Themenreihe datenschutzrechtliche Sanktionen – Teil 4: Vergleich der in Deutschland und Europa verhängten Strafen

11. Oktober 2019

Strafhöhe in Deutschland vergleichsweise gering

In den vergangenen beiden Wochen haben wir die bereits ausgesprochenen Sanktionen konturiert. Hierbei lag der Fokus auf Deutschland einerseits sowie auf Europa andererseits. Der heutige Beitrag soll die aktuelle Praxis der nationalen wie internationalen Aufsichtsbehörden gegenüberstellen.

Zu Beginn des Vergleichs fällt die divergierende Höhe der in den einzelnen Ländern verhängten Strafen auf. So intendieren insbesondere hohe Strafen wie etwa die 50 Millionen Euro, die die französische Aufsichtsbehörde CNIL Anfang 2019 gegen Google verhängte oder aber auch die von der britischen Aufsichtsbehörde ICO im Juli 2019 ausgesprochenen Strafen gegen Marriott International (110 Millionen Euro) und British Airways (204 Millionen Euro) eine rigorose Anwendung der durch die DSGVO statuierten aufsichtsbehördlichen Befugnisse.

Im Gegensatz dazu scheinen die deutschen Aufsichtsbehörden mit einer Strafhöhe von maximal ca. 200.000 Euro (gegen die Delivery Hero Germany GmbH) eher zurückhaltend zu sein. Selbiges gilt für Aufsichtsbehörden anderer Länder. Allerdings hat die Behörde in Berlin nach Angaben der Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Dalia Kues, die Intention, in absehbarer Zeit ein Bußgeld in Millionenhöhe wegen Verstößen gegen die DSGVO zu verhängen. Es stellt sich mithin die Frage: Sind Frankreich und England im Vergleich besonders streng?

Die Antwort wird im Ergebnis wohl nein lauten. Wie bereits im vorherigen Beitrag erwähnt handelte es sich bei den Adressaten der hohen Strafen um solche Unternehmen, die sehr umsatzstark sind. Hieraus resultiert zwangsweise eine größere, eindrucksvollere Summe. Der Eindruck, dass deutsche Behörden zurückhaltender sind, wird sich demnach in der Retrospektive wahrscheinlich als falsch herausstellen. Möglicherweise schafft ein etwaiger „Bußgeldrechner“ der Behörden in naher Zukunft Klarheit.

Grund für etwaige Strafen

Der Strafgrund divergiert im internationalen Vergleich erwartungsgemäß nicht. Geldbußen werden primär aufgrund von Verstößen gegen Art. 13, 14 und 32 DSGVO verhängt. Auch scheinen die Unternehmen trotz der doch teils erheblichen Schwierigkeiten bei der Umsetzung der DSGVO insgesamt einen positiven Eindruck bei den Aufsichtsbehörden zu hinterlassen. So ist, mit Ausnahme von einzelnen Härtefällen, öffentliche Kritik an der Umsetzung einzelner Unternehmen vergleichsweise selten. Auch werden Strafen grundsätzlich gleichermaßen gegen Unternehmen in jeder Branche und gegen öffentliche Stellen verhängt. Auch Privatpersonen wurden bereits mit Strafen belegt.

Ausblick auf weitere Themen

In der nächsten Woche werden wir für Sie die bisher insgesamt verhängten Strafen in Bezug auf Ihre Höhe analysieren.

Im Rahmen unserer Veranstaltung datenschutzticker.live am 30.10.2019 wird es eine Podiumsdiskussion geben und wir  möchten Ihnen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Wir bitten Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.

Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.

Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.

Kategorien: Allgemein · datenschutzticker.live
Schlagwörter:

Bundesrat stimmt Anpassungen an DSGVO beim 2. DSAnpUG EU zu

9. Oktober 2019

Ende Juni 2019 hat der Bundestag zahlreiche Anpassungen nationaler Vorschriften an die seit Mai 2018 geltende Datenschutz-Grundverordnung (DSGVO) verabschiedet. Der Bundesrat hat diesen Anpassungen am 20.09.2019 nun zugestimmt.

