4. Oktober 2019
In den vergangenen beiden Wochen wurde bereits über die gesetzlichen Grundlagen für Sanktionen und die in Deutschland bislang verhängten Strafen berichtet. In dieser Woche soll es um Strafen gehen, die in den weiteren europäischen Ländern von den jeweils zuständigen Aufsichtsbehörden verhängt wurden.
Mediale Aufmerksamkeit in Fällen hoher Bußgelder
Über einige Sanktionen wurde weltweit berichtet. Das betrifft zum Beispiel die € 50 Millionen Strafe, die die französische Aufsichtsbehörde CNIL Anfang 2019 gegen Google verhängte oder auch die von der britischen Aufsichtsbehörde ICO im Juli 2019 ausgesprochenen Strafen gegen Marriott International (€ 110 Millionen) und British Airways (€ 204 Millionen). Auf den ersten Blick erscheinen derartige Bußgelder exorbitant hoch. Hierbei darf allerdings nicht außer Acht gelassen werden, dass große, umsatzstarke Unternehmen zwangsläufig höhere Strafen zahlen. So entsprach die gegen British Airways ausgesprochene Strafe lediglich 1% des weltweiten Jahresumsatzes. Überdies ist zu beachten, dass die Strafen zum Zeitpunkt der Veröffentlichung dieses Beitrags noch nicht final sind. Im Zeitpunkt der Veröffentlichung dieses Beitrages ist noch keine abschließende Stellungnahme (insbesondere des ICO) bekannt.
Grund für etwaige Sanktionen
Sowohl Marriott International als auch British Airways wurden Verstöße gegen Art. 32 DSGVO, also gegen die Sicherheit der Verarbeitung, nachgewiesen. Demgegenüber beruht die vom CNIL gegen Google ausgesprochene Strafe auf einer Verletzung der Art. 13 und 14 DSGVO (Informationspflichten). Die Verletzung von Maßgaben der Art. 13, 14 und 32 DSGVO sind überdies – neben Verstößen gegen Art. 5 DSGVO (Grundsätze der Verarbeitung) – auch die häufigsten Gründe für die Verhängung von Strafen.
Beispiele
Des Weiteren sind bisher ca. 70 Geldbußen mit einer verhängten Strafe von € 118 bis € 2.600.000 bekannt. Insgesamt haben 21 verschiedene EU-Länder bereits Strafen gegen Unternehmen, öffentliche Stellen und teilweise auch gegen Privatpersonen ausgesprochen.
Betroffen waren Unternehmen aus unterschiedlichen Branchen, von der Gesundheitseinrichtung über Fußballigen, Banken, Online-Unternehmen bis hin zu öffentliche Stellen und Privatpersonen.
Folgend ein kurzer Auszug:
Ausblick auf weitere Themen
In der nächsten Woche werden wir für Sie die deutschen und europäischen Strafen gegenüberstellen und einem Vergleich zuführen.
Im Rahmen unserer Veranstaltung, dem datenschutzticker.live am 30.10.2019, wird es eine Podiumsdiskussion geben. Wir möchten Ihnen in diesem Rahmen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Aus diesem Grund bitten wir Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
1. Oktober 2019
Am 24. September fand in Berlin ein Symposium des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zum Thema „Chancen und Risiken für den datenschutzgerechten Einsatz von Künstlicher Intelligenz“ mit 150 Gästen statt.
Der BfDI Ulrich Kelber führte hierzu einleitend aus: „Nicht selten stehen wir hier vor einer Blackbox. Insofern ist die datenschutzrechtliche Bewertung von KI-Systemen zwar durchaus schwierig, die Ansicht, Datenschutz und KI schließen sich aus halte ich aber für grundlegend falsch. Das Ziel von KI muss es sein nicht nur innovativ, sondern auch transparent und fair zu sein. Hierzu leistet der Datenschutz einen wichtigen Beitrag.“
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellte bei dieser Gelegenheit die „Hambacher Erklärung zur Künstlichen Intelligenz“ vor, datenschutzrechtliche Anforderungen an KI stellt. Außerdem wurden praktische Erfahrungen mit aktuellen KI-Anwendungen bei Google und der Techniker Krankenkasse ausgetauscht und die bedeutende Rolle von KI im Gesundheitsbereich betont. Das Beispiel der FSD Fahrzeugsystemdaten GmbH zeigte zudem, dass KI auch ohne die Verarbeitung von personenbezogenen Daten möglich sei. Mittels KI und Fahrzeugdaten von Herstellern sowie Anbietern von Kfz-Hauptuntersuchungen entwickelt das Unternehmen eine Software, die z.B. defekte Stoßdämpfer mit großer Genauigkeit erkennt. Problematisch sei, aber dass die Autohersteller dennoch Daten mit Personenbezug übermitteln, obwohl dies nicht notwendig ist.
