Der Datenschutz-Radar bietet eine fortlaufende Übersicht zu aktuellen Entwicklungen im Datenschutzrecht. Der Fokus liegt hierbei auf Entscheidungen aus der Rechtsprechung und den Datenschutz-Aufsichtsbehörden, die wir für Sie einordnen. Die Übersicht wird laufend aktualisiert.

Update 21.10.2019: Über unseren DSGVO Bußgeldrechner erhalten Sie eine erste Einschätzung zu möglichen Sanktionen der Aufsichtsbehörden. Der Rechner basiert auf den Vorgaben der DSK-Datenschutzkonferenz vom 14.10.2019.

Autorin: Julia Kaiser

 

 

 

05.11.2019

Berliner Aufsichtsbehörde verhängt Bußgeld von 14,5 Millionen Euro gegen die Immobiliengesellschaft Deutsche Wohnen SE

 

Am 30.Oktober 2019 erließ die Berliner Beauftragte für Datenschutz und Informationsfreiheit ein Rekordbußgeld in Deutschland von 14, 5 Millionen Euro wegen unrechtmäßiger Datenspeicherung.

Bei einer Vor-Ort-Prüfung der Behörde im Juni 2017 stellte die Behörde fest, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, welches keine Möglichkeit vorsah, nicht mehr erforderliche Daten nach Zweckerfüllung und Ablauf der Aufbewahrungspflichten zu löschen. Somit konnte eine unzulässige Speicherung personenbezogener Daten von Mieterinnen und Mietern, wie beispielsweise Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge festgestellt werden. Bei einer erneuten Prüfung im März 2019 konnte das Unternehmen, trotz ausgesprochener Empfehlung der Aufsichtsbehörde, weder eine Bereinigung des Datenbestands noch rechtliche Gründe für die fortlaufende Speicherung vorweisen. Die Aufsichtsbehörde erachtete die getroffenen Maßnahmen als nicht ausreichend, um einen rechtmäßigen Zustand herzustellen und sah darin einen Verstoß gegen Art. 25 Abs. 1 DSGVO sowie Art. 5 DSGVO für den Zeitraum zwischen Mai 2018 und März 2019.

Die Aufsichtsbehörde begründet das beachtliche Bußgeld damit, dass die Deutsche Wohnen SE die beanstandete Archivstruktur bewusst angelegt habe und die betroffenen Daten dadurch über einen langen Zeitraum in unzulässiger Weise verarbeitet wurden.

Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 – 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen.

Die Bußgeldentscheidung ist bisher nicht rechtskräftig. Die Deutsche Wohnen SE kündigte bereits an gegen den Bußgeldbescheid vorzugehen.

 

Fazit der Datenschutzkanzlei

Datenfriedhöfe rächen sich! Um eine Löschung personenbezogener Daten nach Zweckerfüllung und Ablauf der gesetzlichen Aufbewahrungspflichten sicherstellen zu können, muss ein strukturiertes und dokumentiertes Löschkonzept implementiert und gelebt werden. Machen Sie sich frei von verstaubten Akten!

 

 

04.11.2019

Österreich: Verwaltungsstrafe von 18 Millionen gegen die Österreichische Post AG (ÖPAG)

 

Die Österreichische Aufsichtsbehörde für den Datenschutz verhängt eine Verwaltungsstrafe von 18 Millionen gegen die Österreichische Post AG (ÖPAG) aufgrund der Sammlung und Vermarktung von individuellen Datenprofilen.

Von insgesamt 2,2 Millionen Menschen speicherte die Post neben Namen, Alter, Geschlecht, Familiensituation sowie Adresse ihrer Kunden außerdem Daten über die politische Parteiaffinität und legte entsprechende Kategorien an. Diese Daten verkaufte die Post unter anderem an Parteien, um zielgerichtete Wahlwerbung verschicken zu können. Die Post berief sich darauf, dass es sich ähnlich wie bei Hochrechnungen nach Wahlen, lediglich um eine Ableitung aus anderen Informationen handle und somit keine personenbezogenen Daten verarbeitet werden. Die österreichische Aufsichtsbehörde kam nach einer mündlichen Anhörung zu einem anderen Ergebnis und sieht in der Verarbeitung der Daten zur politischen Neigung einen Verstoß gegen die DSGVO.

