Schlagwort: Bußgeld

Datenschutzverstöße von Beschäftigten

Datenschutzverstöße von Beschäftigten

Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) hat sich neben der Bußgeldzumessung auch zu Datenschutzverstößen geäußert, welche von Beschäftigten verursacht wurden.

 

Nur der Verletzungserfolg ist entscheidend

Hierzu führt es aus, dass Gegenstand der Sanktionierung für einen Datenschutzverstoß nicht die dafür ursächlichen Handlungen bestimmter natürlicher Personen ist. Es kommt mithin nur auf den Erfolg des Datenschutzverstoßes an. Im entsprechenden Bußgeldbescheid wurde daher nicht näher beschrieben, welche natürlichen Personen im Unternehmen der Betroffenen durch welche Handlungen den Datenschutzverstoß begangen haben.

 

Hintergrund Datenschutzverstöße von Beschäftigten

Nach dem deutschen Ordnungswidrigkeitenrecht gibt es keine unmittelbare Haftung von Unternehmen. Geldbußen setzen stets ein schuldhaftes Fehlverhalten einer vertretungsberechtigten Person, wie z.B. einem Geschäftsführer oder Vorstand, voraus. Das Verhalten irgendeines Mitarbeiters des Unternehmens reicht nach deutschem Recht daher nicht aus, um eine Bußgeld zu bekommen. Vielmehr kommt es auf das Fehlverhalten ganz bestimmter Personen in Führungs- oder Aufsichtspositionen an.

 

Deutsche Regeln stehen europäischen Haftungskonzept entgegen

Hierzu stellt das Gericht nun folgendes fest: Die deutschen Regelungen sind nicht mit dem europäischen Haftungskonzept in Einklang zu bringen. Für eine Einschränkung der Haftung durch Beschränkung auf individuelles Fehlverhalten von Leitungspersonen gem. § 30 OWiG ist daher kein Raum.

 

Auffassung der DSK

Auch nach Auffassung der DSK sollen Unternehmen dabei im Rahmen von Art. 83 DSGVO für Datenschutzverstöße ihrer Beschäftigten haften, wenn diese im konkreten Fall nicht im Exzess gehandelt haben. Nach der Entschließung der DSK soll für die Zuordnung der Verantwortlichkeit weder die Kenntnis der Geschäftsführung von dem konkreten Verstoß, noch eine Verletzung der Aufsichtspflicht erforderlich sein. Daher kann dem Verantwortlichen nicht nur jeder Datenschutzverstoß eines gesetzlichen Vertreters oder einer Leitungsperson, sondern der eines jeden Beschäftigten zugerechnet werden.

 
Rechtsanwalt Robert Harzewski

Bußgeldkonzept

Neues zum Bußgeldkonzept

Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) ist dem stark umsatzbezogenen Ansatz des Bußgeldkonzeptes nicht gefolgt. Das Konzept der Aufsichtsbehörden ist unter https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf abrufbar. Grob zusammengefasst berechnet sich hiernach ein Bußgeld nach dem erzielten Vorjahresumsatz eines Unternehmens. Aus Sicht vieler Unternehmen ist das erst einmal eine gute Nachricht.

Nun aber zur schlechten Nachricht: Das Gericht sieht bei schweren Datenschutzverstößen auch die Möglichkeit, Bußgelder an den Obergrenzen (10 Millionen bzw. 20 Millionen Euro) auszurichten. Dabei stellt esauch fest, dass diese dann die Existenz der Unternehmen bedrohen können.

 

Umsatz nicht als Zumessungsgesichtspunkt

Nach Auffassung des Landgerichts soll der Umsatz eines Unternehmens, wie im Bußgeldkonzept vorgesehen, nicht  als Zumessungsgesichtspunkt herangezogen werden. Nach Art. 83 Abs. 2 S. 2 DSGVO sollen dagegen in erster Linie tatbezogene Gesichtspunkte, wie Art, Schwere und Dauer des Verstoßes, eine Rolle spielen.
Aufgrund des Umsatzes kann aber die Bußgeldobergrenze bestimmt werden, die den Rahmen für eine Einordnung des konkreten Datenschutzverstoßes gibt. Zum anderen müssen Bußgelder nach Art. 83 Abs. 1 DSGVO abschrecken. Je größer das Unternehmen ist, desto höher soll demnach das Bußgeld ausfallen, um seine spezialpräventive Wirkung zu entfalten. Nach Ansicht des Gericht ist daher die Höhe des Umsatzes ein geeigneter Indikator.

