Laut der Entscheidung des CNPD geht es um Verstöße des INE bei der Behandlung besonderer Kategorien personenbezogener Daten, bei der Informationspflicht gegenüber den Betroffenen und bei den Regeln für die Beauftragung eines Unternehmens mit der Verwaltung der in den Volkszählungen erhobenen Daten.

Verstöße wurden auch in Bezug auf das Vorgehen des Instituts bei der Datenübermittlung an Drittländer und das Versäumnis, eine Folgenabschätzung für personenbezogene Daten durchzuführen, festgestellt.

Die Kommission geht davon aus, dass das Vorgehen des INE die Praxis von fünf Verstößen widerspiegelt, die in der RGPD "vorgesehen sind und geahndet werden", und betont, dass die Verstöße "angesichts der Zahl der betroffenen Personen (...), des Kontextes, in dem sie begangen wurden, insbesondere der obligatorischen Reaktion auf die Volkszählung 2021 und der Überzeugung, dass sie obligatorisch waren, einen erheblichen Schweregrad annehmen".

In der Entscheidung des CNPD wird der für die Durchführung der Volkszählungen verantwortlichen Stelle eine "fahrlässige Handlung" vorgeworfen, da sie gegen die Transparenz- und Sorgfaltspflicht verstoßen habe, da die betroffenen Personen nicht über die betreffende Tätigkeit (Durchführung der Volkszählungen) informiert worden seien.

Das CNPD ist außerdem der Ansicht, dass das INE böswillig gehandelt hat, indem es sich nicht bei dem Unternehmen, das die personenbezogenen Daten sammeln und verwalten soll, vergewissert hat, dass es die Daten nicht an Drittländer weitergibt.

Daher kam sie zu dem Schluss, dass zwei Ordnungswidrigkeiten auf Fahrlässigkeit zurückzuführen sind und drei weitere vorsätzlich begangen wurden.

"Möglicher Betrug"

"Das INE kannte und konnte die Verbindlichkeit seiner Verpflichtungen nicht übersehen und war mit der Möglichkeit zufrieden, die ihm vorgeworfenen Handlungen auszuführen, weshalb sie der Beklagten als möglicher Betrug angelastet werden", heißt es in der Urteilsbegründung des Gremiums vom 02. November 2022.

Nach Ansicht der Kommission hat das INE "die in der GPDR vorgesehenen Grundsätze und Verpflichtungen missachtet, indem es sich auf die Intervention der Aufsichtsbehörde [CNPD] verlassen hat, anstatt die Initiative zu ergreifen, um sicherzustellen, dass die Volkszählung im Einklang mit dieser Regelung steht".

Die fünf Verstöße führten zu fünf Geldbußen in Höhe von 6,5 Millionen Euro.

Nachdem das Gremium jedoch ein "hohes Maß an Zensur des Verhaltens des Angeklagten" und die Notwendigkeit einer "Sanktion, die das hohe Maß an Zensur dieses Verhaltens widerspiegelt" erkannt hatte, stellte es schließlich fest, dass das INE keine Verstöße zu verzeichnen hatte, und verhängte eine einzige Geldstrafe in Höhe von 4,3 Mio. EUR.

Die Durchführung der Volkszählungen 2021 war umstritten, nachdem der Vertrag mit dem Unternehmen Cloudflare, das für die Sicherheit der Website, auf der die Antworten auf die Volkszählungen gesammelt wurden, verantwortlich war, die Übermittlung personenbezogener Daten in die Vereinigten Staaten von Amerika oder andere Länder vorsah.

Die Nationale Datenschutzkommission forderte daraufhin die Aussetzung jeglicher Übermittlung personenbezogener Daten, woraufhin das INE den Vertrag mit dem Unternehmen aussetzte.