Neben der Parteiaffinität hat die Datenschutzbehörde weitere Rechtsverletzungen festgestellt. Dabei geht es um weiterverarbeitete Daten zur Frequenz von Paketlieferungen und Angaben über die Umzugshäufigkeit von Personen, die für Direktmarketing genutzt wurden. Auch diese Praktiken seien nicht durch die DSGVO gedeckt.

Die Post sieht ihr Kerngeschäft der Direktwerbung gefährdet und will sich daher an das Bundesverwaltungsgericht wenden. Die Entscheidung der Datenschutzbehörde ist damit noch nicht rechtskräftig.

 

Fazit der Datenschutzkanzlei

Es ist grundsätzlich erlaubt, Postadressen zum Zweck des Direktmarketings auch ohne ausdrückliche Einwilligung der Betroffenen zu verwenden. Dies lässt sich mittelbar bereits aus Art. 21 Abs. 2 DSGVO (Recht auf Widerspruch ableiten) und ist weiterhin gängige Praxis im Adresshandel. Die Österreichische Aufsicht sieht jedoch eine Grenze darin, dass darüber hinausgehende Profile insbesondere zur politischen Neigung erstellt und kommerziell genutzt werden. Diese Auffassung ist durchaus nachvollziehbar und dürfte auch von deutschen Aufsichtsbehörden mitgetragen werden.

 

 

21.10.2019

Rumänien: Bußgeld von insgesamt 170.000 € wegen Nutzung von WhatsApp durch Bank

 

Die rumänische Aufsichtsbehörde verhängte ein Bußgeld ein Bußgeld von 170.000 € gegen die Raiffeisen Bank S.A. (150.000 €) und die Vreau Credit S.R.L. (20.000 €) aufgrund mehrerer Verstöße gegen die DSGVO.
Die Aufsichtsbehörde ahndete in diesem Fall insbesondere den unzulässigen Datenaustausch der beiden Unternehmen über WhatsApp und bemängelte bei der Raiffeisen Bank S.A., dass keine geeigneten Maßnahmen ergriffen wurden, die sicherstellten, dass unterstellte natürliche Personen, die Zugang zu personenbezogene Daten haben, diese nur streng weisungsgebunden verarbeiteten.

Außerdem hatte die Raiffeisen Bank S.A. keine angemessenen technischen und organisatorischen Maßnahmen zur Gewährleistung eines angemessenen Sicherheitsniveaus ergriffen und die mit der Verarbeitung verbundenen Risiken nicht bewertet.
Die Untersuchungsmaßnahmen der Behörde wurden eingeleitet, nachdem die Raiffeisen Bank S.A. eine Verletzung der Sicherheit personenbezogener Daten meldete.

 

Fazit der Datenschutzkanzlei

Neben der unzulässigen Datenübermittlung via WhatsApp führte bei diesem Sachverhalt insbesondere die fehlende Verpflichtung der Mitarbeiter auf die Vertraulichkeit zur Einhaltung des Art. 32 Abs. 4 DSGVO zu diesem beachtlichen Bußgeld. Denken Sie daran, alle Personen, die Zugang zu Ihren personenbezogenen Daten haben, auf die Vertraulichkeit der Daten zu verpflichten.

 

 

17.10.2019

LAG Rostock: Arbeitnehmer hat Schadensersatzanspruch bei unerlaubter Videoüberwachung

 

Ein Arbeitnehmer hat einen Schadensersatzanspruch in Höhe von 2.000 € bei unerlaubter Videoüberwachung durch den Arbeitgeber. Das entschied das LAG Rostock.

