Home / Aktuelles & Termine / it.sec blog

LfDI Baden-Württemberg verhängt Bußgeld gegen Polizeibeamten

 

Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Baden-Württemberg hat ein Bußgeld von 1.400 Euro gegen einen Polizeibeamten verhängt. Damit wurde das erste Bußgeld nach Inkrafttreten der Datenschutzgrundverordnung (DSGVO) gegen einen Mitarbeiter einer öffentlichen Stelle verhängt.

 

Der Polizeibeamte wollte die Daten einer privaten Zufallsbekanntschaft in Erfahrung bringen und nutzte dafür seine dienstliche Benutzerkennung, um über das Zentrale Verkehrsinformationssystem (ZEVIS) des Kraftfahrbundesamtes die Halterdaten ihres Autos abzufragen. Diese Daten nutzte er wiederum, um bei der Bundesnetzagentur ihre Festnetz- und Mobilfunknummer zu erfragen. Anschließend kontaktierte er die Frau telefonisch. All das geschah ohne dienstlichen Bezug oder Einwilligung der Geschädigten, ausschließlich zu privaten Zwecken. Damit verarbeitete der Polizeibeamte die dienstlich erlangten personenbezogenen Daten rechtswidrig zu privaten Zwecken.

 

Bei der Höhe des Bußgeldes wurde berücksichtigt, dass es sich um einen Erstverstoß handelte und nur eine Person betroffen war. Das Bußgeld ist mittlerweile rechtskräftig.

 

Das zeigt, dass auch für Mitarbeiter öffentlicher Stellen keine Ausnahmen gelten und sie sich genauso an den Datenschutz halten und Bußgelder bei rechtswidriger Datenverarbeitung zu privaten Zwecken befürchten müssen.

 

Britische Datenschutzbehörde kündigt Rekordstrafen an

 

Die britische Datenschutzbehörde will ein Bußgeld von 183,39 Millionen Pfund, das sind umgerechnet etwa 204 Millionen Euro, gegen British Airways wegen Verstoßes gegen die DSGVO verhängen. Das entspricht etwa 1,5 Prozent des weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr und wäre das bislang höchste Bußgeld seit Inkrafttreten der DSGVO.

 

Hacker verschafften sich 2018 Zugriff auf persönliche Daten und Kreditkarteninformationen mit CVV-Sicherheitsnummern von rund 500.000 Kunden, die in einem bestimmten Zeitraum Flüge mit ihrer Kreditkarte bezahlt hatten. Grund dafür waren nach Ansicht der Datenschutzbehörde gravierende Sicherheitsmängel bei British Airways.

 

Auch gegen die Hotelkette Marriott hat die britische Datenschutzbehörde ein hohes Bußgeld angekündigt – 99,2 Millionen Pfund, umgerechnet etwa 110 Millionen Euro. Das entspricht etwa 3 Prozent des weltweiten Umsatzes des Unternehmens im letzten Geschäftsjahr.

 

Auch hier wurden bei einem Hack 2018 Kundendaten abgegriffen. Betroffen waren rund 339 Millionen Gästeaufzeichnungen, davon waren allerdings „nur“ 30 Millionen Personen in Europa betroffen.

 

In beiden Fällen handelt es sich bisher nur um eine Ankündigung, d.h. die Unternehmen haben jetzt zunächst die Möglichkeit dazu Stellung zu nehmen. Beide Unternehmen haben bereits angekündigt von dieser Möglichkeit Gebrauch zu machen. Erst im Anschluss entscheidet die Datenschutzbehörde über die endgültige Höhe der Bußgelder. Es bleibt also abzuwarten, was am Ende von den Rekordstrafen übrigbleibt.

 

Datenpanne bei Meldebehörden

 

Parteien, Wählergruppen und andere Träger von Wahlvorschlägen können nach § 50 Abs. 1 BMG von der Meldebehörde Daten von Wahlberechtigten für personalisierte Wahlwerbung erhalten. Wenn man das nicht möchte, muss man dieser Übermittlung der Daten widersprechen, § 50 Abs. 5 BMG. Viele Bürger kennen diese Regelung jedoch nicht, weshalb bei den letzten Europa- und Kommunalwahlen zahlreiche Beschwerden beim LfDI Baden-Württemberg eingegangen sind.

