Home / Aktuelles & Termine / it.sec blog

Die große Bußgeldwelle nach Inkrafttreten der europäischen Datenschutzgrundverordnung im Jahr 2018 ist ausgeblieben. Jetzt, fast drei Jahre danach steigt die Zahl der erfassten Verstöße und die damit verbundenen Bußgelder stetig. Im Jahr 2020 verhängten die europäischen Bußgeldbehörden gemeinsam Bußgelder in Höhe von 158,5 Millionen € wegen Verstößen gegen das europäische Datenschutzrecht.

 

Schaut man sich die Zahlen der erfassten Verstöße an, sieht man einen deutlichen Zuwachs im Vergleich zu den Jahren zuvor, seit Mai 2018. Tatsächlich stieg die Zahl um 39%!

 

Im europäischen Vergleich sind, wie auch vor der DSGVO deutliche Unterschiede zu erkennen. Nicht nur die Zahlen der Verstöße, gerade der unterschiedliche Umgang mit diesen wird deutlich.

 

Die meisten Verstöße sind mit 77.747 Fällen in Deutschland dokumentiert. Bezieht man die gemeldeten Verstöße aber auf die Einwohnerzahl, liegt Dänemark mit 155,6 gemeldeten Verstößen pro 100.000 Einwohner vor allen anderen Mitgliedstaaten. Aus diesen Zahlen sollte man allerdings nicht voreilig folgern, dass in Deutschland oder Dänemark ein besonders niedriges Datenschutzniveau herrscht.

 

Zum Vergleich: Im gleichen Zeitraum gab es in Frankreich 5389 und in Italien lediglich 3460 geahndete Fälle. Interessanterweise belegt Italien aber bei der Gesamtsumme von verhängten Bußgeldern den ersten Platz mit insgesamt 69 Millionen Euro.

 

Dies macht deutlich wie unterschiedlich die DSGVO durch die Datenschutz- und Bußgeldbehörden ausgelegt wird. Denn oftmals bedeutet die Meldung eines Datenschutzvorfalls nicht gleich ein Bußgeld für den Verantwortlichen.

 

Fazit:

 

Die Höhe und der Anstieg der geahndeten Fälle und die Summe der verhängten Bußgelder zeigt, dass die Zeit der nachsichtigen Aufsichts- und Bußgeldbehörden ein Ende nimmt. Unternehmen hatten ausreichend Zeit ihr Datenschutzmanagement aufzustellen und damit die Rechte der betroffenen Personen zu schützen.

 

Im Jahr 2021 ist davon auszugehen, dass es erneut zu mehr Bußgeldern kommen wird. Die Probleme, welchen sich Unternehmen aufgrund des Coronavirus gegenübersahen, werden dieses Jahr nicht mehr als Ausrede taugen, sodass gegen datenschutzrechtliche Verstöße konsequenter vorgegangen werden muss.

 

Jan Brinkmann

 

Consultant für Datenschutz

 

Volljurist

Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat der notebooksbilliger.de AG ein Bußgeld in Höhe von 10,4 Millionen Euro wegen Verstößen gegen die Datenschutzgrundverordnung (DSGVO) auferlegt.

 

Das Unternehmen hat seine Beschäftigten über einen Zeitraum von mindestens zwei Jahren per Video überwacht, wobei die Kameras u.a. Lager, Verkaufsräume, Arbeitsplätze und Aufenthaltsbereiche erfassten. Eine Rechtsgrundlage für diese Überwachung gab es nicht.

 

Ziel der Videoüberwachung sei laut dem Unternehmen die Verhinderung und Aufklärung von Straftaten sowie eine Nachverfolgung des Warenflusses in den Lagern gewesen. Eine Videoüberwachung zur Aufdeckung von Straftaten kann jedoch nur rechtmäßig sein, wenn tatsächliche Anhaltspunkte den Verdacht begründen, dass eine konkrete Person eine Straftat begangen hat. Ein Generalverdacht reicht nicht aus. Ferner ist bei einem begründeten Verdacht nur eine zeitlich begrenzte Überwachung angezeigt. Die Videoüberwachung bei notebooksbilliger.de war jedoch weder auf einen bestimmten Zeitraum noch auf konkrete Personen beschränkt. Die Aufzeichnungen wurden zudem teilweise 60 Tage gespeichert und damit laut LfD Niedersachsen deutlich länger als erforderlich. In der Regel sind die Daten innerhalb von 2 bis 3 Tagen (max. 72 Stunden) nach Erhebung zu löschen, da es zumutbar ist, in diesem Zeitraum zu klären, ob eine Sicherung des Materials notwendig ist.

 

Einige Kameras waren auch auf Sitzgelegenheiten im Verkaufsraum gerichtet, sodass von der unzulässigen Videoüberwachung neben den Beschäftigten auch Kunden und Kundinnen des Unternehmens betroffen waren. Die Landesbeauftragte führte aus, dass die betroffenen Personen in Bereichen, in denen sich Menschen typischerweise länger aufhalten, z.B. um die angebotenen Geräte ausgiebig zu testen, hohe schutzwürdige Interessen haben. Dies gelte besonders für Sitzbereiche, die offensichtlich zum längeren Verweilen einladen sollen.

 

Sie betonte außerdem, dass es sich hierbei um einen schwerwiegenden Fall der Videoüberwachung im Betrieb handele und Unternehmen verstehen müssen, dass sie damit massiv gegen die Rechte ihrer Mitarbeiter und Mitarbeiterinnen verstoßen.

 

Bei dem Bußgeld in Höhe von 10,4 Millionen handelt es sich um das bisher höchste Bußgeld, das Niedersachsen seit Inkrafttreten der DSGVO ausgesprochen hat. Der Bußgeldbescheid ist jedoch noch nicht rechtskräftig, da notebooksbilliger.de hiergegen Einspruch eingelegt hat.