Im vorliegenden Fall hatte der Pächter einer Tankstelle mehrere Kameras, sowohl im öffentlich zugänglichen Bereich als auch in Flur- und Lagerräumen installiert. Das LAG Rostock sah darin eine empfindliche Verletzung des Persönlichkeitsrechts des Beschäftigten der Tankstelle, da dieser weder eine wirksame Einwilligung abgegeben hatte, noch gäbe es in Bezug auf die Überwachungsanlagen in Flur- und Lagerräumen Anhaltspunkte, die eine Überwachung unter Berücksichtigung der Schutzinteressen der Beschäftigten erforderlich machten. Zusätzlich sei das Persönlichkeitsrecht des Beschäftigten durch die Überwachungskameras in den öffentlich zugänglichen Verkaufsräumen verletzt worden, da einige Kameras verdeckt an der Decke über dem Kassenbereich angebracht waren, sodass sie in erster Linie eine Überwachung der Beschäftigten herbeiführten. Für den Einsatz dieser Deckenkameras gäbe es keinen rechtfertigenden Grund, da die übrigen erkennbaren Kameras in den Geschäftsräumen bereits das Sicherheitsbedürfnis ausreichend befriedigten.

Da der vorliegende Rechtsstreit auf Konflikte im Jahr 2017 zurückgeht, beruht dieses Urteil auf dem Bundesdatenschutzgesetz in der alten Fassung. Die Einschätzungen und Argumente des Gerichts lassen sich jedoch auf die neue Rechtslage übertragen.

 

Fazit der Datenschutzkanzlei

Wer als Arbeitsgeber eine Videoüberwachung in seinen Räumlichkeiten installiert, muss zuvor die datenschutzrechtliche Zulässigkeit prüfen. Dabei lässt sich gerade nicht jede Überwachung auf ein Sicherheitsinteresse oder die Wahrung des Hausrechts stützen.

 

 

20.09.2019

195.407 € Bußgeld gegen die Delivery Hero Germany GmbH

 

Der Berliner Datenschutzbeauftragte hat ein Bußgeld von insgesamt 195.407 € gegen den Lieferdienst Delivery Hero Germany GmbH aufgrund einer Vielzahl datenschutzrechtlicher Einzelverstöße verhängt. Die Behörde ahndet damit vor allem die Missachtung von Betroffenenrechte wie das Recht auf Auskunft über die Verarbeitung der eigenen Daten, das Recht auf Löschung der Daten sowie das Recht auf Widerspruch.

Ausgangspunkt des Verfahrens gegen Delivery Hero waren Beschwerden von Kundinnen und Kunden. Acht ehemalige Kunden des Lieferdienstes beschwerten sich über unerwünschte Werbe-E-Mails. In weiteren fünf Fällen erteilte das Unternehmen gegenüber den beschwerdeführenden Personen die geforderten Selbstauskünfte nicht oder erst, nachdem die Berliner Datenschutzbeauftragte eingeschritten war. Des Weiteren hatte die Delivery Hero Germany GmbH in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform aktiv waren.

Zum 1. April 2019 wurden die Delivery Hero-Marken Lieferheld, Pizza.de und foodora vom niederländischen Konzern Takeway.com übernommen. Dabei wurden die dem Verfahren zugrundeliegenden Verstöße allesamt vor dieser Übernahme begangen. Der neue Eigner hat die Bußgeldbescheide jedoch akzeptiert und keine Rechtsmittel eingelegt. Die Entscheidung der Behörde ist rechtkräftig.

 

Fazit der Datenschutzkanzlei

Mit diesem beachtlichen Bußgeld zieht die Berliner Aufsichtsbehörde nun mit anderen europäischen Kollegen gleich. Bisher hatten sich die deutschen Behörden im europäischen Vergleich eher zurückhaltend gezeigt. Doch die Schonfirst scheint vorbei zu sein.

Die Bußgelder zeigen, wie wichtig die Wahrung der Betroffenenrechte ist und dass die Erfüllung dieser Rechte nur mit entsprechenden technischen und organisatorischen Maßnahmen gewährleistet werden können. Definierte Prozesse mit klaren Zuständigkeiten zur Erfüllung der einzelnen Betroffenenrechte erleichtern die Einhaltung und sorgen dafür, dass die Betroffenenrechte ordentlich, fristgerecht und ressourcenschonend erfüllt werden können. Wer zur Gewährleistung der Betroffenenrechte bisher noch nichts unternommen hat, für den wird es nun höchste Zeit…

 

 