 

Bußgeldkonzept versagt bei schweren Datenschutzverstößen

Das Bußgeldkonzept der Aufsichtsbehörden versage aber, bei schweren Datenschutzverstößen umsatzschwacher Unternehmen und leichten Datenschutzverstößen umsatzstarker Unternehmen. Hier gerate die am Umsatz orientierte Zumessung in Widerstreit zu der Zumessung anhand der tatbezogenen Kriterien in Art. 83 Abs. 2 S. 2 DSGVO, die dann Vorrang haben müssen.
Nach Auffassung des Gerichts ist es aber so auch bei schweren Datenschutzverstößen möglich, gegen umsatzschwache Unternehmen eine existenzbedrohende Geldbuße zu verhängen.

Rechtsanwalt Robert Harzewski

Gericht kippt Bußgeldkonzept

Gericht kippt Bußgeldkonzept

Das Landgericht Bonn (Urteil vom 11.11.2020, Aktenzeichen: 29 OWi 1/20) hat gegen 1&1 ein Bußgeld in Höhe von 900.000,00 Euro verhängt. Das Unternehmen hatte zur Authentifizierung eines Kunden nur den Namen und das Geburtsdatum abgefragt und so zu Unrecht eine Telefonnummer herausgegeben.

 

Hintergrund

Bei telefonischen Anfragen dürfen zur Identifizierung nicht nur Daten wie das Geburtsdatum und die Anschrift abgefragt werden. Diese stellen kein geheimes Wissen dar. Daher sollten auch noch zusätzliche Informationen angefordert werden, welche nur der Betroffene kennt.

Zum damaligen Zeitpunkt entsprach die bloße Abfrage von Namen und Geburtsdatum wohl der überwiegenden Praxis. Sogar die Aufsichtsbehörde in Baten-Württemberg schreibt hierzu in ihrem Hinweis:

„Bei telefonischen Anfragen ist es – auch in anderen Kontexten, bspw. bei Fragen zu Verträgen – gängige Praxis, dass der Verantwortliche von der betroffenen Person zusätzliche Informationen abfragt, um sicherzugehen, dass es sich tatsächlich um die richtige Person handelt. Typischerweise handelt es sich dabei um Daten wie Geburtsdatum und Anschrift der betroffenen Person.“

 

Entscheidung der Aufsichtsbehörde

Die zuständige Aufsichtsbehörde sah aufgrund dieses Verstoßes sogar ein Bußgeld von 9,55 Millionen Euro als angemessen an. Die Aufsichtsbehörden haben sich auf ein einheitliches Konzept zur Bußgeldzumessung, welches nun unter https://www.datenschutzkonferenz-online.de/media/ah/20191016_bußgeldkonzept.pdf abrufbar ist. Hiernach werden Unternehmen anhand ihres Umsatzes in Größenklassen eingeteilt.

 

 

Gericht kippt Bußgeldkonzept

Das Landgericht Bonn ist diesem stark umsatzbezogenen Ansatz nicht gefolgt.

In meinem Beitrag auf https://rechtsanwalt-harzewski.de lesen Sie mehr zur Entscheidung.

Das Bußgeldkonzept kann meiner Auffassung nach daher in der jetzigen Form nicht mehr angewendet werden.

 

Rechtsanwalt Robert Harzewski

05/19-Datenschutz als Jahrhundertaufgabe

Jahrhundertaufgabe Datenschutz

Aus Hamburg gibt es den 27. Tätigkeitsbericht, welcher hier (PDF) heruntergeladen werden kann.

In der begleitendenden Pressemitteilung wird das Thema Datenschutz sogar als Jahrhundertaufgabe bezeichnet. Angesichts des Aufwandes von 500 Jahren Arbeitszeit, welche Google in die Umsetzung der DSGVO investiert haben will, aber auch der Aufwände für kleinere Unternehmen, ist das sicher keine Übertreibung.
Der Bericht spricht überraschend deutlich an, dass die Vorschriften der DSGVO nur bedingt in der Lage sind, eine klare Umsetzungspraxis zu gestalten. Die Vielzahl an Aufsichtsbehörden erschwere zudem eine gemeinsame Verabschiedung von Leitlinien und Standpunkten. Es sei daher insgesamt davon auszugehen, dass sich die Kluft zwischen Sein und Sollen in Zukunft noch vertiefen werde. Zumindest der Hamburgische Beauftragte für Datenschutz plant deswegen zunächst keine anlassunabhängigen Prüfungen bei kleinen Unternehmen und Vereinen.

