Die SPD befürwortet ein Daten-Für-Alle-Gesetz.
Hintergrund ist wohl, trotz strenger datenschutzrechtlicher Bestimmungen am digitalen Fortschritt ebenso teilnehmen zu können wie Diktaturen und Staaten mit nicht angemessenem Datenschutzniveau.
Daten bedeuten Macht und entsprechend soll das Datenmonopol der digitalen Konzerne wie Google, Facebook und Co. mit einem solchen Gesetz aufgelöst werden, indem sie gezwungen werden, „ihre“ Daten der Allgemeinheit zur Verfügung zu stellen.
Als „kollektive“ Daten und damit Allgemeingut sollen sie dann „zum Wohl des Einzelnen und für unsere Gemeinschaft“ genutzt werden, um Innovationen bspw. auf dem Gebiet der Künstlichen Intelligenz zu fördern und europäische Unternehmen wettbewerbsfähig zu halten („Prinzip von Open Data“).
Statt „exklusive[r] Eigentumsrechte“ soll es „darum gehen, den Zugang zu Daten zu verbreitern.“
Das Recht auf informationelle Selbstbestimmung „macht den Einzelnen grundsätzlich zum Herrn der ihn betreffenden Daten“ (Gola/Schomerus, BDSG, 11. Auflage § 1 Rn 10). Die „Eigentumsverhältnisse“ sind eigentlich somit klar.
Auch wenn das „grundlegende Recht auf Datenschutz der Einzelnen“ durchgehend betont wird:
Konzerne wie Facebook verdienen nicht deshalb so viel Geld, weil sie vollständig anonymisierte und damit eben keine personenbezogenen Daten verarbeiten; Skandale wie Cambridge Analytics haben dies immer wieder gezeigt. Im besten Fall handelt es sich um zunächst einmal pseudonymisierte Daten, die sich aufgrund ihrer Menge und der Hinzuspeicherung von Daten aus einer Vielzahl von Quellen leicht zu personenbezogenen Daten verdichten können.
Mit dem Konstrukt der „kollektiven Daten“ aus dem Bestand der digitalen Großkonzerne wirkt die Idee eines Daten-Für-Alle-Gesetzes auf den ersten Blick daher eher wie ein latenter Vorwurf an den Datenschutz (zwar nett, aber im Zeitalter von Post Privacy veraltet) und ein Hofieren der Innovationskraft von Google, Facebook und Co., an der man teilhaben möchte.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Wohnungsmangel ist v.a. in vielen großen Städten Realität. Vermieter und ihre Immobilienmakler können daher unter einer Vielzahl von Interessenten auswählen, von denen sie eine Menge personenbezogener Daten bereits auch schon vor Besichtigungstermin anfordern (z.B. Namensangaben, Geburtsdatum, Kontaktdaten, Anschrift, Familienstand inkl. Namen und Geburtsdatum von Ehepartnern und Kindern, Kinderwunsch, Heiratsabsichten, Schwangerschaft, Angaben zum bestehenden Arbeitsverhältnis wie Dauer (Eintrittsdatum, befristet/unbefristet), Art der Beschäftigung, Angaben zum Arbeitgeber, betriebliche Anschrift etc.), u.a. auch sensible Daten, wie Personalausweisdaten, -kopien, -scans, Vorstrafen sowie Angaben zu Vermögensverhältnissen (z.B. Lohn- und Gehaltsnachweise, Schufa-Auskunft, Angaben zu vorherigen Vermietern, Mietschuldenfreiheitsbescheinigung, Unterhaltsverpflichtungen, Insolvenzverfahren, Räumungsklagen).
Abgesehen vom Grundsatz der Datenminimierung werden dabei auch datensicherheitstechnische Vorgaben zum Schutz dieser vielen Daten in erheblichem Umfang missachtet.
Doch was dürfen Vermieter und ihre Immobilienmakler wirklich an Daten erheben?
Die Aufsichtsbehörden haben eine Orientierungshilfe hierzu herausgegeben (Stand 30.01.2018):
Zur Durchführung eines Besichtigungstermins dürfen Vermieter und ihre Immobilienmakler allenfalls
- Namensangaben
- Kontaktadresse
erheben, um den Zeitpunkt der Wohnungsbesichtigung mitzuteilen.
