Der Datenschutz-Radar bietet eine fortlaufende Übersicht zu aktuellen Entwicklungen im Datenschutzrecht. Der Fokus liegt hierbei auf Entscheidungen aus der Rechtsprechung und den Datenschutz-Aufsichtsbehörden, die wir für Sie einordnen. Die Übersicht wird laufend aktualisiert.

 

 

 

17.07.2019

460.000 € Bußgeld gegen niederländisches Krankenhaus

 

Die niederländische Aufsichtsbehörde (AP) hat ein Bußgeld von 460.000 € gegen ein Krankenhaus wegen unzureichender Sicherheitsmaßnahmen verhängt. Dies ist das Ergebnis einer Untersuchung der Aufsichtsbehörde, bei der sich herausstellte, dass Dutzende von Mitarbeitern des Krankenhauses Einsicht in die Patientenakten nehmen konnten, ohne dass dies notwendig war. Die Aufsichtsbehörde drohte außerdem weitere Bußgelder an, wenn die Sicherheitsmaßnahmen, die künftig unbefugte Zugriffe von Mitarbeitern auf Patientenakten verhindern, nicht implementiert werden. Dafür setzte die Behörde eine Frist bis zum Oktober dieses Jahrs. Der Vorsitzende der AP begründete das Bußgeld damit, dass die Beziehung zwischen einem Gesundheitsdienstleister und einem Patienten absolut vertraulich zu sein habe. Dies gelte auch innerhalb der Mauern eines Krankenhauses. Ein Krankenhaus müsse alle notwendigen technischen und organisatorischen Maßnahmen ergreifen, um die Sicherheit der Patientendaten zu gewährleisten. Dies könne beispielsweise mit einer Zwei-Faktor-Authentifizierung erreicht werden. Die Zugriffsrechte müssten außerdem regelmäßig kontrolliert werden. Das Krankenhaus kündigte an, entsprechende Maßnahmen zu ergreifen.

 

Fazit der Datenschutzkanzlei

Dieses Bußgeld signalisiert wie wichtig Berechtigungskonzepte und streng geregelte Zugriffsrechte sind. Dabei spielt das sogenannte „Need-to-know-Prinzip“ eine wichtige Rolle. Vor allem im Gesundheitswesen ist es unerlässlich den Grundsatz der Vertraulichkeit der Daten nach Art. 5 Abs. 1 lit. f DSGVO auch innerhalb der Organisation zu wahren. Die hierfür notwendigen technischen und organisatorischen Maßnahmen sind zwingend zu implementieren, auch wenn dies unter Umständen mit einer kostspieligen Veränderung der internen Systeme und Arbeitsabläufe verbunden ist.

 

 

08.07.2019

183,39 Mio. £ Bußgeld gegen British Airways

 

Die britische Aufsichtsbehörde ICO plant die Verhängung eines Bußgelds von 183,39 Mio. £ gegen British Airways. Das Bußgeld soll aufgrund unzureichender Sicherheitsmaßnahmen der Website begründet werden.

Dabei ging es um einen Cyber-Vorfall, welcher der britischen Aufsichtsbehörde im September 2018 gemeldet wurde. Vermutlich bereits seit Juni 2018 wurden die Nutzer der Website von British Airways über eine betrügerische Seite umgeleitet, sodass sich auf diese Weise unberechtigte Dritte Zugang zu personenbezogenen Daten von mehr als 500 000 Kunden verschaffen konnten. Zurückzuführen sei dieser Vorfall auf unzureichende Sicherheitsmaßnahmen, wodurch eine Vielzahl von Informationen einschließlich Login, Zahlungsdaten, Reisebuchungsdaten sowie Name und Adressen gefährdet wurden. British Airways konnte keinen angemessenen Schutz der Nutzerdaten gewährleisten und verstieß gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f) DSGVO. Laut Statement der Behörde zeigte sich British Airways kooperativ und verbesserte seine Sicherheitsvorkehrungen nach Bekanntwerden des Vorfalls. Dennoch sei die Datenpanne mit einem Bußgeld zu ahnden.

 

Fazit der Datenschutzkanzlei

Website-Betreiber sind dafür verantwortlich, dass ihre Nutzerdaten in einer Weise verarbeitet werden, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet werden kann. Die umfasst insbesondere den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung aber auch den unberechtigten Zugriff Dritter. Auf die Erfüllung dieses Grundsatzes in Art. 5 Abs. 1 lit. f) legen die Aufsichtsbehörden viel wert und können bei Verstößen den vollen Bußgeldrahmen der DSGVO ausschöpfen. Prüfen Sie also Ihre technischen und organisatorischen Maßnahmen regelmäßig auf deren Funktionalität und informieren Sie sich über aktuelle Sicherheitslücken Ihrer Website-Software, sodass die erforderlichen Updates rechtzeitig eingespielt werden können.