 

Nach der Verhängung des bisher höchsten Bußgeldes in Deutschland in Höhe von 35,3 Millionen Euro im letzten Jahr, zeichnet sich auch durch diese Entscheidung der LfD Niedersachsen ab, dass die Aufsichtsbehörden ihr Vorgehen bei Datenschutzverstößen verschärfen. Prüfen Sie daher auch in Ihrem Unternehmen sorgfältig, ob Sie die Vorgaben der DSGVO einhalten.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

H&M wurde durch den Hamburgischen Datenschutzbeauftragten wegen der Überwachung von Mitarbeitern in einem Servicecenter in Nürnberg ein Rekordbußgeld von 35,3 Millionen Euro auferlegt.

 

Seit mindestens sechs Jahren wurden von einem Teil der Beschäftigten des Servicecenters umfangreich deren private Lebensumstände erfasst und auf einem Netzlaufwerk dauerhaft gespeichert. Bekannt wurde dies im Oktober 2019, weil die Notizen durch einen Konfigurationsfehler für einige Stunden unternehmensweit einsehbar waren.

 

Nach Angaben des hamburgischen Datenschutzbeauftragten führten die Vorgesetzten nach Urlaubs- und Krankheitsabwesenheiten der Mitarbeiter sog. Welcome Back Talks durch. Dadurch erlangtes Wissen wurde in etlichen Fällen festgehalten, z.B. konkrete Urlaubserlebnisse der Mitarbeiter oder Krankheitssymptome und Diagnosen. Die Vorgesetzten eigneten sich zusätzlich durch Einzel- oder Flurgespräche ein umfangreiches Wissen über das Privatleben der Mitarbeiter an, das von harmlosen Details bis zu familiären Problemen oder religiösen Bekenntnissen reichte. Diese Informationen wurden teilweise aufgezeichnet, digital gespeichert und konnten von bis zu 50 Führungskräften am Standort eingesehen werden. Die Aufzeichnungen waren zum Teil sehr detailliert und wurden laufend fortgeschrieben. Die so erhobenen Daten wurden neben einer akribischen Auswertung der individuellen Arbeitsleistung u.a. genutzt, um ein Profil der Mitarbeiter für Maßnahmen und Entscheidungen im Arbeitsverhältnis zu erhalten.

 

Die Kombination aus der Ausforschung des Privatlebens und der laufenden Erfassung, welcher Tätigkeit sie jeweils nachgingen, führte nach Angaben des Hamburgischen Datenschutzbeauftragten zu einem besonders intensiven Eingriff in die Rechte der betroffenen Personen und stellt eine schwere Missachtung des Beschäftigtendatenschutzes dar. Vor diesem Hintergrund sei das Bußgeld in seiner Höhe angemessen und geeignet, Unternehmen von Verletzungen der Privatsphäre ihrer Beschäftigten abzuschrecken.

 

Positiv bewertet wurde das Bekenntnis der Unternehmensleitung zur Unternehmensverantwortung nach einem Datenschutzverstoß. Es wurde ein umfassendes Datenschutzkonzept vorgelegt, die Unternehmensleitung hat sich ausdrücklich bei den Betroffenen entschuldigt und bemüht sich um Wiedergutmachung. In diesem Zuge soll den Betroffenen ein unbürokratischer Schadensersatz in beachtlicher Höhe ausgezahlt werden.

 

Dieses Bußgeld von 35,3 Millionen Euro übersteigt alle seit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) in Deutschland verhängten Bußgelder deutlich und ist trotz der transparenten Aufklärung und Kooperation des Unternehmens hoch ausgefallen. Die Aufsichtsbehörden verschärfen also scheinbar ihr Vorgehen bei Datenschutzverstößen. Die Einhaltung der Vorschriften der DSGVO ist daher zur Vermeidung von (hohen) Bußgeldern unerlässlich.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

Die Datenschutzbehörde in Baden-Württemberg erließ heute ein Bußgeld gegen die AOK Baden-Württemberg in Höhe von 1,24 Mio Euro wegen rechtswidriger Datenverarbeitung beim Direktmarketing und unzureichender technischer und organisatorischer Maßnahmen.

 

Die AOK Baden-Württemberg veranstaltete u.a. mehrere Online-Gewinnspiele und erhob dabei personenbezogene Daten der Gewinnspielteilnehmer sowie deren aktuelle Krankenkassenzugehörigkeit. Dabei wurden Daten von mehr als 500 Gewinnspielteilnehmern ohne deren Einwilligung zu Werbezwecken verwendet.

 

Dabei stellte die Datenschutzaufsichtsbehörde klar, dass sowohl die aktuelle Situation als auch die umfangreichen internen Überprüfungen und Anpassungen der technischen und organisatorischen Maßnahmen sowie die konstruktive Zusammenarbeit mit der Aufsichtsbehörde bei der Festsetzung des Bußgeldes positiv ins Gewicht fielen.

 

Man darf aber auch in Zeiten von Corona nicht vergessen, dass der Datenschutzbeauftragte im Unternehmen eine wichtige Stellung einnimmt, die gerade in Zeiten des dezentralen Arbeitens nicht vernachlässigt werden darf. Auch darauf wies die Aufsichtsbehörde noch einmal explizit hin.

 

 

Dr. Bettina Kraft

 

Teamleitung und Senior Consultant für Datenschutz

 

Volljuristin

Die Berliner Beauftragte für Datenschutz und Informationsfreiheit, Maja Smoltczyk, hat am 3. April 2020 ihren Jahresbericht für das Jahr 2019 vorgelegt.