 

In dem Zusammenhang gab es aber auch massive Datenpannen bei den Meldebehörden, die zu rechtswidrigen Datenübermittlungen führten. So wurden Daten von Nichtwahlberechtigten oder Personen, für die Auskunftssperren eingetragen sind, übermittelt. Eine Auskunftssperre kann beispielsweise eingetragen werden, wenn für eine Person durch eine Melderegisterauskunft eine Gefahr für Leben, Gesundheit, persönliche Freiheit oder ähnliche schutzwürdige Interessen erwachsen kann, § 51 Abs. 1 BMG. Durch diese Datenpannen erhielten dann beispielsweise auch Säuglinge und Kleinkinder personalisierte Wahlwerbung.

 

Solche Vorfälle können bereits durch einfache Maßnahmen vermieden oder jedenfalls reduziert werden – wie etwa durch Sensibilisierung und Schulung von Mitarbeitern oder durch Anwendung des Vier-Augen-Prinzips.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

In Italien wurde von den Aufsichtsbehörden ein Bußgeld nach der Datenschutzgrundverordnung (DSGVO) in Höhe von über 2 Millionen Euro verhängt. Dieses richtete sich gegen ein Unternehmen, das über ein albanisches Callcenter Telemarketing und Teleselling Maßnahmen ohne eine entsprechende Einwilligung durchgeführt hat.

 

Das Callcenter wurde im Auftrag des Unternehmens zur Akquisition neuer Kunden tätig und benutzte dafür Telefonnummern aus dem eigenen Kundenstamm. Auf den Kundenstamm der italienischen Firmen wurde nicht zugegriffen.

 

Die zuständige Finanz- und Zollpolizei Guardia di Finanzia stellte fest, dass die kontaktierten betroffenen Personen nicht über ihre Rechte informiert wurden und auch keine schriftliche Einwilligung zur Erhebung und Verarbeitung der personenbezogenen Daten zu Marketingzwecken vorlag. Der Verantwortliche konnte seine Informationspflichten nicht durch die Vorlage der Verträge erfüllen, weil diese den betroffenen Personen erst im Anschluss übermittelt wurden. Die Verträge wurden auch nicht durch die betroffenen Personen unterschrieben, es befand sich darauf lediglich ein Kürzel des Mitarbeiters des Verantwortlichen. Eine Information der betroffenen Personen während des Telefongesprächs fand nicht statt. Das Callcenter besaß kein Skript, das den betroffenen Personen die entsprechenden Informationen zur Verfügung stellen sollte.

 

Das Bußgeld richtete sich nach Art. 83 Abs. 5 DSGVO und setzte sich zusammen aus 78 Verstößen gegen das Erhebungsverbot zu je 6.000 Euro/Verstoß und 155 Verstößen gegen das Verarbeitungsverbot zu je 10.000 Euro/Verstoß. Dabei wurde der einzelne Verstoß schon am unteren Ende des möglichen Strafrahmens gebildet. Die Höhe des Bußgeldes kam daher aufgrund der Vielzahl der Verstöße zustande.

 

Berücksichtigt wurden dabei u.a. der Mangel an der Einhaltung der Datenschutzbestimmungen, die fehlende Bezeichnung des Verantwortlichen, die kurze Zeitspanne zwischen den einzelnen Verletzungshandlungen, die Schwere der Verstöße bezüglich wirtschaftlicher und sozialer Tätigkeiten, das Verhalten des Verantwortlichen gegenüber der Guardia di Finanzia während der Ermittlungen, der Jahresabschluss des verantwortlichen Unternehmens aus 2016 und dass keine vorherigen Sanktionsverfahren vorlagen.

 

Hieran lässt sich wieder erkennen, dass die Datenschutzverstöße aufgrund einer Vielzahl von Aspekten bewertet werden und eine Kooperation mit den Aufsichtsbehörden strafmildern berücksichtigt werden kann.

 

Es zeigt aber auch, dass ein Verstoß gegen die DSGVO nicht auf die leichte Schulter zu nehmen ist. Achten Sie bei Telefonwerbung unbedingt darauf die Einwilligung der betroffenen Personen einzuholen, deren Daten Sie zum Zwecke der Telefonwerbung verarbeiten wollen.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Spätestens das In-Kraft-Treten der Datenschutzgrundverordnung (DSGVO) und die damit verbundene Androhung drastischer Bußgelder sollte Unternehmen dazu motivieren, ihre Praxis der Datenverarbeitung zu überprüfen und anzupassen.

