DSGVO-Auskunft: Was ist eigentlich eine Kopie?

Im Rahmen der Verarbeitung personenbezogener Daten hat der Betroffene gemĂ€ĂŸ Art. 15 DSGVO ein Auskunftsrecht gegen den Verantwortlichen. Dabei hat er einen Anspruch darauf, zu erfahren, welche Daten in welchem Umfang verarbeitet werden. Um seiner Pflicht nachzukommen, muss der Verantwortliche dem Betroffenen gemĂ€ĂŸ Art. 15 Abs. 3 DSGVO eine “Kopie der verarbeiteten Daten” zur VerfĂŒgung stellen. Jedoch war bisher umstritten, was genau unter einer solchen Kopie zu verstehen ist. In einem aktuellen Urteil stellte der EuGH nun klar, wie der Begriff der “Kopie” in Art. 15 Abs. 3 DSGVO auszulegen ist. 

Read more

1 Million Euro Strafe wegen des Einsatzes von Google Analytics

Die Datenschutz-Grundverordnung (DSGVO) hat in den letzten Jahren zu einer verstĂ€rkten Sensibilisierung fĂŒr den Datenschutz und zu einer strengeren Durchsetzung von VerstĂ¶ĂŸen gefĂŒhrt. Ein aktueller Fall betrifft den Telekommunikationsanbieter Tele2, der eine Geldstrafe von einer Million Euro zahlen muss. Der Grund fĂŒr die Strafe sind unzureichende Schutzmaßnahmen im Umgang mit Google Analytics und der Verletzung der DSGVO.

Read more

Datenschutzrechtliche Fragen zur EinfĂŒhrung eines Membership-Programms

Im Rahmen einer aktuellen Beratung eines Mandanten wurden zentrale Fragen zu möglichen datenschutzrechtlichen Problemen bei der EinfĂŒhrung eines Membership-Programms aufgeworfen. Diese werden im Folgenden beantwortet, sowie die Vor- und Nachteile der verschiedenen Lösungswege aufgezeigt. DarĂŒber hinaus sollten in dem uns vorliegenden Fall bereits bestehende Kunden-Accounts in neue Membership-Konten umgewandelt werden. Die dabei bestehenden Möglichkeiten werden im zweiten Teil dieses Beitrags unter BerĂŒcksichtigung datenschutzrechtlicher Aspekte behandelt.

Read more

Cyberangriffe per E-Mail

Nach wie vor lĂ€uft die meiste geschĂ€ftliche Kommunikation mit internen und externen Partnern per E-Mail ab. Damit ist es ein beliebtes Ziel fĂŒr Kriminelle. Mit Cyberangriffen versuchen sie von ihren Opfern wertvolle Informationen zu erhalten. Dem versucht das Bayerische Landesamt fĂŒr Datenschutzaufsicht (BayLDA) entgegenzuwirken, indem es auch die Absicherung von E-Mail-Accounts großflĂ€chig in Bayern kontrollieren will.

Read more

Update: EDSA nimmt Stellung zum Trans-Atlantic Data Privacy Framework

Der EuropĂ€ische Datenschutzausschuss (EDSA) hat eine Stellungnahme zum Entwurf eines Angemessenheitsbeschlusses fĂŒr das Trans-Atlantic Data Privacy Framework veröffentlicht. Darin werden die wesentlichen Verbesserungen, wie die EinfĂŒhrung von Anforderungen an Notwendigkeit und VerhĂ€ltnismĂ€ĂŸigkeit fĂŒr die Datenerhebung, befĂŒrwortet. Kritisiert wird jedoch weiterhin das Festhalten am Instrument der MassenĂŒberwachung und die fehlende Transparenz im Rechtschutzverfahren. Der endgĂŒltige Angemessenheitsbeschluss muss noch erlassen werden und wĂŒrde die dringend benötigte Rechtssicherheit schaffen. Der Leitgedanke der Vereinbarung bleibt weiterhin ein der EU gleichwertiges Datenschutzniveau bei der DatenĂŒbermittlung in die USA sicherzustellen.