Besonders erwähnenswert ist in diesem Zusammenhang das bisher höchste Bußgeld in der Bundesrepublik Deutschland unter der DSGVO. Dieses wurde wegen Verstößen im Zeitraum Mai 2018 bis März 2019 gegen die Deutsche Wohnen SE verhängt. Sie hatte umfangreiche Datensätze mit sensiblen Dokumenten wie Ausweiskopien oder Arbeitsverträgen entgegen der gesetzlichen Verpflichtung nicht gelöscht und war auch einer diesbezüglichen Aufforderung der Aufsichtsbehörde aus dem Jahr 2017 nicht nachgekommen. Die Höhe des verhängten Bußgeldes beträgt stolze 14,5 Millionen Euro. Der gesamte mögliche Bußgeldrahmen von 28 Millionen Euro wurde allerdings nicht ausgeschöpft. Die Deutsche Wohnen hat Einspruch gegen den Bußgeldbescheid eingelegt. Eine endgültige Entscheidung der Aufsichtsbehörde bzw. die mögliche gerichtliche Klärung stehen noch aus.

Die dienstliche Nutzung von Messenger-Apps ist immer noch ein Thema. Hier sollte die Bereitstellung eines dienstlichen Messengers erwogen werden, um Probleme zu vermeiden. Das automatische Auslesen des gesamten Adressbuchs ist nach wie vor ein Problem bei WhatsApp (Facebook). Vor allem sollten niemals vertrauliche Dokumente in WhatsApp-Gruppen geteilt werden.

Künstliche Intelligenz bzw. maschinelles Lernen birgt Risiken für die Persönlichkeitsrechte. Diese Risiken bestehen insbesondere in der systematischen Diskriminierung von Bevölkerungsgruppen im Rahmen intransparenter und voreingenommener Entscheidungsprozesse ohne menschliche Eingriffsmöglichkeit. Dahingehende Bemühungen von Unternehmen sind also unbedingt frühzeitig durch die Verantwortlichen mit dem Datenschutzbeauftragten abzustimmen.

Die Anfertigung von Fotos für den Zutritt zu Coworking-Spaces lässt sich nicht allein zur Gefahrenabwehr und Beweissicherung rechtfertigen. Wenn mildere Mittel wie das Erfassen der Personalien mittels einer Besucherliste zur Verfügung stehen, ist ein solches Vorgehen unzulässig.

Nach Beendigung des Beschäftigungsverhältnisses sind personenbezogene Daten zu löschen, wenn dem keine zwingenden Aufbewahrungspflichten entgegenstehen. Insbesondere bei auf der Homepage eingestellten Fotos und Informationen zum persönlichen Werdegang ist erhöhte Aufmerksamkeit geboten!

Bei Betroffenenanfragen muss der jeweils Verantwortliche - also das Unternehmen - sicherstellen, dass diese weitergeleitet und beantwortet werden. Die Aufsichtsbehörde stellt klar, dass mangelnde interne Organisation keinen Entschuldigungsgrund darstellt.

Gesundheits-Apps verarbeiten regelmäßig besonders sensible personenbezogene Daten. Speziell bei cloud-basierter Verarbeitung dieser Daten wird sich die Berliner Datenschutzbeauftragte künftig genaue Konzepte zu den technischen Schutzmechanismen vorlegen lassen.

Sobald die Übergangsphase für den Brexit endet (voraussichtlich mit Ablauf des Monats Dezember 2020), sind Datenflüsse in das Vereinigte Königreich vertraglich neu abzusichern. Eine Möglichkeit sind z.B. die von der EU-Kommission bereitgestellten Standardvertragsklauseln.

Wir werden unseren Kunden hierzu noch ein ausführlicheres Merkblatt zur Verfügung stellen. Bleiben sie gesund und achten Sie auf Ihre personenbezogenen Daten!

Florian S.
Justiziar | M.A.
Consultant für Datenschutz

Die Niederländische Datenschutzbehörde hat gegen den Tennisclub KNLTB ein Bußgeld in Höhe von 525.000 Euro verhängt, weil dieser Daten seiner Mitglieder an Sponsoren verkauft hat.

 

Ein Sponsor erhielt ca. 50.000 Datensätze, ein anderer Sponsor sogar ca. 300.000 Datensätze. Übermittelt wurden u.a. Vor- und Nachname, Adresse, E-Mail-Adresse, Geschlecht, Telefon- und Handynummer und Geburtsdatum der Mitglieder. Einige Monate vor der Weitergabe der Daten, kündigte der Tennisclub seinen Mitgliedern dies in seinem Newsletter und auf der Webseite an und wies darauf hin, dass die Mitglieder der Weitergabe widersprechen können.

 

Daraufhin wurden die Mitglieder postalisch und in ca. 40.000 Fällen auch telefonisch vom Sponsor kontaktiert.

 

Der Tennisclub rechtfertigte die Weitergabe der Daten damit, dass dies einen Mehrwert für die Mitglieder schaffen sollte (z.B. in Form von tennisbezogenen und anderen Angeboten) und dadurch außerdem die sinkenden Einnahmen wegen rückläufiger Mitgliederzahlen ausgeglichen werden sollten.

 

Dies erkannte die Niederländische Datenschutzbehörde nicht als ausreichend an, sondern sah darin eine unerlaubte Weitergabe von Daten und damit ein Verstoß gegen die DSGVO. Die Datenschutzbehörde wertete die Handlungen des Tennisclubs als schweren Verstoß. Der Tennisclub habe sich insbesondere nicht ausreichend informiert.

 

Die Entscheidung ist noch nicht rechtskräftig, der Tennisclub hat bereits angekündigt, Rechtsmittel einlegen zu wollen.