17.09.2019

Urteil des Bundesverwaltungsgerichts zu Facebook Fanpages

 

Das Bundesverwaltungsgericht hat im Rahmen eines Revisionsverfahrens entschieden, dass Datenschutzbehörden Maßnahmen auch gegen Betreiber von Facebook-Fanpages selbst (als Mitverantwortlichen) treffen können. Demnach kann eine Untersagungsverfügung auch gegen den Betreiber der Seite ausgesprochen werden, so wie es in dem vorliegenden Fall auch geschehen ist. Ein Vorgehen gegen Facebook müsse nach Ansicht des Gerichts nicht vorhergehen oder parallel stattfinden, weil dies wegen der fehlenden Kooperationsbereitschaft von Facebook mit erheblichen tatsächlichen und rechtlichen Unsicherheiten verbunden gewesen sei. Ob die Untersagung des Betriebs rechtmäßig war, urteilte das Gericht nicht. Es verwies die Klage an das Schleswig-Holsteinische Oberverwaltungsgericht zurück. Das Oberverwaltungsgericht muss sich nun mit dieser Frage auseinandersetzen.

 

Fazit der Datenschutzkanzlei

Sollte das Schleswig-Holsteinische Oberverwaltungsgericht zu dem Ergebnis kommen, dass der Betrieb von Facebook-Fanpages rechtswidrig ist, ist damit zu rechnen, dass entweder Facebook auf die Forderungen der Datenschutzbehörden eingehen wird oder es ist zu Untersagungen des Betriebs durch die Datenschutzbehörden kommt.
Da Maßnahmen auch gegen die Betreiber der Fanpages gerichtet werden können ist es wichtig, dass die erforderliche Datenschutzerklärung durch den Betreiber eingestellt wurde (eine Anleitung finden sie hier) und so das Risiko minimiert wird.

 

 

01.08.2019

Griechenland: 150.000 € Bußgeld gegen PwC BS

 

Die griechische Aufsichtsbehörde verhängte ein Bußgeld von 150. 000 € gegen PricewaterhouseCoopers Business Solutions SA („PwC BS“) wegen Auswahl und Anwendung ungeeigneter Rechtsgrundlagen und der damit einhergehenden Verletzung der Rechenschaftspflicht.

Im vorliegenden Fall wurde die griechische Aufsichtsbehörde aufgrund einer Beschwerde tätig, in welcher dem Unternehmen vorgeworfen wurde, es verpflichte seine Mitarbeiter in die Verarbeitung ihrer Daten einzuwilligen.
Die griechische Aufsichtsbehörde sah darin eine Verletzung gleich mehrerer Grundsätze der DSGVO:

Zum einen sei es ein Verstoß gegen den Grundsatz der Rechtmäßigkeit nach Art. 5 Abs. 1 lit. a) DSGVO, da PwC BS eine unangemessene Rechtsgrundlage verwende. Zum anderen werde gegenüber den Mitarbeitern der Eindruck erweckt, die Datenverarbeitung stütze sich auf die Rechtsgrundlage der Einwilligung wohingegen in Wirklichkeit jedoch eine andere Rechtsgrundlage vorliege, über die die Mitarbeiter nicht informiert werden. PwC BS verstoße somit gegen den Grundsatz der Verarbeitung nach Treu und Glauben sowie den Grundsatz der Transparenz. Des Weiteren sei PwC BS nicht in der Lage die Einhaltung der oben genannten Grundsätze nachzuweisen und komme somit seiner Rechenschaftspflicht nicht nach. Die Aufsichtsbehörde setzt PwC BS eine Frist von drei Monaten, um die Verarbeitung ihrer Mitarbeiterdaten in Einklang mit der DSGVO zu bringen.

 

Fazit der Datenschutzkanzlei

Dieses Bußgeld zeigt die zentrale Bedeutung der Grundsätze in Art. 5 DSGVO. Dabei dürfen personenbezogene Daten auch im Beschäftigtenkontext nur dann verarbeitet werden, wenn sie auf die richtige Rechtsgrundlage gestützt und die Informationspflichten ordnungsgemäß erfüllt werden. Die Aufsichtsbehörde betont außerdem, dass Unternehmen zur Erfüllung der Rechenschaftspflicht in der Lage sein müssen, die Einhaltung der Grundsätze nachzuwiesen. Aus Sicht der Datenschutzkanzlei fordert dies die Etablierung eines Datenschutz-Management-Systems.