 

 

24.06.2019

250.000 Euro Bußgeld gegen spanische Fußballliga

 

Die spanische Aufsichtsbehörde AEPD verhängt ein Bußgeld von 250.000 Euro aufgrund eines Verstoßes gegen den Transparenzgrundsatz der DSGVO. Eine unsichtbare Funktion der App der spanischen Fußballliga „La Liga“ erhob Aufnahmen des Mikrofons sowie Standortdaten des Nutzers, um unlizenzierte öffentliche Übertragungen der Spiele aufzudecken. Zu den Spielzeiten nahm die App die Umgebungsgeräusche auf und kombinierte diese mit den Standortdaten. Das Bußgeld verhängte die spanische Aufsichtsbehörde auf Grund zweier Vergehen: Zum einen verstoße La Liga gegen das Transparenzgebot, da den Nutzern die Einzelheiten der Nutzung des Mikrofons und der Standortdaten nicht ausreichend erläutert werde. Zum anderen läge ein Verstoß gegen Art. 7 Abs. 3 DSGVO vor, nach welchem der Nutzer die Möglichkeit hat, die Einwilligung jederzeit zu widerrufen. La Liga will gegen die Entscheidung der Behörde Berufung einlegen und führt an, dass mithilfe der eingesetzten Technologie lediglich ein Tonabdruck erzeugt und in einen Code umgewandelt werde. Ein Rückschluss auf die Stimme des Nutzers könne dabei nicht erzeugt werden. Nur 0,75 % der erfassten Daten würden benötigt, um eine Übertragung im Umfeld festzustellen. Dennoch kündigte La Liga an, die umstrittene Funktion der App zu entfernen.

 

Fazit der Datenschutzkanzlei

Auch eine umfassende Datenverarbeitung von Informationen zu Standorten und Umgehungsgeräuschen ist grundsätzlich mit Einwilligung der Nutzer zulässig. Allerdings muss der Nutzer ausdrücklich und transparent über diesen Vorgang aufgeklärt werden, was insbesondere der Grundsatz der Transparenz gemäß Art. 5 Abs. 1 lit. a DSGVO vorschreibt. Auf die Erfüllung dieser Pflicht legen die Aufsichtsbehörden viel wert. Sollten Sie Ihre Datenverarbeitung auf eine Einwilligung stützen, sind die Nutzer umfassend über die Verwendung der Daten aufzuklären. Zudem ist erforderlich, dass Nutzern ein Widerruf dieser Einwilligung gemäß Art. 7 Abs. 3 DSGVO ermöglicht wird.

 

 

11.06.2019

50.000 Euro Bußgeld wegen “Schwarzer Liste” bei N26

 

Die Berliner Aufsichtsbehörde erklärt das Führen einer „Schwarzen Liste“ ehemaliger Kunden für rechtswidrig (siehe Jahresbericht 2018, Seite 131).

Im vorliegenden Fall beabsichtigte ein Ex-Kunde der Online-Bank N26 erneut ein Konto zu eröffnen. Die Bank lehnte dies ab, denn der Kunde stand auf einer „Schwarzen Liste“ für Personen, mit denen kein erneutes Vertragsverhältnis eingegangen werden sollte. Die Bank erklärte, die Daten aus Gründen der Geldwäsche aufzubewahren, räumte aber ein, dass sie mit Hilfe der Liste die Geldwäscheverdachtsfälle nicht von anderen Fällen unterscheiden könne. Nach Ansicht der Berliner Aufsichtsbehörde ist diese Speicherung unzulässig, da keine Rechtsgrundlage für die Aufbewahrung dieser Daten bestehe. Laut Behörde dürften nur Betroffene aufgenommen werden, die tatsächlich unter Geldwäscheverdacht stehen oder bei denen andere triftige Gründe vorliegen. Das Unternehmen soll bereits Widerspruch gegen den Bußgeldbescheid eingelegt haben, will sich mit Verweis auf das laufende Verfahren aber nicht weiter äußern.

 

Fazit der Datenschutzkanzlei:

Das Führen Schwarzer Listen (Blacklist) ist in vielen Branchen üblich und insbesondere in der Direktwerbung allgemein anerkannt. Es zeigt sich aber, dass diese Listen datenschutzrechtlich insbesondere dann problematisch sind, wenn der Zweck der Liste nicht erfüllt werden kann. In diesem Fall kann die Speicherung nicht auf eine Interessenabwägung im Sinne der DSGVO gestützt werden. Unternehmen sollten daher zunächst prüfen, ob entsprechende Listen intern geführt werden. Jede Liste sollte dann daraufhin untersucht werden, ob der verfolgte Zweck tatsächlich erreicht wird. Falls nicht, sollte die Liste gelöscht werden.