 

Die Weitergabe von Daten bedarf immer einer rechtlichen Grundlage gemäß Art. 6 DSGVO. Als eine solche kommt vorliegend lediglich eine Einwilligung in Betracht, die jedoch ausdrücklich, informiert und freiwillig erteilt werden muss. Ein bloßer Hinweis auf ein bestehendes Widerspruchsrecht, das aktiv ausgeübt werden muss, weil ansonsten das Schweigen als Einwilligung gewertet wird, ist nicht ausreichend und zulässig!

 

Ein weiteres Beispiel, dass uns zeigt, dass die Rechtsgrundlage für die Datenverarbeitung immer sorgfältig abgewogen werden muss. Binden Sie vor solchen Aktionen immer Ihren Datenschutzbeauftragten mit ein, um hier auf der sicheren Seite zu sein.

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

So ist es zumindest in der Datenschutzerklärung auf der Webseite zu lesen.

Es bleibt zu hoffen, dass zumindest die Daten der Webseitenbesucher geschützt sind, den aktuellen Medienberichten zufolge scheint dies für die Mitarbeiterdaten nicht ganz zuzutreffen. Zumindest hat der Landesdatenschutzbeauftragte von Hamburg, Johannes Caspar, ein Bußgeldverfahren eingeleitet, da sich der Verdacht massiver Verstöße gegen die Rechte der Beschäftigten erhärtet hat.

In einem exklusiven Interview mit der FAZ sprach Herr Caspar von systematischen Aufzeichnungen, die von Vorgesetzten über deren Mitarbeiter detailliert erstellt worden seien. Dabei wurden angeblich auch gesundheitliche Diagnosen, privaten Streitigkeiten oder Urlaubserlebnisse der Mitarbeiter festgehalten. Diese Informationen stammten aus offiziellen Gesprächen einerseits, seien aber auch mit „privat gewonnenen Informationen“ etwa aus Plauderrunden oder während Raucherpausen angereichert worden.

Dem Unternehmen H&M droht bei einem festgestellten Verstoß ein Bußgeld, welches sich am Umsatz des Konzerns orientiert. Nach eigenen Angaben lag dieser im Jahr 2018 bei 3,14 Milliarden Euro. Nach dem erst im November 2019 durch die Datenschutzkonferenz (DSK) veröffentlichten Bußgeldkonzept würde der Tagessatz für ein Bußgeld damit bei 8,7 Millionen Euro liegen. Dieser Tagessatz wäre dann – je nach Verstoß – mit einem Faktor zwischen 1 und 14,4, je nach Schwere des Verstoßes, zu multiplizieren. Falls die Daten sich wie behauptet tatsächlich ungeschützt und unverschlüsselt auf einem internen Laufwerk befanden, dürfte dies auch bei der Festlegung des Tagessatzes und damit bei der Festlegung des Bußgelds eine große Rolle spielen.

Sollten sich die Vorwürfe bewahrheiten und ein Millionenbußgeld verhängt werden, würde sich wieder einmal zeigen, dass es sich auch finanziell lohnt, den Datenschutz tatsächlich wichtig zu nehmen und schon im Vorhinein für einen ordnungsgemäßen Umgang mit den im Unternehmen vorhandenen personenbezogenen Daten zu sorgen. Die rechtzeitige Beauftragung von Datenschutzexperten und die notwendige Umsetzung der Vorgaben der DSGVO wäre mit Sicherheit günstiger gekommen.

C. Lürmann

Rechtsanwältin

Consultant für Datenschutz

Die Datenschutzgrundverordnung (DSGVO) beschäftigt immer noch sehr viele Unternehmen, nun steht schon die Verordnung über Privatsphäre und elektronische Kommunikation (ePrivacy-Verordnung (ePVO)) vor der Tür. Ursprünglich sollte sie schon mit der DSGVO in Kraft treten, dies wird nun aller Wahrscheinlichkeit nach 2020 der Fall sein.

 

Die ePVO ist eine EU-Verordnung, die nach ihrem Inkrafttreten sofort innerhalb der EU gilt. Eine Umsetzung durch die Mitgliedsstaaten ist nicht erforderlich. Die ePVO soll personenbezogene Daten in der elektronischen Kommunikation schützen. Sie ist ein Spezialgesetz zur DSGVO und soll diese bezüglich elektronischer Kommunikationsdaten präzisieren und ergänzen.

 

Sachlicher Anwendungsbereich
Nach Art. 2 Abs. 2 des Entwurfs gilt die Verordnung für

 

  • die Verarbeitung von elektronischen Kommunikationsinhalten und von Metadaten der elektronischen Kommunikation, die im Zusammenhang mit der Bereitstellung und Nutzung von elektronischen Kommunikationsdiensten durchgeführt werden;
  • Informationen über die Endgeräte der Endverbraucher
  • das Angebot eines öffentlich zugänglichen Verzeichnisses der Endnutzer elektronischer Kommunikationsdienste;
  • die Versendung von Direktmarketing-Mitteilungen an die Endverbraucher.