 

Bußgeld wegen Verstoßes gegen Zweckbindung

Wegen des Verstoßes gegen die Zweckbindung bei der Verarbeitung personenbezogener Daten verhängte die Aufsichtsbehörde in Baden-Württemberg ein Bußgeld von 2.500,00 Euro gegen den früheren Juso-Landeschef (https://www.baden-wuerttemberg.datenschutz.de/lfdi-baden-wuerttemberg-verhaengt-bussgeld-gegen-frueheren-juso-landeschef/). Dieser hatte eine Liste aller 168 Delegierten eines Parteitages im Vorfeld an etwa zehn Vertraute gesendet, um sich ein Bild über das zu erwartende Abstimmungsverhalten zu einem Antrag zu machen. Die Liste hätte jedoch nur für die organisatorische Abwicklung des Parteitages, nicht aber zur innerparteilichen Meinungsbildung, verwendet werden dürfen.

 

Neues Kurzpapier zur Einwilligung

Die Datenschutzkonferenz hat ihr Kurzpapier Nr. 20 zum Thema Einwilligung veröffentlicht. Dieses beschäftigt sich vor allem mit der spannenden Frage, in welchen Fällen Alt-Einwilligungen fortgelten. Das Kurzpapier kann hier abgerufen werden.

03/19-Sichere Passswörter und Gesundheitsdatenschutz

Änderung der Adresse von Google

Ab dem 22. Januar ist für die EU/EWR & Schweiz Google Irland zuständig. Wenn Sie diesen Drittlandsbezug in Ihren Datenschutzerklärungen haben, dann ändern Sie die Adressangabe:
"Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA" in "Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland".
Die Änderung gilt praktisch für alle Google-Dienste (Analytics, Adsense, YouTube, Fonts, Maps), etc.

 

Bayern prüft Tracking Tools und Cookie-Banner

Dass die Aufsichtsbehörden immer noch am Erfordernis einer Einwilligung beim Tracking von Nutzern festhalten, wurde bereits mehrfach erwähnt. Die bayerische Aufsichtsbehörde hat nun mit der Prüfung von Cookie-Bannern und Tracking-Tools begonnen. Dies sollte künftig für mehr Rechtssicherheit sorgen, wenn die zu erwartenden Bußgeldbescheide gerichtlich überprüft werden.

 

Hinweise zum Umgang mit Passwörtern

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden Württemberg hat neue Hinweise zum Umgang mit Passwörtern veröffentlicht. Dessen Beitrag ist wirklich gut gelungen und ich würde ihn gern als absolute Pflichtlektüre einstufen. Besonders hervorzuheben ist die Bewertung, dass „eine erzwungene regelmäßige Änderung von Passwörtern überholt“ sei und „Administratoren ihre Nutzer nicht regelmäßig auffordern oder zwingen sollten die Passwörter zu ändern“.

 

Neue Zahlen in Sachen Bußgeld

Nach Angaben der EU-Kommission sind bisher mehr als 95.000 Beschwerden bei den nationalen Datenschutzbehörden eingegangen. Auf Deutschland entfallen dabei immerhin noch ca. 27.000 Beschwerden und mehr als 12.000 gemeldete Datenschutzverletzungen. Nach derzeitigem Kenntnisstand wurden allein in Deutschland 64 Bußgelder verteilt auf sechs Bundesländer verhängt:

Nordrhein-Westfalen (33)
Thüringen (23)
Hamburg (3)
Baden Württemberg & Berlin (jeweils 2)
Saarland (1)

Zu den bisher mit Gründen veröffentlichen Bußgeldern habe ich eine Übersicht /Tabelle erstellt, die ich künftig aktuell halten will.

 

Niedersächsische Aufsichtsbehörde veröffentlicht Praxishilfe zur Auswahl angemessener Sicherungsmaßnahmen (ZAWAS)

Die Präsentation finden Sie unter folgendem Link.