 

Dennoch erhielt ein Unternehmen von der Bundesnetzagentur nun ein Bußgeld von 300.000 €, weil es Telefonnummern betroffener Personen ohne deren ausdrückliche Einwilligung für Werbezwecke genutzt hatte.

Zwar kann Direktwerbung als ein berechtigtes Interesse des werbenden Unternehmens betrachtet werden (Erwägungsgrund 47 der DSGVO). Aber auch mit Inkrafttreten der DSGVO gilt § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG) weiterhin. Daher muss nach wie vor die Einwilligung der betroffenen Personen eingeholt werden, wenn man deren Daten zum Zwecke der Telefonwerbung verarbeiten möchte. Ohne Einwilligung ist Telefonwerbung nur in sehr restriktivem Maße erlaubt.

 

Darüber hinaus erhob das Unternehmen die Daten der betroffenen Personen wohl teilweise bei unseriösen Quellen, übermittelte die Daten in Drittstaaten ohne angemessenes Datenschutzniveau und soll mitunter Subunternehmen für die Datenverarbeitung eingesetzt haben, die bereits negativ wegen entsprechender Praktiken aufgefallen waren.

 

Ergebnis der unbefugten Datenverarbeitung war, dass die Angerufenen „äußerst hartnäckig, aggressiv, beleidigend und teilweise bedrohend“ werblich angesprochen worden sein sollen. Auch ihr Recht aus Art. 21 Abs. 2 DSGVO, einer solchen Datenverarbeitung zu Werbezwecken zu widersprechen, wurde laut Bundesnetzagentur ignoriert: So wurden betroffene Personen „häufig mehrmals kontaktiert, obwohl sie weitere Anrufe bereits im ersten Gespräch untersagt hatten“.

Der Bußgeldbescheid der Bundesnetzagentur ist noch nicht rechtskräftig (Stand: 10.12.2018). Der weitere Fortgang des Bußgeldverfahrens bleibt daher abzuwarten.

 

S. Kieselmann

 

Beraterin für Datenschutz

 

Dipl.sc.pol.Univ.

Die Datenschutzgrundverordnung (DSGVO) ist gut ein halbes Jahr alt. Die anfängliche Aufregung war spürbar, doch seit ein paar Monaten ist es ruhiger geworden um die DSGVO. Nun wurde aber das erste ernstzunehmende europäische Bußgeld für Google erlassen.

 

Google soll in Frankreich insgesamt 50 Millionen Strafe zahlen. Die französische Datenschutzbehörde CNIL stellte eine Vielzahl von Verstößen gegen die DSGVO fest.

 

Informationen zur Verarbeitung der erhobenen Daten und der Speicherdauer sind für die Nutzer nur schwer zugänglich, erklärte die französische Datenschutzbehörde am Montag. Die Informationen sind in mehreren Dokumenten verteilt. Auch ist Vieles unklar formuliert.

 

Zudem ist nach Ansicht der Aufsichtsbehörde die von Google eingeholte Einwilligung zur Anzeige von personalisierter Werbung nicht rechtskonform. Die Einwilligenden werden nicht ausreichend informiert.

 

Google wolle nun nach einer ausführlichen Prüfung des Bescheides die Transparenz bzgl. der Daten erhöhen.

 

 

Dr. Bettina Kraft

 

Teamleitung und Senior Consultant für Datenschutz

 

Volljuristin

Auch in Baden-Württemberg wurde nun das erste Bußgeld nach der Datenschutzgrundverordnung (DSGVO) verhängt. Ein Social-Media-Anbieter hat gegen die in Art. 32 DSGVO vorgeschriebene Datensicherheit verstoßen und soll nun eine Geldbuße von 20.000 Euro bezahlen.

Im September dieses Jahres hatte das Unternehmen bemerkt, dass durch einen Hackerangriff personenbezogene Daten von ca. 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und veröffentlicht wurden. Im Rahmen der Zusammenarbeit mit dem LfDI Baden-Württemberg wurde bekannt, dass das Unternehmen die Passwörter seiner Nutzer im Klartext gespeichert hatte, um die Nutzer durch den Einsatz eines Passwortfilters besser zu schützen.

Dadurch verstieß das Unternehmen jedoch gegen Art. 32 Abs. 1 lit. a DSGVO und die sich daraus ergebende Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten.