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. f) DSGVO.
Teilt bei oder nach dem Besichtigungstermin ein Mietinteressent mit, dass er die Wohnung anmieten möchte, dürfen weitere Daten erhoben werden:
- Anzahl der einziehenden Personen
- Namensangaben der einziehenden Personen nur, wenn diese ebenso Vertragspartei des Mietvertrages werden
- Angaben zu Vermögensverhältnissen: Beschränkung auf Angaben zu einem laufenden Verbraucherinsolvenzverfahren oder zu Räumungsklagen wegen Mietzinsrückständen innerhalb der letzten 5 Jahre
- Angaben zum Beruf: Funktion, Job-Titel; nach der Dauer darf nicht gefragt werden
- Höhe des Netto-Einkommens: Beschränkung auf Betragsgrenzen
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO.
Hat der Vermieter seine Wahl aufgrund der oben angegebenen Daten auf einige wenige Mietinteressenten eingegrenzt, dürfen weitere Daten erhoben werden:
- Lohn- und Gehaltsnachweise, geschwärzt um die nicht erforderlichen Angaben, wie bspw. Religionszugehörigkeit etc.
- Selbstauskunft zur Bonität: Beschränkt auf einen Nachweis eigens für den spezifischen Fall der Eingehung eines Mietverhältnisses; der Abschluss des Mietvertrags darf zudem nur noch vom positiven Ergebnis dieser Bonitätsprüfung abhängen.
- Angaben können durch die Vorlage des Personalausweises überprüft werden; die Anfertigung von Personalausweis-Kopien/-Scans ist jedoch unzulässig.
Die Rechtsgrundlage ist Art. 6 Abs. 1 lit. b) DSGVO.
Die Erhebung weiterer als der eben genannten Daten aufgrund einer Einwilligung des Mietinteressenten gemäß Art. 6 Abs. 1 lit. a) DSGVO ist dem Vermieter / Immobilienmakler nicht möglich. Aufgrund des klaren Ungleichgewichts zwischen Vermieter und Mietinteressent, würde der Mietinteressent die Einwilligung nicht freiwillig abgeben, sondern aus einer Zwangslage heraus. Und eine solche Einwilligung ist nicht wirksam und die darauf basierende Datenverarbeitung wäre unzulässig.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Einleitung
Wer international agiert, muss beim Transfer der Daten besondere Vorkehrungen gem. Art. 44 ff. DSGVO beachten. Die Kommission unterstützt die Unternehmen hierbei: Bestimmte Länder dürfen sich mit einem sog. Angemessenheitsbeschluss schmücken, d.h. der Transfer in diese Länder wird ebenso behandelt, wie wenn die Daten innerhalb der Union ausgetauscht werden.
Aus aktuellem Anlass wollen wir auf drei Länder besonders verweisen.
Japan
Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss erlassen, wonach Japan ein angemessenes Datenschutzniveau bescheinigt wird. Aufgrund eines neuen Abkommens wurden in Japan zusätzliche Garantien eingeführt, die nun gewährleisten, dass sämtliche personenbezogene Daten einem Schutz unterliegen, der den europäischen Standards entspricht. Ein Datentransfer nach Japan ist nunmehr ohne weitere zusätzliche vertragliche Absicherung hinsichtlich der Datenübermittlung in Drittstaaten möglich.
Groß-Britannien
Ganz anders sieht es mit Groß-Britannien und dem bevorstehenden Brexit aus. Ein No-Deal-Brexit würde auch für den Datenschutz einen „no-Deal“ bedeuten, mit der Konsequenz, dass der Datentransfer ins Königreich nicht mehr ohne zusätzliche Absicherung möglich wäre. Da nicht damit zu rechnen ist, dass die Kommission im Falle eines No-Deal-Brexits umgehend einen entsprechenden Angemessenheitsbeschluss erlässt, sollten sich die Unternehmen vorsorglich darauf einstellen, mit ihren Vertragspartnern sicherheitshalber einen Vertrag aufgrund der Standardvertragsklauseln abzuschließen. Ansonsten wäre eine Datenübermittlung nach Groß-Britannien unrechtmäßig.