In einer Pressemitteilung Ă€ußerte sich der Bundesbeauftragte fĂŒr den Datenschutz und die Informationsfreiheit (BfDI) Professor Ulrich Kelber wie folgt:

Wir sehen den Willen, ein angemessenes Schutzniveau fĂŒr Betroffene, deren personenbezogenen Daten an Unternehmen in die USAÂ ĂŒbermittelt werden, zu schaffen. Deutliche Fortschritte gibt es insbesondere im Bereich des Government Access fĂŒr Zwecke der nationalen Sicherheit. Bedenken haben wir, ob die neuen Regelungen in allen Punkten ein Schutzniveau gewĂ€hrleisten, das den EU-Datenschutzstandards der Sache nach gleichwertig ist.

 

Foto von Hunter Harritt auf Unsplash

DSGVO-Bußgeld: Wie teuer kann es werden?

Wir hatten kĂŒrzlich darĂŒber berichtet, dass die von Aufsichtsbehörden verhĂ€ngten Bußgelder wegen DatenschutzverstĂ¶ĂŸen tendenziell steigen. Zur Wahrheit gehört jedoch auch, dass die extrem hohen Strafen, welche dann auch in der Medienberichterstattung landen, meist Tech-Giganten wie Google, Meta (Facebook) oder Amazon treffen. In unserer Beratungspraxis fragen Mandanten oft nach einer individuellen RisikoeinschĂ€tzung: Wie hoch könnte ein Bußgeld fĂŒr einen ganz konkreten Verstoß ausfallen? Diese Frage lĂ€sst sich jedoch kaum seriös beantworten, hĂ€ngt die Bemessung der Strafe doch von zu vielen verschiedenen Faktoren hat. Einen “Bußgeldkatalog” wie beim “Zu-schnell-Fahren” gibt es nicht. Wir möchten dennoch versuchen, anhand von einigen Bußgeldern, die von den deutschen Behörden verhĂ€ngt wurden, das Spektrum aufzuzeigen. 

Insgesamt wurden in Deutschland seit Geltung der DSGVO 329 Bußgelder verhĂ€ngt. Europaweit sind es 2.427 solcher Strafen. Ein Großteil der in Deutschland verhĂ€ngten Bußgelder betrifft FĂ€lle unerlaubter Telefonwerbung (insbesondere durch Energieversorger und Telekommunikationsanbieter). HierfĂŒr wurden Bußgelder zwischen 5.000,00 und 300.000,00 Euro verhĂ€ngt, was die Bandbreite verdeutlicht. Erschreckend viele Bußgelder mussten gegen Polizistinnen und Polizisten wegen unberechtigter Datenbankabfragen verhĂ€ngt werden.

Unternehmen

Bußgeld

DSGVO-Verstoß

H&M Hennes & Mauritz Online Shop A.B. & Co. KG

35.258.708,00 Euro

Erfassung privater Informationen hunderter Mitarbeiter (“Bespitzelung”)

notebooksbilliger.de AG

10.400.000,00 Euro

UnrechtmĂ€ĂŸige VideoĂŒberwachung von Mitarbeitern und Kunden ĂŒber mindestens zwei Jahre

BREEBAU GmbH

1.900.000,00 Euro

Verarbeitung sensibler Daten von Mietinteressenten (z.B. Körpergeruch, Frisur) ohne Rechtsgrundlage

AOK Baden-WĂŒrttemberg

1.240.00,00 Euro

Nutzung der Daten von 500 Gewinnspielteilnehmern zu Werbezwecken ohne Rechtsgrundlage (hier: Einwilligung)

Hannoversche Volksbank

900.000,00 Euro

Auswertung von Kundendaten ohne Rechtsgrundlage

Unbekannt (produzierendes Gewerbe)

400.000,00 Euro

Aufzeichnung von Kundenanrufen ohne Einwilligung

Verschiedene Energieanbieter

5.000,00 bis 300.000,00 Euro

Telefonwerbung

Delivery Hero Germany GmbH

195.407,00 Euro

Mehrere VerstĂ¶ĂŸe, u.a. keine Löschung ehemaliger Kundendaten, unterwĂŒnschte Werbe-E-Mails