Es gab aber auch kritische Stimmen, dass der Grundsatz des Verbots mit Erlaubnisvorbehalt in der DSGVO im KI-Zeitalter überholt sei und kleine und mittelständische Unternehmen vom Einsatz von KI abhalte.
In einer abschließenden Diskussion zur Vereinbarkeit von
Künstlicher Intelligenz und Datenschutz wurde zudem betont, dass in Europa
dezentrale Modelle von KI entstehen
sollten.
30. September 2019
Im Rahmen des Insolvenzverfahrens des Reiseveranstaltungsunternehmens Thomas Cook versuchen scheinbar unbekannte Personen sensible (personenbezognene) Daten abzugreifen. Dies geschieht ausweislich der Pressemitteilung des Unternehmens mittels “Phishing Mails”. So würden Verbraucher via Email eine als offizielle Benachrichtigung von Thomas Cook deklarierte Erklärung mit dem Betreff: “Wichtig: Erstattung Ihrer Thomas Cook-Reise.” erhalten. Dies würde mit dem Zweck geschehen, sensible Daten, wie beispielsweise Pass- und Kreditkartendaten, unberechtigterweise für einen künftigen Missbrauch abzufragen.
Thomas Cook selbst habe zu keiner Zeit Emails dieser Art an Kunden verschickt. Das Unternehmen empfiehlt diese Mails zu ignorieren und zu löschen.
27. September 2019
In diesem Beitrag geht es um die bisher in Deutschland verhängten Sanktionen. Diese werden im Rahmen der unabhängigen Arbeit von den einzelnen Landesdatenschutzbehörden ausgesprochen.
Zurückhaltung bei der Aussprache etwaiger Strafen
Im Laufe des ersten Jahres
erschien es dem externen Beobachter bisweilen so, als würden die Landesdatenschutzbehörden
den Unternehmen ermöglichen, sich zunächst einmal an die durch die Datenschutzgrundverordnung
(DSGVO) konturierten Rahmenbedingungen zu gewöhnen. Strafen wurden lediglich
zurückhaltend ausgesprochen. Auch aus aktueller Perspektive besteht ebenfalls noch
kein Grund zur Angst vor horrenden Bußgeldern. Die bisher verhängten
Geldbußen in Baden-Württemberg waren beispielsweise zwei Bußgeldbescheide
in Höhe von jeweils 80.000 Euro. In Berlin war es ein Bußgeldbescheid gegen das
Unternehmen Delivery Hero Germany GmbH in Höhe von 195.407 Euro. Beides ist im
Vergleich zu dem jährlichen Gewinn eines größeren mittelständischen
Unternehmens – überspitzt formuliert – fast unerheblich.
Höhere Strafen in absehbarer Zeit
In der kommenden Zeit könnte sich dies aus aktueller Perspektive jedoch ändern. So hat Berlin nach Angaben der Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Dalia Kues die Intention, in absehbarer Zeit ein Bußgeld in Millionenhöhe wegen Verstößen gegen die DSGVO zu verhängen. Mit anderen Worten scheint es so, als würde sich „der Wind drehen“. Dennoch bleibt festzuhalten, dass die Deutschen Behörden grundsätzlich sehr maßvoll bei der Verhängung etwaiger Bußgelder agieren.
Ausblick auf weitere Themen
In der nächsten Woche geht es um
Sanktionen die auf internationaler Ebene seit Einführung der DSGVO verhängt
wurden.
Im Rahmen unserer Veranstaltung,
dem datenschutzticker.live am 30.10.2019, wird es eine Podiumsdiskussion
geben. Wir möchten Ihnen in diesem Rahmen die Möglichkeit eröffnen,
datenschutzrechtliche Fragen zu stellen. Aus diesem Grund bitten wir Sie, Ihre
Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Melden Sie sich gerne kostenlos
für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich
datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
Am Donnerstag Abend wurde ein Darknet-Rechenzentrum in Rheinland-Pfalz durch das LKA gestürmt. Deutschen Ermittlern gelang dadurch ein erheblicher Schlag gegen die internationale Cyberkriminalität.
Mehrere Hundert Einsatzkräften gelang es sieben Tatverdächtige festzunehmen, darunter auch die vermeintlichen Betreiber des illegalen Rechenzentrums. Ein dort gelagerter Server wurde durch das LKA direkt vom Netz genommen.