Schweiz
Unklar ist derzeit noch, wie es hinsichtlich des Schweizer Datenschutzrechts aussieht. Zwar existiert (noch) ein Angemessenheitsbeschluss der Kommission. Allerdings bleiben die Schweizer Regelungen in vielen Fällen noch hinter den Regelungen der EU zurück. Die entsprechend geplante Änderung des DSG (Datenschutzgesetz Schweiz) lassen derweil jedoch noch auf sich warten. Wenn die Schweizer Gesetzgebung sich nicht beeilt, droht der Widerruf des Angemessenheitsbeschlusses der Kommission mit der Folge, dass auch hinsichtlich des Datentransfers mit Schweizer Unternehmen die Standard-Vertragsklauseln abzuschließen wären, um einen rechtswidrigen Datentransfer zu vermeiden.
Wir halten Sie auf dem Laufenden.
Céline Lürmann
Rechtsanwältin
Consultant für Datenschutz
Spätestens das In-Kraft-Treten der Datenschutzgrundverordnung (DSGVO) und die damit verbundene Androhung drastischer Bußgelder sollte Unternehmen dazu motivieren, ihre Praxis der Datenverarbeitung zu überprüfen und anzupassen.
Dennoch erhielt ein Unternehmen von der Bundesnetzagentur nun ein Bußgeld von 300.000 €, weil es Telefonnummern betroffener Personen ohne deren ausdrückliche Einwilligung für Werbezwecke genutzt hatte.
Zwar kann Direktwerbung als ein berechtigtes Interesse des werbenden Unternehmens betrachtet werden (Erwägungsgrund 47 der DSGVO). Aber auch mit Inkrafttreten der DSGVO gilt § 7 Abs. 2 Nr. 2 des Gesetzes gegen den unlauteren Wettbewerb (UWG) weiterhin. Daher muss nach wie vor die Einwilligung der betroffenen Personen eingeholt werden, wenn man deren Daten zum Zwecke der Telefonwerbung verarbeiten möchte. Ohne Einwilligung ist Telefonwerbung nur in sehr restriktivem Maße erlaubt.
Darüber hinaus erhob das Unternehmen die Daten der betroffenen Personen wohl teilweise bei unseriösen Quellen, übermittelte die Daten in Drittstaaten ohne angemessenes Datenschutzniveau und soll mitunter Subunternehmen für die Datenverarbeitung eingesetzt haben, die bereits negativ wegen entsprechender Praktiken aufgefallen waren.
Ergebnis der unbefugten Datenverarbeitung war, dass die Angerufenen „äußerst hartnäckig, aggressiv, beleidigend und teilweise bedrohend“ werblich angesprochen worden sein sollen. Auch ihr Recht aus Art. 21 Abs. 2 DSGVO, einer solchen Datenverarbeitung zu Werbezwecken zu widersprechen, wurde laut Bundesnetzagentur ignoriert: So wurden betroffene Personen „häufig mehrmals kontaktiert, obwohl sie weitere Anrufe bereits im ersten Gespräch untersagt hatten“.
Der Bußgeldbescheid der Bundesnetzagentur ist noch nicht rechtskräftig (Stand: 10.12.2018). Der weitere Fortgang des Bußgeldverfahrens bleibt daher abzuwarten.
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Das Verwaltungsgericht München hat in seinem Urteil vom 12.12.2018 (Az.: M 9 K 18.4553) entschieden, dass die Airbnb Ireland UC Daten zu Nutzern ihrer Plattform an die Landeshauptstadt München übermitteln muss.
Dem „stünden keine datenschutzrechtlichen Bedenken entgegen“ (Redaktion beck-aktuell: VG München: Airbnb muss Identität deutscher Gastgeber preisgeben, Verlag C.H.BECK, 13. Dezember 2018).
Öffentlichen Stellen in Bayern dürfen personenbezogene Daten nur erheben, wenn dies zur Erfüllung einer Aufgabe erforderlich ist, die der öffentlichen Stelle obliegt, Art. 4 BayDSG.
Eine Erhebung der Daten bei Dritten wie hier der Airbnb Ireland UC ist dabei nur erlaubt, wenn
- eine solche Datenerhebung durch eine Rechtsvorschrift vorgesehen oder zwingend vorausgesetzt wird, oder
- die zu erfüllende Verwaltungsaufgabe ihrer Art nach oder im Einzelfall die Datenerhebung bei dem Dritten erforderlich macht, oder
- die Erhebung bei der betroffenen Person selbst wie hier den Airbnb-Nutzern einen unverhältnismäßigen Aufwand erfordern oder keinen Erfolg versprechen würde.