Die gute Kooperation des Unternehmens wirkte sich bei der Höhe des Bußgeldes positiv aus. Durch die Bereitschaft des Unternehmens bei der Umsetzung der Vorgaben und Empfehlungen konnte die Sicherheit der Nutzerdaten bereits deutlich verbessert werden.

Julia Eisenacher

Consultant für Datenschutz

Diplomjuristin

Die Datenschutzgrundverordnung (DSGVO) ist nun bald ein halbes Jahr alt. Die anfängliche Aufregung war spürbar, doch seit ein paar Monaten ist es ruhiger geworden um die DSGVO. Nun droht aber das erste ernstzunehmende europäische Bußgeld für ein Krankenhaus in Portugal.

Ein Krankenhaus bei Lissabon soll insgesamt 400.000 Euro Strafe zahlen, weil u.a. zu viele Personen Zugriff auf Patientendaten hatten. Das Krankenhaus will nun gerichtlich gegen das Bußgeld vorgehen.

Obwohl aktuell nur knapp 300 Ärzte in dem Krankenhaus arbeiten, waren im System knapp 1000 aktive Benutzer als „Arzt“ registriert. Es wurde somit ein umfangreicher Zugriff auf besonders schützenswerte Gesundheitsdaten ermöglicht. Gesundheitsdaten sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen, Art. 4 Nr. 15 DSGVO. Gerade für diese Daten müssen die Zugriffe so eng wie möglich ausgestaltet sein.

Aufgrund der Sensibilität der hier verarbeiteten Daten und des doch erheblichen Verstoßes hätte die Strafe hier auch durchaus noch höher ausfallen können.

Dr. Bettina Kraft

Teamleitung und Senior Consultant für Datenschutz

Volljuristin

Die DSGVO sieht im öffentlichen Bereich Regelungsaufträge und Öffnungsklauseln vor, die die Mitgliedstaaten ermächtigen, in einigen Bereichen eigene Regelungen zu erlassen. Das BayDSG wurde daher neu gefasst und ist am 25.05.2018 in Kraft getreten.

Die Regelungssystematik, nach der bayerische öffentliche Stellen personenbezogene Daten verarbeiten dürfen, ist eher ein Regelungschaos:

Sofern diese Stellen personenbezogene Daten verarbeiten, gilt die DSGVO, Art. 2 S. 1 BayDSG. Eine Ausnahme von diesem Grundsatz besteht, wenn es eine anderweitige Regelung gibt, Art. 2 Abs. 1 S. 1 BayDSG. Diese anderweitige Regelung kann sich aus dem BayDSG selbst ergeben (z.B. Art. 2 S. 2 BayDSG) oder auch aus bereichsspezifischen Rechtsvorschriften, die dem BayDSG vorgehen, Art. 1 Abs. 5 BayDSG. Beispiele für bereichsspezifische Rechtsvorschriften sind z.B. Regelungen der DSGVO selbst oder Art. 103 ff. Bayerisches Beamtengesetz (BayBG). Hierbei muss immer beachtet werden, dass diese anderweitigen Regelungen oder bereichsspezifischen Rechtsvorschriften der DSGVO nicht widersprechen.

Der Bayerische Landesbeauftragte für den Datenschutz sagt in einem Überblick hierzu: „Der Regelungsgehalt des neuen Bayerischen Datenschutzgesetzes ist aus sich heraus in der Regel nicht mehr verständlich“ und die „Regelungssystematik (…) anspruchsvoll.“

Die wichtigsten Vorschriften zum BayDSG, bezogen auf die DSGVO, sollen nachfolgend dennoch aufgelistet werden:

Anwendungsbereich: Die Vorschriften des BayDSG gelten für Behörden und sonstige öffentliche Stellen in Bayern, Art. 1 Abs. 1 S. 1 BayDSG.

Für nicht-öffentliche Stellen sowie öffentliche Stellen, die als Unternehmen am Wettbewerb teilnehmen, gelten die Vorschriften des BayDSG nicht, Art. 1 Abs. 3 S. 1 BayDSG. Ausnahmen:

  • Für nicht-öffentliche Stellen, die hoheitliche Aufgaben der öffentlichen Verwaltung in Bayern wahrnehmen, gelten die Vorschriften BayDSG, Art. 1 Abs. 4 BayDSG.
  • Art. 38 BayDSG gilt auch für nicht-öffentliche Stellen, Art. 1 Abs. 1 S. 4 BayDSG.