 

 

25.07.2019

Verwaltungsgericht Mainz verhängt DSGVO-Zwangsgeld in Höhe von 5.000 €

 

Wegen fehlender Auskunft eines Unternehmens an den Landesbeauftragten für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, verhängte dieser ein Zwangsgeld in Höhe von 5.000 €. Der Verantwortliche klagte dagegen. Das Verwaltungsgericht Mainz wies die Klage ab, da das Zwangsgeld zu Recht verhängt worden sei.

Im vorliegenden Fall ist der Verantwortliche Betreiber eines Bordells. Sowohl außerhalb des Gebäudes als auch im Innenraum und den Separees waren Videokameras angebracht, von deren Aufnahmen Kundinnen und Kunden sowie Mitarbeiterinnen und Mitarbeitern erfasst wurden. Der Landesbeauftrage für den Datenschutz und Informationsfreiheit Rheinland-Pfalz verlangte nach Art. 58 Abs. 1 lit. a DSGVO Auskunft vom Kläger über die näheren Umstände der Videoüberwachung in Form eines Fragebogens. Als auch nach mehrmaliger Aufforderung keine vollständige Auskunft einging, erließ die Aufsichtsbehörde ein Zwangsgeld von 5.000 €. Der Verantwortliche reichte Klage ein, welche das VG Mainz jedoch abwies.

Das Gericht stellt in seinem Urteil klar, dass die Aufsichtsbehörde mit Art. 58 DSGVO über weitreichende Untersuchungsbefugnisse verfüge, die es ihr gestatten, sämtliche Informationen einzuholen, die für die Erfüllung ihrer Aufgaben nach Art. 57 DSGVO erforderlich seien. Der Aufsichtsbehörde steht gemäß Art. 58 Abs. 1 lit. a DSGVO insbesondere ein Auskunftsanspruch zu, dem der Verantwortliche grundsätzlich nachkommen muss. Weder Form und Inhalt des Fragebogens noch die Höhe des Zwangsgelds wurden vom Gericht beanstandet.

 

Fazit der Datenschutzkanzlei

Diesmal kurz und knapp: Fehlende Kooperationsbereitschaft mit der Aufsichtsbehörde rächt sich!

 

 

17.07.2019

460.000 € Bußgeld gegen niederländisches Krankenhaus

 

Die niederländische Aufsichtsbehörde (AP) hat ein Bußgeld von 460.000 € gegen ein Krankenhaus wegen unzureichender Sicherheitsmaßnahmen verhängt. Dies ist das Ergebnis einer Untersuchung der Aufsichtsbehörde, bei der sich herausstellte, dass Dutzende von Mitarbeitern des Krankenhauses Einsicht in die Patientenakten nehmen konnten, ohne dass dies notwendig war. Die Aufsichtsbehörde drohte außerdem weitere Bußgelder an, wenn die Sicherheitsmaßnahmen, die künftig unbefugte Zugriffe von Mitarbeitern auf Patientenakten verhindern, nicht implementiert werden. Dafür setzte die Behörde eine Frist bis zum Oktober dieses Jahrs. Der Vorsitzende der AP begründete das Bußgeld damit, dass die Beziehung zwischen einem Gesundheitsdienstleister und einem Patienten absolut vertraulich zu sein habe. Dies gelte auch innerhalb der Mauern eines Krankenhauses. Ein Krankenhaus müsse alle notwendigen technischen und organisatorischen Maßnahmen ergreifen, um die Sicherheit der Patientendaten zu gewährleisten. Dies könne beispielsweise mit einer Zwei-Faktor-Authentifizierung erreicht werden. Die Zugriffsrechte müssten außerdem regelmäßig kontrolliert werden. Das Krankenhaus kündigte an, entsprechende Maßnahmen zu ergreifen.