 

Orientierungshilfe zum Gesundheitsdatenschutz

Das Bundeswirtschaftsministerium hat eine lesenswerte Orientierungshilfe zum Gesundheitsdatenschutz veröffentlicht, welche unter https://www.bmwi.de/Redaktion/DE/Publikationen/Wirtschaft/orientierungshilfe-gesundheitsdatenschutz.html zum Download bereit steht.

Bußgeld nach DSGVO

Höhe der Bußgelder

Neben Warnungen, Verwarnungen und Anweisungen können Aufsichtsbehörden bei Verstößen gegen die DGVO auch ein Bußgeld verhängen. Bei einem festgestellten Verstoß gegen die datenschutzrechtlichen Vorgaben der DSGVO können Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden.

Die ersten Entscheidungen der Aufsichtsbehörden zeigen, dass es bei der Bemessung der Bußgeldhöhe vor allem auf die Kooperation mit dem betroffenen Unternehmen ankommt. Daneben werden in jedem Einzelfall auch folgende Faktoren berücksichtigt:

• Art, Schwere und Dauer des Verstoßes;
• Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;
• getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;
• Grad der Verantwortung;
• etwaige einschlägige frühere Verstöße;
• getroffene Maßnahmen, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;
• Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;
• Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat.

 

Übersicht verhängter Bußgelder

50.000.000€CNILFrankreich21.01.2019Verletzung der Transparenz- und Informationspflichten
600.000€APNiederlande27.11.2018Verstoß gegen Art. 33 Abs. 1 DSGVO, Nichtmeldung von Datenpanne
400.000€CNPDPortugal17.07.2018Verstoß gegen Vertraulichkeit Art. 32 Abs. 1 lit. b DSGVO
219.500€UODOPolenMärz 2019wegen Nichterfüllung von Informations-pflichten aus Art. 14 DSGVO
170.000€DatatilsynetNorwegenMärz 2019Verstoß gegen Art. 5 lit. f, Art. 32 DSGVO
80.000€Baden-WürttembergDeutschlandnicht bekanntVeröffentlichung von Gesundheitsdaten im Internet
50.000€BerlinDeutschlandnicht bekanntunbefugte Verarbeitung von Daten ehemaliger Kunden
20.000€Baden-WürttembergDeutschland21.11.2018Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO
5.000€HamburgDeutschland17.12.2018wegen fehlender Vereinbarung über die Auftragsverarbeitung

 

Im Einzelnen:

 

50.000.000 € wegen Verstoß gegen Transparenz- und Informationspflichten sowie fehlender Einwilligung

Hintergrund: Google hatte Informationen zur Datenverarbeitung, z.B. zu den Zwecken und den Speicherfristen, über mehrere Dokumente verteilt. Nutzer mussten daher regelmäßig auf bis zu sechs Schaltflächen und Links klicken, um alle Inhalte sehen zu können. Die Informationen seien zudem nicht klar oder umfassend gewesen. Weiterhin sei die eingeholte Einwilligung für das Anzeigen personalisierter Werbung nicht eindeutig und erfolge aufgrund der Vielzahl an Diensten (Youtube, Google-Startseite, Google-Maps, Playstore, Google-Bilder, usw.) in uninformierter Weise.

Begründung: Die Aufsichtsbehörde sah hierin einen Verstoß gegen die Grundprinzipien der DSGVO wie Transparenz, Information und Rechtmäßigkeit. Die Höhe des Bußgeldes wird mit der Schwere der Verstöße, die immer noch anhalten, begründet.

Datum: 21.01.2019

Aufsichtsbehörde: Commission Nationale de l'Informatique et des Libertés - CNIL (Frankreich)
Quelle: CNIL (https://www.cnil.fr/en/cnils-restricted-committee-imposes-financial-penalty-50-million-euros-against-google-llc)

600.000 € wegen ungemeldeter Datenpanne

Hintergrund: Beim Unternehmen Uber wurden im Jahr 2016 über 57 Millionen Nutzerdaten wie Name, Email Adresse und Telefonnummern, durch unautorisierten Zugriff auf eine Datenbank in einem Cloud-Dienst gestohlen. Die Verantwortlichen verschwiegen jedoch den Vorfall und informierten die Öffentlichkeit erst im November 2017.