Zuständige Aufsichtsbehörde für sämtliche öffentliche Stellen, d.h. auch solche, die als Unternehmen am Wettbewerb teilnehmen, ist der Bayerische Landesbeauftragte für den Datenschutz, Art. 1 Abs. 3 S. 2 BayDSG.

Bußgelder: Gegen öffentliche Stellen werden keine Bußgelder verhängt, wenn sie gegen datenschutzrechtliche Bestimmungen verstoßen, Art. 22 BayDSG. Eine Ausnahme besteht gegenüber öffentlichen Stellen, die als Unternehmen am Wettbewerb teilnehmen.

Datengeheimnis: Die Beamten sowie nicht-verbeamteten Beschäftigten der öffentlichen Stellen sind zur Wahrung des Datengeheimnisses zu verpflichten. Diese Pflicht besteht auch nach Beendigung ihrer Tätigkeit bei der öffentlichen Stelle fort, Art. 11 BayDSG.

Datenverarbeitung:

  • Die Erhebung personenbezogener Daten bestimmt sich nach Art. 4 Abs. 1, Abs. 2 BayDSG. Es gilt ein Direkterhebungsgebot.
  • Die Verarbeitung der personenbezogenen Daten bestimmt sich nach Art. 4 Abs. 1 BayDSG.
  • Die Übermittlung bzw. Offenlegung personenbezogener Daten bestimmt sich nach Art. 5 BayDSG. Hiermit ist wohl nicht nur die Datenübermittlung an Dritte, sondern generell die Offenlegung gegenüber Empfängern (z.B. auch Auftragsverarbeitern) gemeint.
  • Die spätere Verarbeitung personenbezogener Daten zu geänderten Zwecken (Weiterverarbeitung) bestimmt sich nach Art. 6 Abs. 2 BayDSG.
  • Die Einrichtung automatisierter Verfahren zur Übermittlung personenbezogener Daten durch Abruf oder der gemeinsame Betrieb automatisierter Verfahren i.S.v. Art. 26 DSGVO bestimmt sich nach Art. 7 BayDSG.
  • Die Verarbeitung besonderer Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DSGVO bestimmt sich nach Art. 8 BayDSG.
  • Die Verarbeitung personenbezogener Daten im Rahmen der Videoüberwachung bestimmt sich nach Art. 24 BayDSG.
  • Die Verarbeitung personenbezogener Daten zu journalistischen, künstlerischen oder literarischen Zwecken bestimmt sich nach Art. 38 BayDSG. Diese Vorschrift gilt für öffentliche und nicht-öffentliche Stellen, Art. 1 Abs. 1 S. 4 BayDSG.
  • Bei der Löschung personenbezogener Daten ist zusätzlich Art. 26 Abs. 6 BayDSG zu beachten.

Auftragsverarbeitung: Es gilt Art. 28 DSGVO. IT-Dienstleister, die die Prüfung und (Fern-)Wartung von Datenverarbeitungssystemen und -anlagen übernehmen, gelten als Auftragsverarbeiter, Art. 5 Abs. 3 S. 1 BayDSG.

Joint Control: Es gilt Art. 26 DSGVO, ergänzt durch Art. 7 Abs. 2 BayDSG.

Informationspflichten: Die betroffenen Personen müssen über die Datenverarbeitung informiert werden gemäß Art. 13, 14 DSGVO („mit deren Kenntnis“, Art. 4 Abs. 2 S. 1 BayDSG).

Ausnahmen von der Informationspflicht sind gemäß Art. 4 Abs. 2 S. 4, Art. 9 BayDSG vorgesehen für die Fälle von Art. 4 Abs. 2 Nr. 1, Nr. 2 BayDSG, Art. 6 Abs. 2 Nr. 3 lit. a), b), d) BayDSG. Eine Ausnahme kann ggf. auch für den Fall von Art. 10 Abs. 1 S. 2 BayDSG bestehen.

Auskunftsrecht: Betroffene Personen haben in den Fällen des Art. 10 Abs. 1 S. 1 und 2, Abs. 2 Nr. 1 bis 5 lit. a), b) BayDSG kein Recht, Auskunft zu den über sie verarbeiteten personenbezogenen Daten zu verlangen.