 

Fazit der Datenschutzkanzlei

Dieses Bußgeld signalisiert wie wichtig Berechtigungskonzepte und streng geregelte Zugriffsrechte sind. Dabei spielt das sogenannte „Need-to-know-Prinzip“ eine wichtige Rolle. Vor allem im Gesundheitswesen ist es unerlässlich den Grundsatz der Vertraulichkeit der Daten nach Art. 5 Abs. 1 lit. f DSGVO auch innerhalb der Organisation zu wahren. Die hierfür notwendigen technischen und organisatorischen Maßnahmen sind zwingend zu implementieren, auch wenn dies unter Umständen mit einer kostspieligen Veränderung der internen Systeme und Arbeitsabläufe verbunden ist.

 

 

08.07.2019

183,39 Mio. £ Bußgeld gegen British Airways

 

Die britische Aufsichtsbehörde ICO plant die Verhängung eines Bußgelds von 183,39 Mio. £ gegen British Airways. Das Bußgeld soll aufgrund unzureichender Sicherheitsmaßnahmen der Website begründet werden.

Dabei ging es um einen Cyber-Vorfall, welcher der britischen Aufsichtsbehörde im September 2018 gemeldet wurde. Vermutlich bereits seit Juni 2018 wurden die Nutzer der Website von British Airways über eine betrügerische Seite umgeleitet, sodass sich auf diese Weise unberechtigte Dritte Zugang zu personenbezogenen Daten von mehr als 500 000 Kunden verschaffen konnten. Zurückzuführen sei dieser Vorfall auf unzureichende Sicherheitsmaßnahmen, wodurch eine Vielzahl von Informationen einschließlich Login, Zahlungsdaten, Reisebuchungsdaten sowie Name und Adressen gefährdet wurden. British Airways konnte keinen angemessenen Schutz der Nutzerdaten gewährleisten und verstieß gegen den Grundsatz der Integrität und Vertraulichkeit nach Art. 5 Abs. 1 lit. f) DSGVO. Laut Statement der Behörde zeigte sich British Airways kooperativ und verbesserte seine Sicherheitsvorkehrungen nach Bekanntwerden des Vorfalls. Dennoch sei die Datenpanne mit einem Bußgeld zu ahnden.

 

Fazit der Datenschutzkanzlei

Website-Betreiber sind dafür verantwortlich, dass ihre Nutzerdaten in einer Weise verarbeitet werden, dass eine angemessene Sicherheit der personenbezogenen Daten gewährleistet werden kann. Die umfasst insbesondere den Schutz vor unbefugter oder unrechtmäßiger Verarbeitung aber auch den unberechtigten Zugriff Dritter. Auf die Erfüllung dieses Grundsatzes in Art. 5 Abs. 1 lit. f) legen die Aufsichtsbehörden viel wert und können bei Verstößen den vollen Bußgeldrahmen der DSGVO ausschöpfen. Prüfen Sie also Ihre technischen und organisatorischen Maßnahmen regelmäßig auf deren Funktionalität und informieren Sie sich über aktuelle Sicherheitslücken Ihrer Website-Software, sodass die erforderlichen Updates rechtzeitig eingespielt werden können.

 

 

24.06.2019

250.000 Euro Bußgeld gegen spanische Fußballliga

 

Die spanische Aufsichtsbehörde AEPD verhängt ein Bußgeld von 250.000 Euro aufgrund eines Verstoßes gegen den Transparenzgrundsatz der DSGVO. Eine unsichtbare Funktion der App der spanischen Fußballliga „La Liga“ erhob Aufnahmen des Mikrofons sowie Standortdaten des Nutzers, um unlizenzierte öffentliche Übertragungen der Spiele aufzudecken. Zu den Spielzeiten nahm die App die Umgebungsgeräusche auf und kombinierte diese mit den Standortdaten. Das Bußgeld verhängte die spanische Aufsichtsbehörde auf Grund zweier Vergehen: Zum einen verstoße La Liga gegen das Transparenzgebot, da den Nutzern die Einzelheiten der Nutzung des Mikrofons und der Standortdaten nicht ausreichend erläutert werde. Zum anderen läge ein Verstoß gegen Art. 7 Abs. 3 DSGVO vor, nach welchem der Nutzer die Möglichkeit hat, die Einwilligung jederzeit zu widerrufen. La Liga will gegen die Entscheidung der Behörde Berufung einlegen und führt an, dass mithilfe der eingesetzten Technologie lediglich ein Tonabdruck erzeugt und in einen Code umgewandelt werde. Ein Rückschluss auf die Stimme des Nutzers könne dabei nicht erzeugt werden. Nur 0,75 % der erfassten Daten würden benötigt, um eine Übertragung im Umfeld festzustellen. Dennoch kündigte La Liga an, die umstrittene Funktion der App zu entfernen.