Begründung: Nach Art. 33 Abs. 1 DSGVO sind Datenschutzpannen unverzüglich und möglichst binnen 72 Stunden bei der Aufsichtsbehörde zu melden.
Datum: 27.11.2018

Aufsichtsbehörde: Autoriteit Persoonsgegevens – AP – Niederlande
Quelle: Pressemitteilung vom 27.11.2018 (https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-legt-uber-boete-op-voor-te-laat-melden-datalek)

400.000 € im Krankenhaus

Hintergrund: In einem Krankenhaus mit fast 300 Ärzten gab es dreimal so viel als Arzt registrierte Benutzer mit den entsprechenden Zugangsberechtigungen. Daneben war es auch möglich, mit dem Profil „Techniker“ auf Patientendaten zuzugreifen.

Begründung: Patientendaten sind vor unbefugtem Zugriff zu schützen (Art. 32 Abs. 1 lit. b DSGVO).

Datum: 17.07.2018

Aufsichtsbehörde: Comissão Nacional de Protecção de Dados - CNPD (Portugal)

Quelle: Zeitung Publico (https://www.publico.pt/2018/10/22/sociedade/noticia/hospital-barreiro-contesta-judicialmente-coima-400-mil-euros-comissao-dados-1848479#gs.K0c5nRW2)

219.500 € wegen Verletzung der Informationspflichten aus Art. 14 DSGVO

Hintergrund: Ein Unternehmen verarbeitete ca. 6 Millionen Datensätze aus öffentlich zugänglichen Quellen, um diese in einer eigenen Datenbank zusammenzufassen. Die Betroffen wurden jedoch nur in 90.000 Fällen hiervon in ausreichendem Maße informiert. Da in den übrigen Fällen keine E-Mail Adressen vorlagen, sah das Unternehmen aufgrund der hohen Kosten für den Postversand von einer Information der Betroffenen ab. Stattdessen erfolgte lediglich ein Hinweis auf der Webseite.

Begründung: Eine Ausnahme von den Informationspflichten wegen eines unverhältnismäßigen Aufwandes nach Art. 14. Abs. 5 lit. b) DSGVO ist nicht gegeben. Nach Auffassung der Behörde soll die Ausnahme der Unverhältnismäßigkeit nur dann gelten, wenn jegliche Kontaktadressen der betroffenen Personen fehlen.

Datum:März 2019

Aufsichtsbehörde: Urząd Ochrony Danych Osobowych (UODO) - Polen

Quelle: Pressemitteilung vom 26.03.2019 (https://uodo.gov.pl/en/553/1009)

170.000 € wegen frei zugänglicher Daten von Schulkindern

Hintergrund: In der Gemeinde Bergen waren aufgrund unzureichender Sicherheitsmaßnahmen über 35.000 Benutzerkonten ungeschützt und frei zugänglich. Über ein Anmeldesystem einer Lernplattform konnte so auf Daten von Kindern, wie Schulzugehörigkeit, Geburtsdatum, Adressen und sogar Schulnoten, zugegriffen werden.

Begründung: Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Datum: März 2019

Aufsichtsbehörde: Datatilsynet – Norwegen

Quelle: Pressemitteilung vom 12.04.2019 (https://www.datatilsynet.no/en/about-privacy/reports-on-specific-subjects/administrative-fine-of-170.000--imposed-on-bergen-municipality/?mc_cid=0f137077cf&mc_eid=abba91bbc1)

20.000 € wegen unverschlüsselter Passwörter

Hintergrund: Einem Social-Media Anbieter wurde nach einem Hackerkerangriff ca. 330.000 Nutzerdaten (darunter Passwörter und E-Mail-Adressen) entwendet. Die Passwörter der Nutzer waren unverschlüsselt und verfremdet beim Unternehmen gespeichert.

Begründung: In der unverschlüsselten Speicherung der Passwörter liegt ein Verstoß gegen Art. 32 Abs. 1 lit. a DSGVO.
Datum: 21.11.2018

Aufsichtsbehörde: Baden-Württemberg (Deutschland)

Quelle: Pressemitteilung vom 22.11.2018 (https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/11/LfDI-Baden-W%C3%BCrttemberg-verh%C3%A4ngt-sein-erstes-Bu%C3%9Fgeld-in-Deutschland-nach-der-DS-GVO.pdf)

5.000 € durch fehlenden Auftragsverarbeitungsvertrag

Hintergrund: Ein Unternehmen weigerte sich, einen Auftragsverarbeitungsvertrag mit einem spanischen Anbieter im Bereich der Vermittlung von Postdienstleistungen zu schließen. Als Grund wurde ausgeführt, dass man die Prozesse des Dienstleisters nicht kenne und eine Übersetzung zu teuer wäre.