 

Von der ePVO betroffen sind daher u.a.:

 

  • Messenger-Dienste
  • Internettelefonie
  • Webbasierte E-Mail-Dienste
  • Soziale Medien
  • Internetzugang

 

Wesentliche Inhalte

 

  • Endnutzer sollen in regelmäßigen Abständen von max. 12 Monaten an die Möglichkeit des Widerrufs ihrer Einwilligung zur Verarbeitung elektronischer Kommunikationsdaten erinnert werden, Art. 4a Abs. 3 des Entwurfs.
  • Die Möglichkeit der Rufnummerunterdrückung soll den Endnutzern auf einfache Weise und kostenlos zur Verfügung gestellt werden, Art. 12 des Entwurfs.
  • Die Endnutzer sollen außerdem kostenlos die Möglichkeit bekommen eingehende Anrufe von bestimmten Rufnummern oder anonymen Quellen zu sperren und eine von einem Dritten veranlasste automatische Anrufweiterschaltung zur Endeinrichtung des Endnutzers abzuschalten, Art. 14 des Entwurfs.
  • Die Aufnahme personenbezogener Daten der Endnutzer in öffentlich zugängliche Verzeichnisse (z.B. Telefonbücher) ist nur mit Einwilligung des Endnutzers möglich. Die Mitgliedsstaaten dürfen hier jedoch eine Widerspruchslösung einführen, d.h. dass die Einwilligung des Endnutzers als erteilt gilt, solange er nicht widerspricht, Art. 15 des Entwurfs.
  • Direktwerbung ist nach Art. 16 des Entwurfs unerwünschte Kommunikation. Eine Direktwerbung über elektronische Kommunikationsdienste darf nur mit Einwilligung des Endnutzers erfolgen. Wurden die elektronischen Kontaktangaben durch den Verkauf eines Produkts oder einer Dienstleistung erlangt, dürfen diese nur für eigene ähnliche Produkte oder Dienstleistungen verwendet werden und nur dann, wenn dem Kunden ein Widerspruchsrecht eingeräumt wird.

 

Cookies
Derzeit lassen die meisten Browser Cookies zu, wenn der Nutzer nicht erweiterte Sicherheitseinstellungen aktiviert hat. In Deutschland verlangen die Aufsichtsbehörden aber schon jetzt, dass die Nutzer für das Setzen von Cookies mit einer Opt-In-Lösung ihre ausdrückliche Zustimmung erteilen. Die Aufsichtsbehörden im EU-Ausland sehen dies jedoch anders und verlangen datenschutzrechtlich momentan keine Zustimmung der Nutzer für den Einsatz von Cookies, sondern der Nutzer kann dem mithilfe der auf den meisten Webseiten genutzten Opt-Out-Lösung widersprechen. Diese Opt-Out-Lösung für den Einsatz von Cookies wird aber nach Inkrafttreten der ePVO nicht mehr ausreichend sein. Dadurch entfällt mit Inkrafttreten der ePVO die diesbezüglich herrschende Rechtsunsicherheit, da alle Webseiten in allen Mitgliedsstaaten dann einheitlich auf Grundlage der ePVO behandelt werden und eine solche Opt-In-Lösung implementieren müssen. Auch in Browsern sollen sich die Regel-Einstellungen dahingehend ändern, dass Cookies grundsätzlich gesperrt sind und die Aktivierung explizit durch die Nutzer vorgenommen werden muss.

 

Bußgelder
Art. 83 DSGVO soll auf die Verhängung von Bußgeldern nach der ePVO entsprechende Anwendung finden. Der Bußgeldrahmen liegt also auch bei Verstößen gegen die ePVO bei bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Betrag höher ist.

 

Bußgelder kommen nach Art. 23 des Entwurfs insbesondere in Betracht bei

 

  • Verstößen gegen den Grundsatz der Vertraulichkeit und Kommunikation
  • unerlaubter Verarbeitung elektronischer Kommunikationsdaten
  • Verstößen gegen die Löschfristen der ePVO
  • Nichtbefolgung einer Anweisung der Aufsichtsbehörde

 

Die konsolidierte Entwurfsfassung der ePVO vom 12. Juli 2019 sieht eine Übergangsfrist von zwei Jahren vor. Trotzdem sollte man nicht bis zum letzten Tag warten, sondern sollte sich schon rechtzeitig auf die ePVO vorbereiten und an einer entsprechenden Umsetzung arbeiten. Dabei unterstützen wir Sie gerne, kommen Sie bei Fragen einfach auf uns zu.

 

 