 

Fazit der Datenschutzkanzlei

Auch eine umfassende Datenverarbeitung von Informationen zu Standorten und Umgehungsgeräuschen ist grundsätzlich mit Einwilligung der Nutzer zulässig. Allerdings muss der Nutzer ausdrücklich und transparent über diesen Vorgang aufgeklärt werden, was insbesondere der Grundsatz der Transparenz gemäß Art. 5 Abs. 1 lit. a DSGVO vorschreibt. Auf die Erfüllung dieser Pflicht legen die Aufsichtsbehörden viel wert. Sollten Sie Ihre Datenverarbeitung auf eine Einwilligung stützen, sind die Nutzer umfassend über die Verwendung der Daten aufzuklären. Zudem ist erforderlich, dass Nutzern ein Widerruf dieser Einwilligung gemäß Art. 7 Abs. 3 DSGVO ermöglicht wird.

 

 

11.06.2019

50.000 Euro Bußgeld wegen “Schwarzer Liste” bei N26

 

Die Berliner Aufsichtsbehörde erklärt das Führen einer „Schwarzen Liste“ ehemaliger Kunden für rechtswidrig (siehe Jahresbericht 2018, Seite 131).

Im vorliegenden Fall beabsichtigte ein Ex-Kunde der Online-Bank N26 erneut ein Konto zu eröffnen. Die Bank lehnte dies ab, denn der Kunde stand auf einer „Schwarzen Liste“ für Personen, mit denen kein erneutes Vertragsverhältnis eingegangen werden sollte. Die Bank erklärte, die Daten aus Gründen der Geldwäsche aufzubewahren, räumte aber ein, dass sie mit Hilfe der Liste die Geldwäscheverdachtsfälle nicht von anderen Fällen unterscheiden könne. Nach Ansicht der Berliner Aufsichtsbehörde ist diese Speicherung unzulässig, da keine Rechtsgrundlage für die Aufbewahrung dieser Daten bestehe. Laut Behörde dürften nur Betroffene aufgenommen werden, die tatsächlich unter Geldwäscheverdacht stehen oder bei denen andere triftige Gründe vorliegen. Das Unternehmen soll bereits Widerspruch gegen den Bußgeldbescheid eingelegt haben, will sich mit Verweis auf das laufende Verfahren aber nicht weiter äußern.

 

Fazit der Datenschutzkanzlei:

Das Führen Schwarzer Listen (Blacklist) ist in vielen Branchen üblich und insbesondere in der Direktwerbung allgemein anerkannt. Es zeigt sich aber, dass diese Listen datenschutzrechtlich insbesondere dann problematisch sind, wenn der Zweck der Liste nicht erfüllt werden kann. In diesem Fall kann die Speicherung nicht auf eine Interessenabwägung im Sinne der DSGVO gestützt werden. Unternehmen sollten daher zunächst prüfen, ob entsprechende Listen intern geführt werden. Jede Liste sollte dann daraufhin untersucht werden, ob der verfolgte Zweck tatsächlich erreicht wird. Falls nicht, sollte die Liste gelöscht werden.

 

 

11.06.2019

220.000 Euro Bußgeld wegen fehlender Informationen gegen Adresshändler

 

Die polnische Aufsichtsbehörde UODO verhängt wegen fehlender Benachrichtigung von Betroffenen ein Bußgeld in Höhe von ca. 220.000 Euro gegen einen Adresshändler.