Begründung: Die Aufsichtsbehörde sieht hierin einen Verstoß gegen Art. 28 Abs. 3 DSGVO.

Datum: 17.12.2018

Aufsichtsbehörde: Hamburg (Deutschland)
Quelle: Heise Online (https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html)

Ausblick

Nach Angaben der EU-Kommission sind bisher mehr als 95.000 Beschwerden bei den nationalen Datenschutzbehörden eingegangen. Auf Deutschland entfallen dabei immerhin noch ca. 27.000 Beschwerden und mehr als 12.000 gemeldeten Datenschutzverletzungen. Nach derzeitigem Kenntnisstand wurden allein in Deutschland über 100 Bußgelder verteilt auf acht Bundesländer verhängt (Stand Juni 2019):

Nordrhein-Westfalen (36 Fälle)
Berlin (18 Fälle)
Thüringen (23 Fälle)
Rheinland-Pfalz (9 Fälle)
Baden Württemberg (7 Fälle)
Sachsen-Anhalt (6 Fälle)
Hamburg (3 Fälle)
Saarland (3 Fälle)

02/19-Bußgeld bei fehlenden Auftragsverarbeitungsvertrag

Fehlender Auftragsverarbeitungsvertrag kostet 5.000,00 Euro Bußgeld

In Hamburg gab es wegen eines fehlenden AV-Vertrages ein Bußgeld von 5.000,00 Euro. Das betroffene Unternehmen „Kolibri Image“ hatte die hessischen Aufsichtsbehörde selbst darauf aufmerksam gemacht und nachgefragt. Die wiederum leitete die Sache an die zuständige Behörde in Hamburg weiter.
Hintergrund: Das Unternehmen weigerte sich, einen Auftragsverarbeitungsvertrag mit einem spanischen Anbieter im Bereich der Vermittlung von Postdienstleistungen zu schließen. Als Grund wurde ausgeführt, dass man die Prozesse des Dienstleisters nicht kenne und eine Übersetzung zu teuer wäre. Die hessische Aufsichtsbehörde hatte dagegen darauf hingewiesen, dass für beide Parteien die Pflicht besteht, eine solche Vereinbarung abzuschließen.
Mehr Infos unter: https://www.heise.de/newsticker/meldung/DSGVO-5000-Euro-Bussgeld-fuer-fehlenden-Auftragsverarbeitungsvertrag-4282737.html

 

No-Deal-Brexit & Datenschutz

Der bevorstehende Brexit bringt für Betroffene ein bisschen Arbeit mit sich. Aktuell kann nicht ausgeschlossen werden, dass Großbritannien ungeordnet aus der EU austritt. Ab dem 30. März 2019 könnte die Zusammenarbeit mit Auftragsverarbeitern, Subdienstleistern oder Unternehmen mit einer Niederlassungen in UK eine Übermittlung von personenbezogenen Daten in ein Drittland bedeuten. Dies würde wiederum zusätzliche Maßnahmen zur Sicherstellung des Datenschutzniveaus nach Art. 44 ff. DSGVO erfordern.
Fest steht schon jetzt, dass es in so kurzer Zeit keinen Angemessenheitsbeschluss, keine genehmigte Verhaltensregeln oder Zertifizierungen geben wird. Für Betroffene, die aus wirtschaftlichen Gründen an bisherigen Vertragspartnern festhalten wollten, heißt das insbesondere:

- Abschluss von EU-Standardvertragsklauseln mit Auftragsverarbeitern als auch anderen Verantwortlichen
- Aktualisierung der Datenschutzhinweise (Datenübermittlung in ein Drittland) und des Verarbeitungsverzeichnisses
- Prüfung, ob neue Einwilligungen eingeholt werden müssen
- Prüfung, ob Datenschutz-Folgenabschätzungen ergänzt oder sogar neue durchgeführt werden müssen.

Wenn der Deal auf Grundlage der bisherigen Vereinbarungen wider Erwarten doch noch gelingt, dann würde die DSGVO für eine Übergangszeit von 2 Jahren fortgelten.