Julia Eisenacher
Juristin (Univ.)
Consultant für Datenschutz

20 Mitarbeiter 50 Millionen 72 Stunden A1 Digital Abbinder Abkommen Abmahnung Abmahnungen Abo-Falle Absicherung Abstandsmessung Abstandsüberwachung Abstimmung Abwehr terroristischer Straftaten ADCERT Adressbuch AfD Airbnb amerikanische Behörden Amnesty Anbieter Angemessenheitsbeschluss Angemessenheitsentscheid Angestellte Angreifer Angriff Anklage Anonymisierung Ansteckungsgefahr Anwendbarkeit Anwendung Anwesenheit AOK Apple Applikationen AppLocker Arbeitgeber Arbeitnehmer Arbeitsabläufe Arbeitsgericht Arbeitsmittel Arbeitsrecht Arbeitsunfähigkeitsbescheinigung Arbeitsverhältnis Arbeitszeit ArbGG Art. 17 DSGVO Art. 25 DSGVO Art. 26 DSGVO Art. 32 DSGVO Art. 37 DSGVO Art. 4 Nr. 12 DSGVO Art. 45 DSGVO Art. 8 MRK Art. 9 DSGVO Attacken Auchfsichtsbehörde Audit Aufsichtsbehörde Aufsichtsbehörden Auftragsverarbeiter Auftragsverarbeitung Auftragsverarbeitungsvertrag Aufzeichnung Auskunft Auskunftei Auskunftsanspruch Auskunftsansprüche Auskunftsrecht Auskunftsverlangen auslisten Ausnutzung Ausspähen Austritt Austrittsabkommen Auswertung Authentizität Automatisierte Einzelentscheidung Autsch Avast Backup Baden-Württemberg BAG BayDSG Bayerisches Datenschutzgesetz BDSG BDSG-Neu Beamte BEAST Bedrohung Beekeeper Befunde Begrifflichkeiten Beherbergungsstätten Bekanntwerden BEM Benachrichtigungspflicht Benutzerauthentifizierung Berechtigungen Berichte Berufsgeheimnis Beschäftigte Beschäftigtendatenschutz Beschäftigtenumfragen Beschluss Beschlussfassung Beschwerde besondere Kategorien personenbezogener Daten Besucherdaten betriebliche Eingliederungsmanagement betriebliche Nutzung betrieblicher E-Mail-Account betrieblicher Internetzugang Betriebsrat Betriebsratssitzung Betriebsvereinbarung Betriebsverfassungsgesetz Betriebsversammlungen betroffene betroffene Person betroffene Personen Betroffenenanfragen Betroffenendaten Betroffenenrechte BetrVG Bewegungsprofil Bewerberdaten Bewerberportal BfDI BGH Bildaufnahmen Bildberichterstattung Bilder Bildersuche Bildrechte Binding Corporate Rules biometrische Daten Biometrische und genetische Daten Bitcoins Bitkom BKA Black- bzw. Whitelisting Technologie Bonität Bonitätsprüfung Bounty Brexit Britische Datenschutzbehörde Browser BSI Bug-Bounty-Programm Bund Bundesamt für Sicherheit in der Informationstechnik Bundesarbeitsgericht Bundesdatenschutzbeauftragter Bundesfinanzministerium Bundesgesundheitsministerium Bundeskartellamt Bundesnetzagentur Bundesregierung Bürokratieentlastungsgesetz Bußgeld Bußgeldbehörden Bußgelder Bußgeldverfahren BVG Callcenter Cambridge Analytics Captcha-Funktion Citizen-Score Cloud Cloud-Lösung CNIL Compliance Computer Cookie Cookies Corona Coronavirus COVID-19 CovidLock Malware Coworking-Spaces Cross Site Scripting Custom Audience CVE-2020-1456 CVE-2020-35753 Cyber Cyber-Attacken Cyberangriffe Cyberkriminalität Cyberkriminelle Cybersicherheit Cyble c`t Darknet Dashcam data breaches data protection officer Daten Daten-für-alle-Gesetz Datenabflüsse Datenaustausch Datenerhebung Datenlöschung Datenminimierung Datenmonopol Datenpanne Datenpannen Datenschutz Datenschutz Grundverordnung Datenschutz und Informationsfreiheit Datenschutz- und Informationssicherheitsbeauftragten Datenschutz-Folgenabschätzung Datenschutz-Schulungen Datenschutzabkommen Datenschutzaufsichtsbehörde Datenschutzaufsichtsbehörden Datenschutzauskunft-Zentrale Datenschutzbeauftragte Datenschutzbeauftragten Datenschutzbeauftragter Datenschutzbehörde Datenschutzerklärung Datenschutzgesetz Datenschutzgrundsätze Datenschutzgrundverordnung Datenschutzkonferenz datenschutzkonform Datenschutzmanagement Datenschutzmängel Datenschutzniveau Datenschutzpanne Datenschutzprinzipien Datenschutzvereinbarung Datenschutzverletzung Datenschutzverletzungen Datenschutzverstöße Datenschutzverstößen Datenschutzvorfall Datensicherheit Datentransfer Datenübermittlung Datenübermittlung an Dritte Datenübermittlung in Drittstaaten Datenübertragung Datenverarbeitung Datenverarbeitungsprozesse Dating Dating-Portale Denial of Service Deutsch deutsch Deutsche Bahn Deutsche Bundesbank deutsche Telemediengesetz Deutsche Wohnen SE Diagnose Diebstahl Dienste Diensteanbieter Dienstleister Diesel-Fahrverbot Dieselfahrverbot Dieselskandal Direktwerbung Do not track-Funktion Dokumentation Donald Trump Dritter Drittland Drittlandtransfers Drittstaat Drittstaat ohne angemessenes Datenschutzniveau Drittstaaten DSAnpUG-EU DSG DSGVO DSGVOÜberwachungstool DSK DSVGO Durchsuchung Dynamic Data Exchange Protokoll dynamische IP-Adresse E-Mail E-Mail-Kampagnen e-Privacy-Verordnung E-Rechnung eCall-Technologie EDÖB EDPB EES EFAIL ehrenamtlich tätiger Vereine Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Eigentum Einhaltung Einschränkungen Einsichtnahme Einwilligung Einwilligungserklärung Einwilligungserklärungen Einzelfall elektronische Kommunikation elektronische Patientenakte Empfänger Empfehlungen Empfehlungen für Transfer- und Überwachungsmaßnahmen