 

 

11.06.2019

220.000 Euro Bußgeld wegen fehlender Informationen gegen Adresshändler

 

Die polnische Aufsichtsbehörde UODO verhängt wegen fehlender Benachrichtigung von Betroffenen ein Bußgeld in Höhe von ca. 220.000 Euro gegen einen Adresshändler.

In dem Fall ging es um ein Tochterunternehmen der weltweit agierenden Bisnode AB, die zu kommerziellen Zwecken eine Datenbank mit personenbezogenen Daten von Unternehmern aus öffentlich zugänglichen Quellen führt. Bisnode erfüllte seine Informationspflichten aus Art. 14 DSGVO dabei nur gegenüber Personen, von denen eine E-Mail-Adresse vorlag, was in der Gesamtschau nur einen Bruchteil der Betroffenen darstellte (ca. 90.000 Personen). Das Unternehmen erachtete die Erfüllung der Informationspflichten gegenüber den übrigen ca. 6 Mio. Betroffenen per Briefpost oder Telefon als unverhältnismäßig und berief sich auf die gesetzliche Ausnahme des Art. 14 Abs. 5 DSGVO. Alternativ wurden entsprechende Informationen auf der Website zugänglich gemacht. Die polnische Aufsichtsbehörde ließ dies nicht genügen und verhängte das durchaus ambitionierte Bußgeld. Dabei berücksichtigte die Behörde wohl auch die fehlende Kooperationsbereitschaft von Bisnode.

 

Fazit der Datenschutzkanzlei:

Die Benachrichtigung von Betroffenen ist seit Geltung der DSGVO teilweise sehr komplex geworden. Strenggenommen müssen alle Personen informiert werden, deren Informationen in Datenbanken gespeichert werden. Gesetzliche Ausnahmen wie in Art. 14 Abs. 5 DSGVO (u.a. „unverhältnismäßiger Aufwand“) werden allgemein sehr restriktiv ausgelegt (siehe auch WP260rev.01 der Artikel 29 Datenschutzgruppe, ab Seite 28). In jedem Fall sollte die fehlende Information an die Betroffenen nachvollziehbar dokumentiert werden, um mögliche Maßnahmen von Behörden entgegentreten zu können. Zudem hilft es sicherlich weiter mit einer Aufsichtsbehörde in einen konstruktiven Dialog zu treten.

 

 

11.06.2019

400.000 Euro Bußgeld wegen Verletzung der Datensicherheit

 

Die französische Aufsichtsbehörde CNIL verhängte ein Bußgeld von 400.000 Euro aufgrund fehlender Maßnahmen zur Datensicherheit und unzulässiger Speicherung von Mieterdaten.

Das französische Unternehmen SERGIC ist in der Immobilienbranche tätig und ermöglicht Mietinteressenten, die für die Wohnungssuche relevanten Unterlagen auf deren Website hochzuladen und dort zu verwalten. Hierbei handelte es sich um Dokumente mit teilweise besonders schützenswerten personenbezogenen Daten, wie beispielsweise Kopien von Personalausweisen und Steuerbescheiden, Angaben zur Krankenversicherung sowie Bankdaten. Es stellte sich heraus, dass durch einfache Änderung der URL ein Zugriff auf die Dokumente anderer Nutzer möglich war, da kein Verfahren zur Authentifizierung etabliert wurde. Die Behörde stufte die fehlenden Sicherheitsfeatures als Verstoß gegen Art. 32 DSGVO ein. Zusätzlich stellte die Aufsichtsbehörde fest, dass die Daten auch weit nach Erfüllung des Zwecks in der gleichen Datenbank aufbewahrt wurden und sah darin einen Verstoß gegen den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO gegeben. Grund für die Höhe des Bußgelds war außerdem die mangelnde Sorgfalt des Unternehmens bei der Behebung der Schwachstellen vor allem unter Beachtung des hohen Schutzbedürfnisses der Daten.

 

Fazit der Datenschutzkanzlei:

Die Themen Datensicherheit und insbesondere Zugriffsrechte müssen Unternehmen im Griff haben. Schwachstellen werden weder von Aufsichtsbehörden noch den Betroffenen akzeptiert und finden unter dem Begriff „Datenpanne“ gerne auch den Weg in die überregionale Presse. Im Gegensatz zur alten Rechtslage, haben Behörden bei Verstößen gegen Art. 32 DSGVO nunmehr auch direkte Sanktionsmöglichkeiten, die sie mit Bußgeldern durchsetzen können (vgl. Art. 83 Abs. 4 lit. a DSGVO).