Ein Sprecher des LKA erklärte, dass gegen die festgenommenen Personen wegen Waffenhandels, Drogenhandels und allem anderen was im Darknet verbreitet wird, ermittelt würde. Dem Einsatz des LKA gingen mehrere Jahre Ermittlungsarbeit voraus. Von dem genannten Rechenzentrum aus wurde außerdem der weltweit zweitgrößte Darknet-Marktplatz “Wall Street Market” betrieben, welcher bereits im Frühjahr zerschlagen werden konnte. Über den Darknet-Markplatz wurden ausgespähte Daten, gefälschte Dokumente und Schadsoftware gehandelt sowie ein Angriff auf ca. eine Millionen Telekom-Router im Jahr 2016 ausgeführt.
Aufgrund des fehlenden Digital-Know-hows schwindet immer mehr Vertrauen der Führungskräfte in die Belegschaft. Die Studie verzeichnet diese rapide Entwicklung in weniger als zwei Jahren. Trotz Weiterbildungsmaßnahmen scheint ein lang anhaltender Effekt auf die Mitarbeiter auszubleiben, sodass in nur wenigen Wochen die neu erlernten Qualifikationen wieder verschwinden. Etventure-Geschäftsführer Philipp Depiereux erklärt, dass nur dann die Lern- und Trainingserfolge der Mitarbeiter beibehalten werden können, wenn der Kulturwandel ganzheitlich im Unternehmen verankert wird.
Die immer weiter voranschreitende Digitalisierung steigert die Unsicherheit deutscher Großunternehmen in Bezug auf die Arbeit ihrer Mitarbeiter. Eine Studie der Beratungsgesellschaft Etventure zeigt, dass ca. 76% der Unternehmen eine große Skepsis gegenüber dem qualifizierten Umgang der Mitarbeiter mit digitalisierten Daten haben.
Die fehlende Qualifikation der Mitarbeiter in Bezug auf die Digitalisierung ist von den meisten Unternehmen selbst verschuldet, da das Thema nicht mit der entsprechenden Priorität an die Mitarbeiter herangetragen wurde und an immer stärker an Bedeutung bei der Umsetzung in Unternehmen verliert.
26. September 2019
In immer mehr Städten sind E-Scooter schon unterwegs. Jeder Nutzer sollte sich trotzdem Gedanken darüber machen, dass die Nutzung eines E-Scooters einen erheblichen Eingriff in die Privatsphäre von Nutzern darstellen könnte. Der Hamburger Datenschutzbeauftragte Johannes Caspar bestätigt dies mit seiner Aussage: „Diese neue Form urbaner Mobilität wird von vielen Anbietern nur unter einem erheblichen Eingriff in die Privatsphäre von Nutzern zur Verfügung gestellt.“
Wer diese neue Form urbaner
Mobilität leihen will, braucht eine App und eine Registrierung. Bei der
Registrierung erheben die E-Scooter-Anbieter nicht nur Kontaktdaten,
Kontodaten und Daten zur Nutzung des Internetangebots, sondern auch Standortdaten
(Start- und Abstellort sowie Fahrverlauf), Daten von verlinkten
Drittanbieterdiensten sowie Daten von Marketing- und Werbepartnern des
Anbieters. Auf diese Weise könnten die E-Scooter-Anbieter Bewegungsprofile
jedes einzelnen Nutzers erstellen.
Die Bewegungsprofile der Nutzer
sind wirtschaftlich von besonderer Bedeutung nicht nur für die Anbieter,
sondern auch für Geschäftspartner, Werbetreibende und für lokale Verkäufer von
Waren und Dienstleistungen. Der Hamburger Datenschutzbeauftragte kritisierte,
dass diese Daten „Treibstoff für digital
getriebene Geschäftsprozess“ sind.
Johannes Caspar erklärt zudem,
dass die Datenschutzhinweise defizitär seien. Außerdem ist sehr unklar, welche
Daten zu welchen Zwecken von den jeweiligen Anbietern erhoben werden. Deswegen
sind „die Datenschutzbestimmungen der
Anbieter kritisch durchzusehen“. Er empfiehlt: „Bei Verdacht auf Datenschutzverletzungen kann eine Beschwerde bei der
örtlichen oder der für den Anbieter zuständigen Datenschutzbehörde eingelegt
werden.“
25. September 2019
Google reagiert auf die Vorwürfe zur unrechtmäßigen Auswertung von Sprachaufnahmen durch Mitarbeiter. In einem Blogbeitrag verspricht Google mehr Datenschutz, erklärt die Datenverarbeitung bei der Nutzung des Sprachassistenten und entschuldigt sich bei seinen Usern.