Ende-zu-Ende Ende-zu-Ende-Verschlüsselung Englisch ENISA Entlastung Entsorgung ePA ePrivacy ePVO Erfassung Ergebnisliste Erhebung Erhebung personenbezogener Daten Erhebungsverbot Ernährung Erwägungsgrund 48 der DSGVO eSafety-Initiative Essenswünsche Ethik ETIAS EU EU Kommission EU-Bürger EU-Datenschutz-Grundverordnung EU-Datenschutzgrundverordnung EU-Mitgliedsstaaten EU-Parlament EU-Richtlinie EU-Standardvertragsklauseln EU-Vertreter EuGH Euratom Europa Europäische Atomgemeinschaft Europäische Aufsichtsbehörde Europäische Kommision Europäische Kommission Europäische Union europäischen Vorschriften Europäischer Gerichtshof European Data Protection Board EWR externe Quellen Extra-Bezahlung Extra-Kosten Facebook Facebook-Fanpages Facebook-Pixel Fachbereich Fahrzeugdaten Fahrzeuge Fanpage Fanpagebetreiber Faxgerät FBI FDPIC Feedback Fernmeldegeheimnis Festplatte Finanzamt Finanzsektor Fingerabdruck Fingerabdruckscanner Firmensitz FlugDaG Fluggast Fluggastdaten Fluggastdatengesetz Folgenabschätzung Formalien Foto Foto-Funktion Framework freiwillig Frist Fristbeginn fristlose Kündigung Funkmäuse Funktastaturen Fürsorgepflicht GDPR gefährdet Geheimhaltung Geldbörse Geldbußen Geldstrafe Gemeinsam Verantwortliche Gericht Gerichtsbeschluss Gesellschaft für Informatik Gesetz Gesetz gegen den Unlauteren Wettbewerb Gesetz gegen Wettbewerbsbeschränkungen gestohlen Gesundheitsdaten Gewährleistung ginlo Business Google Google Analytics GPS grenzüberschreitend Groß-Britannien Großbritannien Grundrechte Grundrechtsabwägung Grundrechtseingriffen Grundsatz der Zweckbindung GWB H & M H&M Hack hack day Hackathon hacken Hacker Hackerangriff hackfest halal Handelsabkommen Handy-Tracking Hash-Verfahren Hausverwaltung Head of Cyber Security Architectur Health Checks Hinweisgeber Hoccer höchstpersönlich Höchstvermietungsdauer Home Office Home-Office Homeoffice Homepage Hygiene Immobilienmakler Infomationen Information Informationen Informationsfreiheit Informationspflicht Informationspflichten Informationssicherheit Informationssicherheitsbeauftragte Infrastruktur Inhalteanbieter Insights Insolvenzmasse Insolvenzverfahren Insolvenzverwalter Installation Integrität interner Datenschutzbeauftragter Internet Intrusion-Prevention-Systeme Investition iOs-App IP-Adresse iPad iPhone IPS Irland ISO/IEC 27001 IT Governance IT GRC IT-Forensik IT-forensische Untersuchung IT-Mitarbeiter IT-Security IT-Sicherheit IT-Systeme Italien ITSECX Jahresbericht Japan Jin-hyok Joint Control Kameras Kanada Kenntnis Kennzeichen-Scan Keynote Klagebefugnis Klingelschilder KNLTB kollektive Daten Kommune Kommunikation Kommunikationsmedium Konferenz Kontaktbeschränkungen Kontaktdaten Kontakte Kontaktpersonen Kontaktsperre Kontrolle Konzern konzerninterner Datentransfer Kooperationsabkommen Körpertemperatur KoSIT Krankenkasse Krankenkassen Krankheit Kriminalität Kriminelle Krise KUG Kunden Kundenbindung Kundenzufriedenheit Künstliche Intelligenz Kunsturhebergesetz Kurzarbeit Landesarbeitsgericht Landesbeauftragte Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg Landesbeauftragte für den Datenschutz Landesdatenschutzbeauftragten Landesdatenschutzgesetz Landesverband Landgericht Laptop Lazarus Lebensweise Lehrer Leistungs- und Verhaltenskontrolle LfD LfDI Baden-Württemberg LfDI BW Like-Button LLC Löschpflicht Löschung personenbezogener Daten Löschungsrecht Löschverlangen Lösegeld Machtposition Mail Makler Malware Manipulation eines Request Manipulation eines Requests Markennamen Markenrecht marktbeherrschende Stellung Marktforschung Marktortprinzip Maßnahmen MD5 Meldebehörde Meldepflicht meldepflichtige Krankheit Meldeportal Meldescheine Meldesystem Meldung Meltdown Menschenrecht Menschrechtsverletzungen Messenger Messung Microsoft Microsoft Office Mieter Mietverhältnis Minutien Misch-Account Missbrauch Missbrauch von Kundendaten missbräuchlich Mitarbeiter Mitbestimmung Mitbestimmungsrecht Mitbewerber Mitglieder Mitgliedsstaaten Mitwirkung Mobiltelefon MouseJack-Angriffe Nachverfolgung natürliche Person Nebenjob Nebentätigkeit Netzwerklabor Neutrale Schule nicht datenschutzkonform Niederlande Niedersachsen NIST No-Deal-Brexit Nordkorea Notebook notebooksbilliger.de Nutzer Nutzung Nutzungsbedingungen Oberlandesgericht Düsseldorf öffentliche Stelle Office Office 365 Öffnungsklauseln OLG OLG Stuttgart One Stop Shop One-Stop-Shop Online Online-Dienste Online-Gewinnspiel Online-Kommunikationstools OpenPGP Opfer Österreich Pandemie Papierrechnung Passenger Name Records Passwort Passwort-Sicherheit Passwörter Passwörter. 