In dem Fall ging es um ein Tochterunternehmen der weltweit agierenden Bisnode AB, die zu kommerziellen Zwecken eine Datenbank mit personenbezogenen Daten von Unternehmern aus öffentlich zugänglichen Quellen führt. Bisnode erfüllte seine Informationspflichten aus Art. 14 DSGVO dabei nur gegenüber Personen, von denen eine E-Mail-Adresse vorlag, was in der Gesamtschau nur einen Bruchteil der Betroffenen darstellte (ca. 90.000 Personen). Das Unternehmen erachtete die Erfüllung der Informationspflichten gegenüber den übrigen ca. 6 Mio. Betroffenen per Briefpost oder Telefon als unverhältnismäßig und berief sich auf die gesetzliche Ausnahme des Art. 14 Abs. 5 DSGVO. Alternativ wurden entsprechende Informationen auf der Website zugänglich gemacht. Die polnische Aufsichtsbehörde ließ dies nicht genügen und verhängte das durchaus ambitionierte Bußgeld. Dabei berücksichtigte die Behörde wohl auch die fehlende Kooperationsbereitschaft von Bisnode.

 

Fazit der Datenschutzkanzlei:

Die Benachrichtigung von Betroffenen ist seit Geltung der DSGVO teilweise sehr komplex geworden. Strenggenommen müssen alle Personen informiert werden, deren Informationen in Datenbanken gespeichert werden. Gesetzliche Ausnahmen wie in Art. 14 Abs. 5 DSGVO (u.a. „unverhältnismäßiger Aufwand“) werden allgemein sehr restriktiv ausgelegt (siehe auch WP260rev.01 der Artikel 29 Datenschutzgruppe, ab Seite 28). In jedem Fall sollte die fehlende Information an die Betroffenen nachvollziehbar dokumentiert werden, um mögliche Maßnahmen von Behörden entgegentreten zu können. Zudem hilft es sicherlich weiter mit einer Aufsichtsbehörde in einen konstruktiven Dialog zu treten.

 

 

11.06.2019

400.000 Euro Bußgeld wegen Verletzung der Datensicherheit

 

Die französische Aufsichtsbehörde CNIL verhängte ein Bußgeld von 400.000 Euro aufgrund fehlender Maßnahmen zur Datensicherheit und unzulässiger Speicherung von Mieterdaten.

Das französische Unternehmen SERGIC ist in der Immobilienbranche tätig und ermöglicht Mietinteressenten, die für die Wohnungssuche relevanten Unterlagen auf deren Website hochzuladen und dort zu verwalten. Hierbei handelte es sich um Dokumente mit teilweise besonders schützenswerten personenbezogenen Daten, wie beispielsweise Kopien von Personalausweisen und Steuerbescheiden, Angaben zur Krankenversicherung sowie Bankdaten. Es stellte sich heraus, dass durch einfache Änderung der URL ein Zugriff auf die Dokumente anderer Nutzer möglich war, da kein Verfahren zur Authentifizierung etabliert wurde. Die Behörde stufte die fehlenden Sicherheitsfeatures als Verstoß gegen Art. 32 DSGVO ein. Zusätzlich stellte die Aufsichtsbehörde fest, dass die Daten auch weit nach Erfüllung des Zwecks in der gleichen Datenbank aufbewahrt wurden und sah darin einen Verstoß gegen den Grundsatz der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e) DSGVO gegeben. Grund für die Höhe des Bußgelds war außerdem die mangelnde Sorgfalt des Unternehmens bei der Behebung der Schwachstellen vor allem unter Beachtung des hohen Schutzbedürfnisses der Daten.

 

Fazit der Datenschutzkanzlei:

Die Themen Datensicherheit und insbesondere Zugriffsrechte müssen Unternehmen im Griff haben. Schwachstellen werden weder von Aufsichtsbehörden noch den Betroffenen akzeptiert und finden unter dem Begriff „Datenpanne“ gerne auch den Weg in die überregionale Presse. Im Gegensatz zur alten Rechtslage, haben Behörden bei Verstößen gegen Art. 32 DSGVO nunmehr auch direkte Sanktionsmöglichkeiten, die sie mit Bußgeldern durchsetzen können (vgl. Art. 83 Abs. 4 lit. a DSGVO).