In den zwei letzten Fällen dürfen aber keine schutzwürdigen Interessen der betroffenen Personen entgegenstehen.
Entsprechende Rechtsvorschriften und Verwaltungsaufgaben sollen sich hierfür im „bayerischen Zweckentfremdungsrechts“ finden. Dadurch soll in einer Stadt wie München sichergestellt werden, dass leerstehender Wohnraum weniger an Touristen und sonstige Besucher, sondern an die Einwohner der Stadt vermietet wird, die unter dem Wohnraummangel zusehends leiden.
Von der Datenübermittlung betroffen sollen zudem auch nur diejenigen Airbnb-Nutzer sein, die Unterkünfte im Stadtgebiet anbieten und zwar für einen Zeitraum, der „die zulässige Höchstvermietungsdauer überschreite[t]“ (Redaktion beck-aktuell: VG München: Airbnb muss Identität deutscher Gastgeber preisgeben, Verlag C.H.BECK, 13. Dezember 2018).
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Nach dem Dieselskandal sollen die Dieselfahrverbote kommen.
Zur Durchsetzung der Verbote wurde nun ein Gesetzesentwurf von der Bundesregierung zur Änderung des Straßenverkehrsgesetzes (StVG) eingebracht, der wiederum für Empörung der Verbraucher sorgen könnte.
Es ist nämlich geplant, Verbote für Dieselfahrzeuge durch den Einsatz intelligenter Videoüberwachungs-technik durchzusetzen. Die damit verbundene „massenhafte Überwachung von Autofahrern wegen einer Ordnungswidrigkeit“ stößt -kaum überraschend- weitestgehend auf Kritik (beck-aktuell, 18. Januar 2019: Opposition hat Datenschutz-Bedenken gegen Überwachung von Diesel-Fahrverboten per Kennzeichen-Scan).
In seiner Pressemitteilung vom 27.11.2018 hat sich der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit besorgt darüber gezeigt: Der Einsatz solcher Technik „führt erkennbar in eine unverhältnismäßige staatliche Überwachungs- und Kontrollspirale hinein und steuert damit verfassungsrechtlich direkt in eine Sackgasse.“
Denn erst einmal würden deutschlandweit in den ausgewiesenen Zonen alle sich dort aufhaltenden Verkehrsteilnehmer automatisiert erfasst, und zwar mit ihrem KFZ-Kennzeichen, zusätzlich mit dem Bild ihres Fahrzeugs und von ihnen selbst als Fahrer sowie den Zeit- und Standortangaben. Anschließend sollen ihre Daten mit denjenigen aus dem Zentralen Fahrzeugregister des Kraftfahrt-Bundesamtes in Flensburg abgeglichen werden (Schindler/Kottke: Dieselfahrverbote und Kennzeichenerkennung, ZD-Aktuell 2018, 06392). Die Speicherdauer der Daten beträgt zwei Wochen bis 6 Monate (beck-aktuell, 18. Januar 2019: Opposition hat Datenschutz-Bedenken gegen Überwachung von Diesel-Fahrverboten per Kennzeichen-Scan).
Auch wenn hierbei kein ‚Citizen Score‘ nach chinesischem Vorbild für das Führen eines umweltfreundlichen Autos vergeben werden soll, sind damit sehr wohl Risiken für die Bürger verbunden. Daher empfiehlt der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit auf eine gewöhnliche Plakette als milderes Mittel zurückzugreifen.
Nach Ansicht der Bunderegierung sei dies aber keine Lösung, die genauso praktikabel, effizient und dabei weniger personalintensiv sei wie der Einsatz intelligenter Videoüberwachungstechnik. Zudem würden „die Daten sofort gelöscht werden, wenn ein Fahrzeug nicht von den Fahrverboten betroffen ist“ (Massenüberwachung von Autos macht noch keinen „Überwachungsstaat“, ZD-Aktuell 2018, 06374).