Benachrichtigungspflicht aus Art. 34 DSGVO: Die Benachrichtigung betroffener Personen über Datenschutzverletzungen kann in den Fällen von Art. 6 Abs. 2 Nr. 3 lit. a), b), d) BayDSG unterbleiben, Art. 13 BayDSG.

Verzeichnisses von Verarbeitungstätigkeiten: Das Führen eines solchen Verzeichnisses wird in Art. 2 S. 2 BayDSG eingeschränkt.

Datenschutz-Folgenabschätzung: Die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung wird in Art. 2 S. 2 sowie Art. 14 BayDSG eingeschränkt.

S. Kieselmann

Beraterin für Datenschutz

Dipl.sc.pol.Univ.

Auch interne Datenschutzbeauftragte müssen den Verantwortlichen in datenschutzrechtlicher Sicht beraten, prüfen und überwachen. Diese Aufgaben können sie nur wahrnehmen, wenn sie zum einen die gesetzlich vorgeschriebene Fachkunde haben, und zum anderen muss sichergestellt werden, dass sie sich nicht selbst überprüfen müssen.

Ein interner Datenschutzbeauftragter, der ein Mitarbeiter des Unternehmens ist, darf nicht auch in anderen datenschutzrelevanten Fachbereichen für das Unternehmen tätig sein. Aufsichtsbehörden haben bereits die Bestellung eines IT-Leiters zum Datenschutzbeauftragten gerügt. Dasselbe dürfte auch für Compliance-Beauftragte und Leiter der Rechtsabteilung gelten. Es sollte aufgrund der erhöhten Bußgelder, die auf Basis der Datenschutzgrundverordnung fällig werden können, geprüft werden, ob der intern bestellte Datenschutzbeauftragte seine datenschutzrechtlichen Aufgaben auch wirksam erledigen kann und darf.

Dr. Bettina Kraft

Teamleitung und Senior Consultant für Datenschutz

Volljuristin

Die bemerkenswerten Ergebnisse einer repräsentativen Bitkom-Umfrage (Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V.), abrufbar unter https://www.bitkom.org/Presse/Presseinformation/Jedes-dritte-Unternehmen-hat-sich-noch-nicht-mit-der-Datenschutzgrundverordnung-beschaeftigt.html, liegen vor: Demnach beschäftigen sich aktuell nur 49 Prozent der befragten Unternehmen mit der Umsetzung der Datenschutzgrundverordnung (DSGVO). Weitere 13 Prozent haben erste Maßnahmen begonnen und umgesetzt. Dagegen haben sich 33 Prozent gar nicht mit der Umsetzung der Datenschutzvorgaben beschäftigt, 13 Prozent tun dies bewusst nicht. Über die Gründe kann man nur spekulieren.

Wir können angesichts der Höhe möglicher Bußgelder, die bei Verstößen gegen die DSGVO ausgesprochen werden können, nur dazu raten, sich mit dem Thema zu beschäftigen. Zum einfachen Einstieg hat der Bitkom vier kostenlose Leitfäden für die Praxis erstellt, abrufbar unter https://www.bitkom.org/Themen/Datenschutz-Sicherheit/DSGVO.html. Ab dem 25. Mai 2018 gilt das neue Datenschutzrecht!

Dr. Wolfhard Steinmetz
Consultant für Datenschutz

Die Aufsichtsbehörden für den Datenschutz der Länder Frankreich, Niederlande, Belgien, Spanien und des Bundeslandes Hamburg, haben in einer gemeinsamen Aktion die Praktiken von Facebook bezüglich des Datenschutzes geprüft.

Im Ergebnis (https://www.cnil.fr/en/facebook-sanctioned-several-breaches-french-data-protection-act) befand die CNIL, dass sowohl Facebook Inc. als auch Facebook Ireland Ltd. mehrere schwere Verstöße gegen geltendes französisches Datenschutzrecht begangen haben.

Unter anderem wirft die Behörde dem Unternehmen vor, dass die Sammlung von Nutzerdaten, um sie zu bündeln und für personalisierte Werbung zu verwenden, auf keiner Rechtsgrundlage gründet und die Sammlung der Daten durch unzulässiges Tracking mittels des ‚datr‘ Cookies erfolgt.

Eine angemessene Widerspruchslösung für die betroffenen Personen sei nicht ausreichend vorhanden. Weiterhin seien die Informationen bezüglich des Trackings vom Nutzerverhalten auf weiteren Websites für die betroffenen Personen nicht einwandfrei transparent, um nachvollziehen zu können wo und in welchem Umfang Daten erhoben werden.