Google stellt zunächst klar, dass sein Sprachassistent ohne
Speicherung von Sprachaufnahmen verwendet werden kann. Indem die Nutzer in den Einstellungen
die „Sprach- und Audioaktivitäten“ aktivieren, stimmen sie einer Speicherung
ihrer Sprachaufnahmen zu. Da die Sprachauswertung nach den Vorwürfen ausgesetzt
worden ist, müssen auch Nutzer, die den Assistenten bereits verwenden, einer
Speicherung zunächst zustimmen. Mit dem Ziel der Datenminimierung sollen in
Zukunft gespeicherte Sprachaufnahmen, die mit dem Nutzerkonto verknüpft sind,
nach ein paar Monaten gelöscht werden.
Erst nach einer Zustimmung speichert Google Sprachaufnahmen
der User bei der Nutzung seines Assistenten. Ein Teil dieser Audiodateien wird dann
von Mitarbeitern zur Verbesserung des Assistenten ausgewertet. Google betont
aber, dass diese Sprachaufnahmen keinem Nutzerkonto zugeordnet werden.
Als Schwachstelle sieht Google selbst die unbeabsichtigte Aktivierung des Sprachassistenten und verspricht alle so entstandenen Audiodateien zu löschen. In Zukunft sollen Nutzer die Empfindlichkeit des Assistenten – also wie schnell dieser auf „OK Goolge“ regiert, selbst regulieren können.
Mit dem Blogbeitrag schafft Google zumindest mehr Transparenz bezüglich der Verarbeitung von Sprachaufnahmen seiner User. Wie die Änderungen tatsächlich umgesetzt werden bleibt abzuwarten.
Der EuGH hatte sich erneut mit der Thematik der Löschung von Informationen aus Ergebnislisten einer Suchmaschine befasst. Bereits im Jahr 2014 stärkte der EuGH das Recht auf Vergessenwerden. Es blieb jedoch die umstrittene Frage über die geographische Reichweite des vom Gericht eingeräumten Recht auf Vergessenwerden über die EU-Grenzen hinaus offen. Deshalb hatte der französische Staatsrat den EuGH zur genaueren Auslegung dieser Verpflichtung angerufen.
In seinen jetzigen Urteilen (Urteile vom 24.09.2019, Rechtssache C-136/17 und C-507/17) machte der EuGH deutlich, dass die Suchmaschinenbetreiber nicht dazu verpflichtet werden können, Links weltweit zu löschen und sich damit das Recht auf Vergessenwerden lediglich auf die EU-Staaten beziehe. Jedoch stellt er klar, dass die angezeigten Links weltweit aus allen Versionen des Dienstes zu entfernen sind. Die Suchmaschinenbetreiber müssen durch entsprechende Maßnahmen dafür Sorge tragen, dass Internetnutzer nicht auf Links außerhalb der EU zugreifen können.
Darüber hinaus wurde in einem weiteren Urteil festgestellt, dass das Verbot der Verarbeitung von bestimmten personenbezogenen Informationen auch auf die Suchmaschinenbetreiber übertragbar ist. Ein wirksamer Schutz müsse für die betroffenen Bürgerinnen und Bürger eingehalten werden, damit das Privatleben jedes einzelnen geachtet werden kann.
20. September 2019
In diesem Beitrag geht es um die gesetzlichen Grundlagen für die Verhängung von Sanktionen. Wie in jedem rechtlich relevanten Bereich können auch im Datenschutzrecht Rechtsverstöße mit Sanktionen geahndet werden. Dies galt bereits vor Inkrafttreten der EU-Datenschutzgrund-verordnung (DSGVO) am 25. Mai des vergangenen Jahres. Im Zuge der Einführung des EU-weit geltenden Datenschutzrechts wurden die Sanktionen vereinheitlicht, den nationalen Gesetzgebern aber weiterhin die Möglichkeit eingeräumt, darüberhinausgehende Regelungen zu erlassen.
Sanktionen auf Grundlage der DSGVO
Die DSGVO enthält zunächst Regelungen zu geldwerten Sanktionen (Art. 82-84 DSGVO). Daneben hat der Betroffene die Möglichkeit, eine Beschwerde bei der Aufsichtsbehörde zu erheben (Art. 77 DSGVO) oder Rechtsbehelfen gegen die Aufsichtsbehörde (Art. 78 DSGVO) bzw. den Verantwortlichen oder Auftragsverarbeiter (Art. 79 DSGVO) einzulegen.