Die Verbraucher sollen nun also auch noch mit ihren Daten für den Dieselskandal „bezahlen“. Dabei sollte „[v]orrangiges Ziel (…) sein, den Schadstoffausstoß von Kraftfahrzeugen zu reduzieren (…).“ Und das kann „am Ende nicht durch Kennzeichenerkennung erreicht werden“ (Schindler/Kottke: Dieselfahrverbote und Kennzeichenerkennung, ZD-Aktuell 2018, 06392).
S. Kieselmann
Beraterin für Datenschutz
Dipl.sc.pol.Univ.
Die Datenschutzgrundverordnung (DSGVO) ist gut ein halbes Jahr alt. Die anfängliche Aufregung war spürbar, doch seit ein paar Monaten ist es ruhiger geworden um die DSGVO. Nun wurde aber das erste ernstzunehmende europäische Bußgeld für Google erlassen.
Google soll in Frankreich insgesamt 50 Millionen Strafe zahlen. Die französische Datenschutzbehörde CNIL stellte eine Vielzahl von Verstößen gegen die DSGVO fest.
Informationen zur Verarbeitung der erhobenen Daten und der Speicherdauer sind für die Nutzer nur schwer zugänglich, erklärte die französische Datenschutzbehörde am Montag. Die Informationen sind in mehreren Dokumenten verteilt. Auch ist Vieles unklar formuliert.
Zudem ist nach Ansicht der Aufsichtsbehörde die von Google eingeholte Einwilligung zur Anzeige von personalisierter Werbung nicht rechtskonform. Die Einwilligenden werden nicht ausreichend informiert.
Google wolle nun nach einer ausführlichen Prüfung des Bescheides die Transparenz bzgl. der Daten erhöhen.
Dr. Bettina Kraft
Teamleitung und Senior Consultant für Datenschutz
Volljuristin
Beim Verlust oder Diebstahl des Notebooks denken die Mitarbeiter oft an den finanziellen Schaden. Jedoch kann der Verlust für das Unternehmen im Hinblick auf den Datenschutz wesentlich schlimmer sein. Es gilt eine mögliche Datenpanne zu verhindern.
Ein verlorenes oder entwendetes Notebook ist aus datenschutzrechtlicher Sicht immer kritisch. Die auf dem Rechner gespeicherten Daten sind nicht selten solche mit Personenbezug, wie Kontaktdaten von Kollegen, oder Geschäftspartnern, aber auch von Kunden. Mit dem Laptop sind auch diese Daten verloren gegangen und befinden sich nun im Besitz des Finders oder Diebes.
Zu ergreifende Maßnahmen durch das Unternehmen
Auch wenn der Rechner passwortgeschützt ist, muss schnell gehandelt werden, da keine Kontrolle mehr über die Daten vorhanden ist. Daher ist die unverzügliche Meldung des Verlustes an den Vorgesetzen unumgänglich, um so schnell wie möglich Schutzmaßnahmen zu ergreifen. Es gilt den Zugriff auf die Festplatte und damit eine Datenpanne im Sinne des Art. 33 DSGVO zu verhindern. Die Konsequenzen des Verlusts / Diebstahls sind zu ermitteln. Möglicherweise befinden sich auf dem Rechner keine personenbezogenen Daten. Falls vorhanden, ist der/die Datenschutzbeauftragte zu beteiligen.
Es ist zu prüfen, ob der Verlust eine Datenpanne bedeutet; diese müsste innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde gemeldet werden.
Prävention
Die Schutzmaßnahmen müssen schon vorher festgelegt worden sein. So kann z.B. festgelegt werden, dass dort, wo es technisch möglich ist, Zugänge gesperrt und Passwörter geändert werden. Ein Verfahren zum Löschen von Daten aus der Ferne sollte, wenn möglich, beschrieben sein. Passwortschutz durch ein starkes Passwort. Verschlüsselung der Festplatte und der Daten auf der Festplatte. Sind die Daten verschlüsselt, könnte es sich ggf. um keine meldepflichtige Datenpanne im Sinne des Art. 33 DSGVO handeln.
Michaela Dötsch
Rechtsanwältin
Einleitung
Eigentlich sollte es ganz einfach sein: Durch das sogenannte One-Stop-Shop-Prinzip gibt es immer eine Aufsichtsbehörde, die sich federführend um Datenschutzbelange kümmert. Dadurch soll erreicht werden, dass einerseits die Verbraucher nicht mehr von einer Aufsichtsbehörde an die nächste verwiesen werden, andererseits sind besonders für international agierende Unternehmen nur noch eine Aufsichtsbehörde zuständig. So zumindest die Theorie.