2016 Passwortfilters Passwortregeln Passwortschutz Patientendaten Penetration Tests Penetrationstest Penetrationstests Persis Online personal data Personalabteilung Personalausweiskopien Personalfragebogen Personalverantwortliche personenbezogene Daten personenbezogenen Daten Personenbilder persönliche Daten Persönlichkeitsrecht Persönlichkeitsrechte Pflichten Pharmalobbyist Phishing Phishing-Kampagnen Phising Plattformbetreiber PNR-Daten PNR-Instrumente Polizei POODLE Power Query PowerShell-Umgebung Prävention Praxistipps Privacy by Default Privacy by Design Privacy Shield privat private Endgeräte private Handynummer private Mobilfunknummer private Telefonnummer Privatleben Privatnutzung Privatnutzungsverbot Privatspäre Privatsphäre Problem Produktivitätswert Profiling Prozesskosten Quantencomputer Quarantäne Ransomware reale Infrastruktur Rechenzentren Rechenzentrum Recht auf Achtung des Privat- und Familienlebens Recht auf Berichtigung Recht auf Datenübertragbarkeit Recht auf Einschränkung Recht auf Löschung Rechte Rechte der betroffenen Person Rechte der betroffenen Personen Rechtmäßigkeitsvoraussetzungen Rechtsabteilung rechtswidrig Referenten Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien Regelungsaufträge Reichweitenanalyse Reputationsschaden Research Research Team Risiken Risiko Risikobewusstsein Risikogruppen Risikomanagement Risk & Compliance Management Robert-Koch-Institut Rufschädigung Ruhezeiten S/MIME SamSam Sanktion Sanktionen SCC Schaden Schadensersatz Schadprogramm Schadsoftware Schrems II Schüler Schulung Schutz Schutz der Privatsphäre schützenswert Schutzmaßnahmen Schutzniveau schutzwürdige Interessen Schwachstelle Schwachstellen Schweiz SDSG second line of defense Security by Design Seitenbetreiber Sensibilisierung SHA1 SharePoint sicher Sicherheit Sicherheits- und Datenschutzmängel Sicherheitslücke Sicherheitslücken Sicherheitsmängel Sicherheitsstandards Sicherheitsvorfall Sicherheitsvorfälle kritische Infrastrukturen IT-Sicherheitsbeauftragten ISMS Sicherung der Daten Siegel Signal Signatur Sitzbereiche Sitzungen Skype Smartphone Social Plugin Software Software-Entwicklung Sony Sony PSN Soziale Netzwerke soziale Netzwerke Spammails SPD Spectre Speicherdauer Sponsoren Sprache Sprachkenntnis Standarddatenschutzklauseln Standardschutzklauseln Standardvertragsklauseln Standort Statistik Tool Steuer Steuerberater Strafe Straftaten Strafverfolgung Studenten Suchanfrage Suchdienst Suchmaschine Supercomputer Risikolage supervisory authority Support Swiss IT Security Gruppe Swiss- U.S. Privacy Shield Swiss-US Privacy Shield Synergiepotenziale Systemadministrator Technische & organisatorische Maßnahmen technische & organisatorische Maßnahmen Technische und organisatorische Maßnahmen technische und organisatorische Maßnahmen Telefonnummer Telefonwerbung Telekommunikation-Telemedien-Datenschutzgesetz Telekommunikationsgesetz Telemarketing Telemediendienst Telemediengesetz Teleselling Telstra Security Report Tennisclub Threema Work TIBER TIBER-DE TKG TLS TMG TOM Tools Totalrevision Tracking Tracking Tools Tracking-Tools Transfer- und Überwachungsmaßnahmen Transportverschlüsselung TTDSG Twitter Übergangsfrist Übergangsphase Übermittlung personenbezogener Daten Übernahme Übertragung Überwachung Überwachungssoftware Umfrage Umsetzungsfrist Unberechtigte Datenabfrage unerlaubt Unionsbürger unpersonalisierter Benutzer-Account Unterlassungsanspruch Unternehmen Unternehmensgröße Unternehmensgruppe Unternehmenssprache unverschlüsselt unzulässig Update Urlaub Urteil US-Behörden US-Regierung USA UWG Vegan Vegetarier Verantwortlichen Verantwortlicher Verantwortung Verarbeitung Verarbeitungsverbot Verbot Verbraucher Verbraucherzentralen Verdachtsfälle Vereinbarung Vereinigte Königreich Vereinigtes Königreich Großbritannien und Nordirland Verfahren C-311/18 Vergessenwerden Verkaufsraum Verlängerung verloren Verlust Vermieter Vernichtung von Datenträgern Veröffentlichung Verordnung (EU) 2015/758 verschlüsseln Verschlüsselte E-Mails Verschlüsselung Verschlüsselungsverfahren Versicherte Verstoß Verstöße Vertrag zur Auftragsverarbeitung Vertragsanbahnung Verwaltungsakt Verwaltungsgericht Karlsruhe VG Mainz Video-Kommunikation Videokamera Videokonferenz Videokonferenzen Videokonferenzsysteme Videoüberwachung Virus Voraussetzungen Voreinstellungen Vorgesetzte Vorsicht Vorteile Wachstum WAF WannaCry Warnung Web-Applikation-Firewalls Webcast Webseite Webseiten Webseitenbesucher Webseitenbetreiber Website Website-Betreiber Webtracking Webtrecking weisungsunabhängig Weiterempfehlung von Stellenausschreibungen Weitergabe Weitergabe an Dritte Weltanschauung Werbeaussage Werbezwecke Werbung Wettbewerb Wettbewerbsrecht wettbewerbsrechtliche Abmahnung Wettbewerbsverstöße WhatsApp Whistleblower Whistleblowing Widerruf Widerrufsrecht Widerspruchsrecht Wien Windows Wire Enterprise Wirklichkeitsmodell Wohnung Workplace Analytics X-Rechnung XSS Youtube Zeiterfassung zentralisierte Verwaltung Zertifikat Zertifizierung Zoom Zoom Video Zugangsdaten Zugriff Zugriffsmöglichkeiten Zugriffsrechte Zugriffsverwaltung Zukauf zulässig Zulässigkeit zusätzliche Maßnahmen Zusatzschutz zuständig Zwangsgeld Zweck Zweckbindung Zweckbindungsgrundsatz § 15 TMG § 26 BDSG-Neu § 32 BDSG § 32 DSGVO § 35 BDSG-Neu § 38 BDSG-Neu § 3a UWG § 42a BDSG § 42b BDSG § 88 TKG

Tags

Mo Di Mi Do Fr Sa So
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28