Das aus 150 Artikel bestehende „Zweite Datenschutz-Anpassungs- und Umsetzungsgesetz EU“ wird nun zur Unterzeichnung dem Bundespräsidenten weitergeleitet. Insgesamt greift es in 154 Fachgesetze ein und regelt den sogenannten bereichsspezifischen Datenschutz. Es liegen viele Anpassungen zu Begriffsbestimmungen, Verweisungen, Rechtsgrundlagen für die Datenverarbeitung und Regelungen zu den Betroffenenrechte vor.

Vor allem werden kleine Betriebe und ehrenamtliche Vereine insofern entlastet, dass die Pflicht einen betrieblichen Datenschutzbeauftragten zu bennenen künftig ab einer Personenzahl von 20 greift. Bislang musste nach § 38 BDSG ein Datenschutzbeauftragter eingesetzt werden, wenn sich „in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigten“. Der Bundesdatenschutzbeauftragte Ulrich Kelber weist jedoch darauf hin, dass es kleinen Unternehmen schwerfallen wird, den datenschutzrechtlichen Anforderungen ohne einen juristisch und technisch versierten Datenschutzbeauftragten gerecht zu werden.

Transparenz bei der Verarbeitung von Bürgerdaten

Die Bundesregierung will Bürgern in einem Online-Portal einen Überblick über sie betreffende verarbeitete personenbezogene Daten geben und so mehr Transparenz bei Datenverarbeitungen durch öffentliche Stellen schaffen.

Das Bundeskabinett soll Zeitungsberichten zufolge am Mittwoch über Projektempfehlungen des Kabinettausschuss-Digitalisierung (kurz: Digitalkabinett) abgestimmt haben. Unter anderem geht es um das Online-Portal „Datenschutz-Cockpit“, wo Bürger einsehen können, welche personenbezogenen Daten zu welchem Zweck von Behörden verarbeitet werden. Das Datenschutz-Cockpit soll ähnlich zum Online-Banking aufgebaut sein und Bürgern die Möglichkeit geben, ihre Daten zu verwalten und Behördengänge online zu erledigen. Darüber hinaus soll der Austausch der Daten zwischen den Behörden erleichtert werden, indem über die Plattform eine Einwilligung der Betroffenen eingeholt werden kann.

Das Digitalkabinett ist das zentrale Steuerungsgremium für digitalpolitische Fragen auf Ebene der Bunderegierung. Das Bundeskabinett muss am Ende über die Empfehlungen des Digitalkabinetts abstimmen. Das Projekt ist Teil des Handlungsfelds „Moderner Staat“ der Digitalstrategie der großen Koalition. Die Bundesregierung hat sich hierbei zum Ziel gesetzt bis 2022 alle Verwaltungsleistungen digital anzubieten.

Themenreihe datenschutzrechtliche Sanktionen – Teil 3: In Europa verhängte Strafen

4. Oktober 2019

In den vergangenen beiden Wochen wurde bereits über die gesetzlichen Grundlagen für Sanktionen und die in Deutschland bislang verhängten Strafen berichtet. In dieser Woche soll es um Strafen gehen, die in den weiteren europäischen Ländern von den jeweils zuständigen Aufsichtsbehörden verhängt wurden.

Mediale Aufmerksamkeit in Fällen hoher Bußgelder

Über einige Sanktionen wurde weltweit berichtet. Das betrifft zum Beispiel die € 50 Millionen Strafe, die die französische Aufsichtsbehörde CNIL Anfang 2019 gegen Google verhängte oder auch die von der britischen Aufsichtsbehörde ICO im Juli 2019 ausgesprochenen Strafen gegen Marriott International (€ 110 Millionen) und British Airways (€ 204 Millionen). Auf den ersten Blick erscheinen derartige Bußgelder exorbitant hoch. Hierbei darf allerdings nicht außer Acht gelassen werden, dass große, umsatzstarke Unternehmen zwangsläufig höhere Strafen zahlen. So entsprach die gegen British Airways ausgesprochene Strafe lediglich 1% des weltweiten Jahresumsatzes. Überdies ist zu beachten, dass die Strafen zum Zeitpunkt der Veröffentlichung dieses Beitrags noch nicht final sind. Im Zeitpunkt der Veröffentlichung dieses Beitrages ist noch keine abschließende Stellungnahme (insbesondere des ICO) bekannt.