Ausgehend von Art. 82 DSGVO haften grundsätzlich alle an der Verarbeitung beteiligte Parteien dem Betroffenen auf Ersatz materieller sowie immaterieller Schäden. Einzige Ausnahme ist insoweit die gelungene Entlastung nach Art. 82 Abs. 3 DSGVO. Diese Norm soll also nicht strafen, sondern den erlittenen Schaden in Geld ausgleichen und ist dementsprechend in dem Verhältnis von Betroffenen zum (Auftrags-)Verarbeiter anzuwenden.
Korrelierend dazu normiert Art. 83 DSGVO Voraussetzung und Höhe einer durch die Behörden verhängten Geldbuße. Hier wird nicht der Betroffene entschädigt, sondern die Aufsichtsbehörde spricht eine Strafe gegen den (Auftrags-)Verarbeiter wegen eines Fehlverhaltens aus, die nicht den eingetretenen Schaden beim Betroffenen ausgleichen, sondern Sanktionswirkung haben soll.
Konkret enthält Art. 83 Absatz 2 DSGVO Parameter, die bei der Verhängung einer Geldstrafe zu berücksichtigen sind. Jede Sanktion ist eine Einzelfallentscheidung bei der unter anderem Art, Schwere und Dauer des Verstoßes, Maßnahmen zur Minderung des Schadens und Grad der Verantwortlichkeit berücksichtigt werden. Als Geldbuße können maximal 20 000 000 EUR, oder im Fall eines Unternehmens, bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhangen werden. Sanktionsbewehrte Verstöße sind unter anderem:
- Verletzung der Verarbeitungsgrundsätze des Art. 5 DSGVO,
- Verstöße gegen die Rechte der betroffenen Personen, Art. 12-23 DSGVO,
- Internationale Datentransfers ohne rechtliche Grundlage, Art. 44-50 DSGVO und
- Compliance-Verstöße, die zu einem Risiko für die Rechte und Freiheiten der betroffenen Personen führen.
Insgesamt ist festzustellen, dass nur sehr wenige Verstöße gegen materiell-rechtliche Pflichten bußgeldbefreit sind, was die Relevanz datenschutzrechtlicher Compliance immens erhöht. Mithin ist ein gutes, den gesetzlichen Voraussetzungen entsprechendes, Datenschutzmanagement unverzichtbar.
Sanktionen auf Grundlage des Bundesdatenschutzgesetzes
Art. 84 DSGVO ermächtigt den nationalen Gesetzgeber Sanktionen für Verstöße gegen die DSGVO in nationalen Gesetzen festzulegen. Diese Möglichkeit hat der deutsche Gesetzgeber im Bundesdatenschutzgesetzes (BDSG) wahrgenommen.
Zunächst eröffnet § 41 BDSG die Anwendbarkeit der Vorschriften über das Bußgeld- und Strafverfahren. So sind sowohl das Ordnungswidrig-keitengsetz (OWiG) als auch die Strafprozessordnung (StPO) sowie das Gerichtsverfassungsgesetz (GVG) im Zusammenhang mit datenschutzrechtlichen Verstößen anwendbar.
Überdies erweitert das BDSG die Haftung auf den Einzelnen, sodass neben Bußgeldern die gegen Unternehmen verhängt werden können auch Geld- bzw. Freiheitsstrafen in Betracht kommen. Konkret wird die berechtigungslose, gewerbsmäßige Weitergabe von Daten an eine große Zahl von Personen sowie die berechtigungslose Verarbeitung von Daten mit Bereicherungs- bzw. Schädigungsabsicht bestraft. Das Strafmaß ist von Geldstrafe bis zur Freiheitsstrafe von zwei Jahren (§ 42 BDSG). § 43 BDSG formuliert sodann die bußgeldbewehrten Ordnungswidrigkeiten die bei Verstößen gegen § 30 BDSG vorliegen können.
Ausblick auf weitere Themen
In der nächsten Woche geht es um Sanktionen die seit Einführung der DSGVO und der Anpassung des BDSG, in Deutschland verhängt wurden.
Im Rahmen unserer Veranstaltung, dem datenschutzticker.live am 30.10.2019, wird es eine Podiumsdiskussion geben. Wir möchten Ihnen in diesem Rahmen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Aus diesem Grund bitten wir Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.
Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.
Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.
Pages: 1 2 ... 76 77 78 79 80 ... 274 275 