Somit sei das Vorgehen des Unternehmens rechtswidrig und auch in so umfangreichem Maß begangen, dass es das höchstmögliche Bußgeld von 150.000 Euro aufgrund einer Datenschutzrechtsverletzung rechtfertigt.

Facebook beruft sich darauf, dass für das Unternehmen lediglich das irische Datenschutzrecht gelte, da es nur in Irland einen Sitz habe und somit Frankreich nicht für das Unternehmen zuständig sei.

Diesem Einwand wird von der CNIL aber ebenfalls Rechnung getragen (https://www.cnil.fr/fr/node/23602). Sie begründet ihre Zuständigkeit damit, dass Facebook im Zuge des Verkaufs von Werbung zahlreiche Büros in verschiedenen europäischen Ländern unterhalte und dieses Geschäft untrennbar mit der Verarbeitung der personenbezogenen Daten verbunden sei. Einzelstaatliches Datenschutzrecht eines jeden Mitgliedstaats komme damit zur Anwendung, in welchen diese Niederlassungen ihre Tätigkeit ausüben. Auf die Art der Niederlassung, also ob es sich dabei um Tochtergesellschaften mit eigener Rechtspersönlichkeit, unselbständige Zweigstellen oder lediglich kleine Büros handele, sei dabei unerheblich.

Dem Unternehmen stehen noch 4 Monate zu, in denen es Widerspruch gegen den Beschluss der CNIL einlegen kann.

Spätestens aber ab dem 25. Mai 2018 wird sich Facebook Inc. nicht mehr darauf berufen können, dass für andere Behörden keine Zuständigkeit besteht. Denn mit der DSGVO tritt das Marktortprinzip in Kraft, womit auch für jedes außereuropäische Unternehmen, das im Gebiet eines Mitgliedstaats agiert, die DSGVO zwingend gilt. In diesen Fällen ist jede Aufsichtsbehörde im Hoheitsgebiet ihres Mitgliedstaats zuständig.

Allerdings wird mit der DSGVO auch der One Stop Shop-Mechanismus (OSS) eingeführt. Danach ist im Normalfall bei einer Datenverarbeitung, die grenzüberschreitend in mehr als einem Mitgliedstaat erfolgt, die Aufsichtsbehörde des Mitgliedstaates zuständig, in dem das Unternehmen seine Hauptniederlassung oder seine einzige Niederlassung innerhalb der Europäischen Union hat – in diesem Fall wäre dann wohl doch die irische Aufsichtsbehörde zuständig. Allerdings entscheidet diese Behörde nicht allein, sondern muss die anderen Aufsichtsbehörden einbinden. Zudem ergibt sich das maßgebliche Datenschutzrecht in Irland dann ebenso aus der DSGVO.

Lisa Benjowski
Informationsjuristin (LL.B.), Consultant für Datenschutz

 