Datenschutzverletzungen sind den jeweils zuständigen Aufsichtsbehörden zu melden. Dabei ist die Aufsichtsbehörde zuständig, in deren Bereich die Datenschutzverletzung stattgefunden hat. Insbesondere im Fall der grenzüberschreitenden Datenverarbeitung kann es jedoch mitunter schwierig sein, die zuständige Aufsichtsbehörde zu identifizieren.
Grenzüberschreitende Datenverarbeitung mit mehr als einem Mitgliedsstaat
Im Falle der grenzüberschreitenden Datenverarbeitung an der mehr als ein Mitgliedsstaat beteiligt ist, ist die Datenschutzbehörde zuständig, in der der Hauptsitz des Unternehmens ist.Wissenswert ist in diesem Zusammenhang, dass die Art. 29-Gruppe eine Leitlinie (WP 244) dazu veröffentlicht hat, wonach maßgeblich sein soll, wo (in welchem Land) die Entscheidung über die Verarbeitung getroffen wird. Im Zweifel soll das Unternehmen selbst ermitteln (dürfen), wo seine Hauptniederlassung ist und welche Aufsichtsbehörde damit als federführende Behörde fungiert. Diese Entscheidung kann jedoch von der jeweiligen Aufsichtsbehörde überprüft und ggfs. abgeändert werden. Die letztliche Entscheidung trifft die Europäische Aufsichtsbehörde.
Grenzüberschreitende Datenverarbeitung mit Hauptsitz außerhalb der EU
Für den Fall, dass der Hauptsitz außerhalb der EU ist und dort auch alle Entscheidungen getroffen werden sieht die DSGVO allerdings keine Lösung vor (Vergl. unter Ziff. 2.2 WP244).
Handlungsempfehlung
Als Handlungsempfehlung sollten Sie daher bei grenzüberschreitender Datenverarbeitung prüfen, in welchem Land die jeweiligen Entscheidungen getroffen werden. Es kann durchaus sein, dass z.B. in Kundenfragen eine andere Aufsichtsbehörde zuständig sein kann als in Beschäftigtenfragen. Im Zweifel sollte die Datenschutzverletzung sicherheitshalber sowohl in dem Land gemeldet werden, in dem die Verletzung stattgefunden hat als auch in dem Land, in dem die diesbezüglichen Entscheidungen zu der Verarbeitung getroffen wurde.
Wir können davon ausgehen, dass die Aufsichtsbehörden sich untereinander unterstützen, sie sind ohnehin verpflichtet, sich gegenseitig Amtshilfe zu leisten.
Céline Lürmann
Rechtsanwältin
Consultant für Datenschutz
Auch in Baden-Württemberg wurde nun das erste Bußgeld nach der Datenschutzgrundverordnung (DSGVO) verhängt. Ein Social-Media-Anbieter hat gegen die in Art. 32 DSGVO vorgeschriebene Datensicherheit verstoßen und soll nun eine Geldbuße von 20.000 Euro bezahlen.
Im September dieses Jahres hatte das Unternehmen bemerkt, dass durch einen Hackerangriff personenbezogene Daten von ca. 330.000 Nutzern, darunter Passwörter und E-Mail-Adressen, entwendet und veröffentlicht wurden. Im Rahmen der Zusammenarbeit mit dem LfDI Baden-Württemberg wurde bekannt, dass das Unternehmen die Passwörter seiner Nutzer im Klartext gespeichert hatte, um die Nutzer durch den Einsatz eines Passwortfilters besser zu schützen.
Dadurch verstieß das Unternehmen jedoch gegen Art. 32 Abs. 1 lit. a DSGVO und die sich daraus ergebende Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten.
Die gute Kooperation des Unternehmens wirkte sich bei der Höhe des Bußgeldes positiv aus. Durch die Bereitschaft des Unternehmens bei der Umsetzung der Vorgaben und Empfehlungen konnte die Sicherheit der Nutzerdaten bereits deutlich verbessert werden.
Julia Eisenacher
Consultant für Datenschutz
Diplomjuristin