Finanzunternehmen

80.000,00 Euro

UnsachgemĂ€ĂŸe Entsorgung personenbezogener Daten

Online-Shop-Betreiber

65.500,00 Euro

Betrieb eines Online-Shops mit veralteter, unsicherer Version von xt:Commerce

Hamburger Verkehrsverbund GmbH

20.000,00 Euro

VerspÀtete Meldung einer Datenpanne

Knuddels GmbH & Co. KG

20.000,00 Euro

Hackerangriff, Verlust von Daten von 330.000 Nutzern wegen unzureichender Sicherheitsvorkehrungen

Kapitalgesellschaft

18.200,00 Euro

Auskunft an Betroffene mehrmals nicht erfĂŒllt

Unternehmen der Erwachsenenbildung

13.021,00 Euro

Fehlende Joint Controller Vereinbarung

Schwimmbad-Betreiber

12.000,00 Euro

Unerlaubte VideoĂŒberwachung, fehlender AV-Vertrag, keine Benennung eines Datenschutzbeauftragten

Rapidata GmbH

10.000,00 Euro

Fehlende Benennung eines Datenschutzbeauftragten

Labor

7.638,00 Euro

Keine DatenschutzerklĂ€rung, unrechtmĂ€ĂŸige Verwendung von Google Tools

Handel

1.200,00 Euro

Nichterteilung einer Auskunft

Verein

500,00 Euro

Versendung einer E-Mail an einen falschen Verteiler

BeschÀftigter eines Restaurants

250,00 Euro

Nutzung von Kontaktdaten (Corona-Kontaktverfolgung) zu privaten Zwecken

 

Rechtlicher Hintergrund

Den Rahmen fĂŒr die Höhe von Bußgeldern gibt Art. 83 Abs. 4 und 5 DSGVO vor: Die Höchstgrenze betrĂ€gt fĂŒr schwerwiegendere DatenschutzverstĂ¶ĂŸe 20 Mio. Euro bzw. 4 % des weltweiten Jahresumsatz des Unternehmens, je nach dem, welches der höhere (!) Betrag ist. Innerhalb des breiten Spektrums von null bis zu eben jener Höchstgrenze soll eine angemessene Strafe festgelegt werden. Bei der Zumessung des Betrages sind nach Art. 83 Abs. 2 Satz 2 DSGVO folgende Kriterien zu berĂŒcksichtigen:

  • Art, Schwere und Dauer des Verstoßes (insbesondere Art, Umfang, Zwecks der betreffenden Datenverarbeitung, Zahl der betroffenen Personen, Ausmaßes des Schadens);
  • VorsĂ€tzlichkeit oder FahrlĂ€ssigkeit des Verstoßes;
  • etwa ergriffene Maßnahmen zur Schadensminderung;
  • Grad der Verantwortung (insbesondere technische und organisatorische Maßnahmen);
  • etwaige frĂŒhere einschlĂ€gige VerstĂ¶ĂŸe des Unternehmens;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Kategorien der personenbezogenen Daten, die betroffen sind (je sensibler, desto schwerer wiegt der Verstoß);
  • Art und Weise, wie der Aufsichtsbehörde der Verstoß bekannt wurde (z.B. Selbstanzeige oder Fremdanzeige);
  • Einhaltung etwaiger vorher von der Behörde angeordneten Maßnahmen;
  • Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsverfahren;
  • sonstige erschwerende oder mildernde UmstĂ€nde (z.B. durch den Verstoß erlangte finanzielle Vorteile).

Einerseits gibt die DSGVO den Behörden also einen recht konkreten Bemessungskatalog an die Hand. Andererseits bleibt dennoch ein erheblicher Ermessensspielraum, weshalb manche Entscheidungen auf den ersten Blick willkĂŒrlich erscheinen, auch weil es allein in Deutschland 17 zustĂ€ndige Aufsichtsbehörden gibt (eine fĂŒr jedes Bundesland, Bayern hat sogar zwei). Die an den oben genannten Beispielen verdeutlichte Bandbreite der BetrĂ€ge liegt angesichts der Vielzahl denkbarer Konstellationen und Fallgestaltungen auf der Hand. Um eine EU-weit einheitliche Bemessungspraxis herzustellen, hat der EuropĂ€ische Datenschutzausschuss (EDSA) im letzten Jahr Guidelines veröffentlicht, welche eine praktische Methodik festlegen. Diese hier zu erlĂ€utern, wĂŒrde den Rahmen sprengen.

 

Foto von Ibrahim Boran auf Unsplash