50 Millionen Abbinder Abmahnung Abmahnungen Abo-Falle ADCERT Airbnb Angemessenheitsbeschluss Angreifer Angriff Anklage Anwendbarkeit Anwendung Arbeitgeber Arbeitnehmer Arbeitsmittel Arbeitsrecht Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Auchfsichtsbehörde Audit Aufsichtsbehörde Auftragsverarbeiter Auftragsverarbeitung Auskunftei Auskunftsansprüche Auskunftsrecht Ausspähen Austritt Authentizität Automatisierte Einzelentscheidung Autsch Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG-Neu Beamte BEAST Begrifflichkeiten Beherbergungsstätten BEM Benachrichtigungspflicht Berufsgeheimnis Beschäftigtendatenschutz Beschäftigtenumfragen besondere Kategorien personenbezogener Daten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsvereinbarung betroffene Personen Betroffenenrechte Bewerberdaten BfDI BGH Bildberichterstattung Bildrechte biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom Bonität Bonitätsprüfung Brexit Britische Datenschutzbehörde Browser BSI Bund Bundesarbeitsgericht Bundesnetzagentur Bundesregierung Bußgeld Bußgelder BVG Callcenter Cambridge Analytics Citizen-Score Cloud CNIL Compliance Computer Cookie Cookies Custom Audience Cyber Dashcam Daten Daten-für-alle-Gesetz Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenschutz Datenschutz Grundverordnung Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragter Datenschutzerklärung Datenschutzgrundsätze Datenschutzgrundverordnung datenschutzkonform Datenschutzprinzipien Datenschutzverletzung Datenschutzverstöße Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenverarbeitung Dating Dating-Portale Deutsche Bahn Diebstahl Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Donald Trump Dritter Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSK Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail e-Privacy-Verordnung E-Rechnung eCall-Technologie EES EFAIL ehrenamtlich tätiger Vereine Eigentum Einwilligung Einwilligungserklärung Einwilligungserklärungen Empfänger Entlastung Entsorgung Erhebung Erhebung personenbezogener Daten Erhebungsverbot Erwägungsgrund 48 der DSGVO eSafety-Initiative ETIAS EU EU-Datenschutz-Grundverordnung EU-Parlament EU-Vertreter EuGH Europa Europäische Aufsichtsbehörde Europäische Union externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber FBI Feedback Fernmeldegeheimnis Firmensitz FlugDaG Fluggastdaten Folgenabschätzung Foto freiwillig Funkmäuse Funktastaturen Fürsorgepflicht Geheimhaltung Geldbörse Geldstrafe Gemeinsam Verantwortliche Gericht Gesellschaft für Informatik Gesetz gegen den Unlauteren Wettbewerb gestohlen Gesundheitsdaten Gewährleistung Google Google Analytics grenzüberschreitend Groß-Britannien hacken Hacker Hackerangriff Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Hinweisgeber Höchstvermietungsdauer Home Office Immobilienmakler Informationspflicht Informationspflichten Informationssicherheit Infrastruktur Inhalteanbieter Insights Integrität interner Datenschutzbeauftragter Investition IP-Adresse Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Japan Jin-hyok Joint Control Kanada Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder kollektive Daten Kommune Konferenz Kontaktdaten Kontakte Konzern konzerninterner Datentransfer KoSIT Kriminalität KUG Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Laptop Lazarus Leistungs- und Verhaltenskontrolle LfDI Baden-Württemberg Löschung personenbezogener Daten Löschungsrecht Lösegeld Makler Malware Markennamen Markenrecht Marktortprinzip MD5 Meldebehörde Meldepflicht Meldescheine Meldesystem Meldung Meltdown Messenger Microsoft Mieter Mietverhältnis Misch-Account Mitarbeiter Mitbewerber MouseJack-Angriffe Nebenjob Nebentätigkeit Netzwerklabor NIST No-Deal-Brexit Nordkorea Notebook Nutzung Nutzungsbedingungen Office Öffnungsklauseln One Stop Shop One-Stop-Shop OpenPGP Österreich Papierrechnung Passenger Name Records Passwort Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetrationstest Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten Personenbilder persönliche Daten Persönlichkeitsrechte Pflichten Pharmalobbyist Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Handynummer private Mobilfunknummer Privatnutzung Privatnutzungsverbot Privatsphäre Profiling Quantencomputer Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person rechtswidrig Referenten Regelungsaufträge Reichweitenanalyse Risiko Risikomanagement Risk & Compliance Management Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen Schaden Schadprogramm Schadsoftware schutzwürdige Interessen Schwachstellen Schweiz Security by Design Seitenbetreiber SHA1 sicher Sicherheitslücke Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signatur Skype Smartphone Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke SPD Spectre Speicherdauer Sponsoren Standardvertragsklauseln Steuerberater Strafe Strafverfolgung Studenten Supercomputer Risikolage Support Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Telefonnummer Telefonwerbung Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report TKG TLS TMG Tracking Tracking Tools Tracking-Tools Twitter Übermittlung personenbezogener Daten Überwachungssoftware Umfrage Umsetzungsfrist unerlaubt unpersonalisierter Benutzer-Account Unternehmen Unternehmensgröße Unternehmensgruppe unzulässig US-Regierung USA UWG Verantwortlicher Verantwortung Verarbeitungsverbot Verbot Vereinbarung Vereinigtes Königreich Großbritannien und Nordirland verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe Videoüberwachung Virus Vorteile WannaCry Webseite Webseiten Webtracking Webtrecking weisungsunabhängig Weitergabe an Dritte Werbeaussage Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wirklichkeitsmodell Wohnung X-Rechnung Zertifikat Zertifizierung Zugangsdaten Zugriff zulässig Zulässigkeit zuständig § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31