Weitere Informationen gibt es von der Aufsichtsbehörde in Rehinland-Pfalz: https://www.datenschutz.rlp.de/de/aktuelles/detail/news/detail/News/brexit-drittland-ueber-nacht

 

Umsetzungshilfe zur Informationspflichten

Die Aufsichtsbehörde aus NRW hat eine „Umsetzungshilfe zur Informationspflichten“ (PDF) veröffentlicht.

 

Weitere Bußgeldmeldungen

Für Aufregung sorgte in der letzten Woche die französischen Aufsichtsbehörde CNIL mit einem Bußgeld in Höhe von 50 Millionen Euro gegen Google. Grund hierfür war ein Verstoß gegen die Informationspflichten und unwirksame Einwilligungen. Weitere Infos gibt es unter: https://www.cmshs-bloggt.de/tmc/datenschutzrecht/dsgvo-bussgeld-google-cnil-eur-50-mio/

Daneben wurde durch einen Artikel des Handelsblattes bekannt, dass es in Deutschland eine Vielzahl weiterer Bußgelder gegeben hat. Zusätzlich sind derzeit allein in Bayern 85 Verfahren in Bearbeitung. Die Rangliste der Aufsichtsbehörden nach verhängten Bußgeldern sieht nach dem Artikel im Handelsblatt so aus:

Nordrhein-Westfalen (33)
Hamburg (3)
Baden Württemberg & Berlin (jeweils 2)
Saarland (1)

Das war heut sicher kein Wohlfühl-Newsletter. Dabei habe ich extra das Bußgeld aus Portugal von 400.000,00 Euro außen vor gelassen. In einem Krankenhaus hatten zu viele Personen Zugriff auf Patientendaten. Die bisher verhängten Bußgelder sind kein Grund für Panik. Im Gegenteil zeigt sich, dass bei entsprechender Kooperationen mit den Aufsichtsbehörden ganz angemessene Entscheidungen ergehen. Im Fall von Nordrhein-Westfalen war die durchschnittliche Höhe der verhängten Bußgelder gerade einmal 500,00 Euro pro Fall.

01/19-Falsche DSGVO-Abmahnung und Bußgelder

WARNUNG VOR FALSCHEN DSGVO-ABMAHNUNGEN

Von einigen Mandanten erhielt ich den Hinweis, dass aktuell angebliche Informations-pflichtverletzungen nach Artikel 13 DSGVO abgemahnt werden. Die Abmahnungen kommen von verschiedenen Kanzleien, u.a. von Schöneberg & Partner, Eckert & Kollegen oder der Kanzlei Strube. Die im Anhang der Abmahnung befindliche Zip-Datei enthält jedoch Schadsoftware. Ich empfehle daher grundsätzlich keine Dateianhänge von E-Mails zu öffnen, deren Absender Sie nicht kennen.
Weitergehende Informationen gibt es hier.

 

BEACHTLICHE ZAHLEN AN BESCHWERDEN ZU DATENSCHUTZVERSTÖßEN

Die ehemalige Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat im Rahmen eines öffentlichen Fachgesprächs Zahlen zu den in 2018 angefallenen Beschwerden genannt. Demnach gab es bundesweit allein im nicht-öffentlichen Bereich bis Anfang September 2018 insgesamt 11.000 Beschwerden, davon 6.100 Datenschutzverstöße.

Inzwischen wurde Ulrich Kelber, ein Informatiker, als neuer Bundesdatenschützer gewählt. Dieser warnte angesichts des Datenangriffes auf prominente Politiker vor dem Geschäftsmodell von Facebook und dem Umgang des Konzerns mit den Daten. Es würde eine unglaubliche Datenmenge produziert, die Rückschlüsse auf die Nutzer zulässt. Auch sei völlig unklar, wie mit diesen Informationen umgegangen werde.

 

AUFTRAGSVERARBEITUNGSVERTRAG FÜR STEUERBERATER

Die Aufsichtsbehörde in Baden-Württemberg vertritt nunmehr die Auffassung, dass die Übernahme der laufenden Lohnbuchhaltung durch einen Steuerberater nur im Wege der Auftragsverarbeitung gemäß Art. 28 DSGVO möglich sei. In diesen Fällen sei also zukünftig ein Auftragsverarbeitungsvertrag zu schließen.
Nach überwiegender Ansicht der übrigen Aufsichtsbehörden sind Steuerberater jedoch grundsätzlich nicht als Auftragsverarbeiter anzusehen. Für Betroffene in den anderen Bundesländern empfehle ich daher zunächst abzuwarten, ob sich weitere Aufsichtsbehörden dieser Auffassung anschließen.

