
In Portugal hat die im Rahmen der EU durchgeführte Volkszählung bereits 2021 stattgefunden. Durchgeführt wurde sie durch das nationale Institut für Statistik (INE).
Wegen zahlreichen Verstößen, welche im Rahmen der Volkszählung begangen wurden, verhängte die Comissão Nacional de Proteção de Dados CNPD – (Nationale Kommission für Datenschutz) gegen INE ein Bußgeld in Höhe von 4,3 Millionen Euro. In einer Veröffentlichung vom 12.12.2022 teilt die Datenschutz-Aufsichtsbehörde mit:„Die CNPD ist zu dem Schluss gekommen, dass das Nationale Statistische Amt im Zusammenhang mit der Volkszählung 2021 fünf Ordnungswidrigkeiten wegen Verstößen gegen die Datenschutz-Grundverordnung begangen hat, und hat eine einzige Geldbuße in Höhe von 4,3 Millionen Euro verhängt.“
Die CNPD stellte fest, „dass das Nationale Institut für Statistik (INE)
- unrechtmäßig personenbezogene Daten über Gesundheit und Religion verarbeitete,
- seinen Pflichten zur Information der Befragten über den Fragebogen für die Volkszählung 2021 nicht nachkam,
- die Sorgfaltspflicht bei der Auswahl des Unterauftragnehmers verletzte,
- gegen die gesetzlichen Bestimmungen über die internationale Datenübermittlung verstieß und
- der Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung für die Volkszählung nicht nachkam.
In Bezug auf die speziellen Daten über Gesundheit und Religion kam der CNPD zu dem Schluss, dass die Tatsache, dass das portugiesische Statistikamt keine klaren und vollständigen Informationen über den fakultativen Charakter der Bereitstellung dieser Daten durch die Bürger bereitstellte, entgegen der gesetzlichen Verpflichtung in Artikel 4 Absatz 4 des Gesetzes über die nationale statistische Geheimhaltung, das Verständnis der Befragten, dass die Fragen 29.3 bis 29.6 und 30 des Fragebogens fakultativ waren, beeinträchtigte. Damit war es den Bürgern nicht möglich, ihren Willen zu äußern, was eine wesentliche Voraussetzung für die Rechtmäßigkeit der Verarbeitung dieser besonderen Datenkategorien ist.
Die CNPD vertrat auch die Ansicht, dass die Sorgfaltspflicht bei der Auswahl des Auftragsverarbeiters nicht eingehalten wurde, da die Überprüfung der Anforderungen von Artikel 28 Absatz 3 der Datenschutz-Grundverordnung inhaltlich und nicht formell sein sollte und sich nicht auf die Auswahl von Standardklauseln beschränken sollte. In diesem Fall wurde der Vertrag trotz der Existenz einer Niederlassung des Unternehmens in Lissabon mit dem in den USA ansässigen Unternehmen geschlossen, und es wurde vertraglich festgelegt, dass das Gericht von Kalifornien für die Beilegung von Streitigkeiten zwischen der NSA und Cloudflare, Inc. zuständig ist.
Der Vertrag erlaubt auch die Übermittlung personenbezogener Daten über einen der 200 Server des Unternehmens, wobei die Parteien davon ausgehen, dass die Daten außerhalb des Europäischen Wirtschaftsraums verarbeitet werden können. Der Vertrag enthält auch die von der Europäischen Kommission genehmigten Standardvertragsklauseln für die Übermittlung personenbezogener Daten in die USA, ohne zusätzliche Maßnahmen vorzusehen, die den Zugriff auf die Daten durch staatliche Stellen des Drittlandes im Einklang mit dem Schrems-II-Urteil des Gerichtshofs der Europäischen Union verhindern. Daher kam die CNPD auch zu dem Schluss, dass Statistics Portugal im Hinblick auf internationale Datenübermittlungen gegen Artikel 44 und 46 Absatz 2 der Datenschutz-Grundverordnung verstoßen hat…“ Übersetzt mit www.DeepL.com/Translator