 

NEUES BUßGELD AUS BADEN-WÜRTTEMBERG

Inzwischen wurde bekannt, dass es ein zweites Bußgeld aus Baden-Württemberg gegeben hat. Wegen der versehentlichen Veröffentlichung von Gesundheitsdaten wurden diesmal 80.000,00 Euro fällig. Weitere Informationen wurden dazu bisher nicht veröffentlicht.

25/18-Prüfung durch BayLDA, Datenschutzhinweise

AUFSICHTSBEHÖRDE VERHÄNGT BUßGELD

Nach Meldung einer Datenpanne wurde nun heute das erste Bußgeld in Höhe von 20.000,00 € gegen einen baden-württembergischen Social-Media-Anbieter verhängt. Das Unternehmen hatte die Passwörter ihrer Nutzer im Klartext, mithin unverschlüsselt und unverfremdet (ungehasht), gespeichert, was erst nach einem Hackerangriff im Juli 2018 herauskam. Die Behörde sah hierin einen wissentlichen Verstoß gegen die Pflicht zur Gewährleistung der Datensicherheit bei der Verarbeitung personenbezogener Daten gemäß Art. 32 Abs. 1 lit a DS-GVO. Aufgrund der wohl guten Zusammenarbeit des Unternehmens mit der Behörde fällt die Höhe des Bußgeldes glimpflich aus, wenn man bedenkt, dass es immerhin um Daten von ca. 330.000 Nutzern ging.

Die vollständige Presseerklärung des LfDI Baden-Württemberg gibt es hier. Interessant finde ich besonders den Schlusssatz: „Als Bußgeldbehörde kommt es dem LfDI nicht darauf an, in einen Wettbewerb um möglichst hohe Bußgelder einzutreten. Am Ende zählt die Verbesserung von Datenschutz und Datensicherheit für die betroffenen Nutzer.“

 

PRÜFUNGEN DURCH DAS BAYRISCHE LANDESAMT FÜR DATENSCHUTZAUFSICHT

Das BayLDA führt gerade auch anlasslose Datenschutzprüfungen durch. Diese erfolgen in der Regel als sogenannte fokussierte Prüfungen bei einzelnen Unternehmen vor Ort, als Prüfungen im Wege eines schriftlichen Verfahrens oder als Onlineprüfung automatisiert über das Internet. Eine Übersicht, welche Kontrollen gerade stattfinden und welche noch ausstehen, kann hier abgerufen werden.

Ich empfehle mal einen Blick in den Prüfkatalog Rechenschaftspflicht und in den Fragebogen zu Prüfung DS-GVO-Umsetzung bei kleinen und mittleren Unternehmen zu werfen und mit dem eigenen Stand der Umsetzung abzugleichen. Gefragt wird beispielsweise gezielt nach einem Löschkonzept (z.B. nach DIN 66398), nach einem IT-Sicherheitskonzept, nach der Verpflichtung auf Vertraulichkeit und Sensibilisierung der Beschäftigten und nach der Kopie von Schulungsunterlagen.

 

FEHLENDE DATENSCHUTZERKLÄRUNG NICHT ABMAHNBAR

Zuletzt möchte ich noch auf zwei Urteile zur Abmahnbarkeit von Datenschutzerklärungen auf Webseiten aufmerksam machen. Das Landgericht Bochum hat mit Urteil vom 7.8.2018 (Aktenzeichen: 12 O 85/18) entschieden, dass ein Verstoß gegen die DSGVO nicht zugleich eine Wettbewerbsverletzung nach § 3 a UWG darstellen muss. In einem anderen Fall hat das Landgericht Würzburg mit Beschluss vom 13.9.2018 (Aktenzeichen 11O1741/18) dagegen eine Wettbewerbsverletzung angenommen. Weiter Infos hierzu gibt es unter: http://rechtsanwalt-harzewski.de/fehlende-datenschutzerklaerung-nicht-abmahnbar/.