Grund für etwaige Sanktionen

Sowohl Marriott International als auch British Airways wurden Verstöße gegen Art. 32 DSGVO, also gegen die Sicherheit der Verarbeitung, nachgewiesen. Demgegenüber beruht die vom CNIL gegen Google ausgesprochene Strafe auf einer Verletzung der Art. 13 und 14 DSGVO (Informationspflichten). Die Verletzung von Maßgaben der Art. 13, 14 und 32 DSGVO sind überdies – neben Verstößen gegen Art. 5 DSGVO (Grundsätze der Verarbeitung) – auch die häufigsten Gründe für die Verhängung von Strafen.

Beispiele

Des Weiteren sind bisher ca. 70 Geldbußen mit einer verhängten Strafe von € 118 bis € 2.600.000 bekannt. Insgesamt haben 21 verschiedene EU-Länder bereits Strafen gegen Unternehmen, öffentliche Stellen und teilweise auch gegen Privatpersonen ausgesprochen.

Betroffen waren Unternehmen aus unterschiedlichen Branchen, von der Gesundheitseinrichtung über Fußballigen, Banken, Online-Unternehmen bis hin zu öffentliche Stellen und Privatpersonen.

Folgend ein kurzer Auszug:
Ausblick auf weitere Themen

In der nächsten Woche werden wir für Sie die deutschen und europäischen Strafen gegenüberstellen und einem Vergleich zuführen.

Im Rahmen unserer Veranstaltung, dem datenschutzticker.live am 30.10.2019, wird es eine Podiumsdiskussion geben. Wir möchten Ihnen in diesem Rahmen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Aus diesem Grund bitten wir Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.

Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.

Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.

Künstliche Intelligenz und Datenschutz

1. Oktober 2019

Am 24. September fand in Berlin ein Symposium des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) zum Thema „Chancen und Risiken für den datenschutzgerechten Einsatz von Künstlicher Intelligenz“ mit 150 Gästen statt.

Der BfDI Ulrich Kelber führte hierzu einleitend aus: „Nicht selten stehen wir hier vor einer Blackbox. Insofern ist die datenschutzrechtliche Bewertung von KI-Systemen zwar durchaus schwierig, die Ansicht, Datenschutz und KI schließen sich aus halte ich aber für grundlegend falsch. Das Ziel von KI muss es sein nicht nur innovativ, sondern auch transparent und fair zu sein. Hierzu leistet der Datenschutz einen wichtigen Beitrag.“

Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) stellte bei dieser Gelegenheit die „Hambacher Erklärung zur Künstlichen Intelligenz“ vor, datenschutzrechtliche Anforderungen an KI stellt. Außerdem wurden praktische Erfahrungen mit aktuellen KI-Anwendungen bei Google und der Techniker Krankenkasse ausgetauscht und die bedeutende Rolle von KI im Gesundheitsbereich betont. Das Beispiel der FSD Fahrzeugsystemdaten GmbH zeigte zudem, dass KI auch ohne die Verarbeitung von personenbezogenen Daten möglich sei. Mittels KI und Fahrzeugdaten von Herstellern sowie Anbietern von Kfz-Hauptuntersuchungen entwickelt das Unternehmen eine Software, die z.B. defekte Stoßdämpfer mit großer Genauigkeit erkennt. Problematisch sei, aber dass die Autohersteller dennoch Daten mit Personenbezug übermitteln, obwohl dies nicht notwendig ist.

Es gab aber auch kritische Stimmen, dass der Grundsatz des Verbots mit Erlaubnisvorbehalt in der DSGVO im KI-Zeitalter überholt sei und kleine und mittelständische Unternehmen vom Einsatz von KI abhalte.

In einer abschließenden Diskussion zur Vereinbarkeit von Künstlicher Intelligenz und Datenschutz wurde zudem betont, dass in Europa dezentrale Modelle von KI entstehen sollten.

Thomas Cook warnt vor Gefahr für sensible Daten

30. September 2019

Im Rahmen des Insolvenzverfahrens des Reiseveranstaltungsunternehmens Thomas Cook versuchen scheinbar unbekannte Personen sensible (personenbezognene) Daten abzugreifen. Dies geschieht ausweislich der Pressemitteilung des Unternehmens mittels „Phishing Mails“. So würden Verbraucher via Email eine als offizielle Benachrichtigung von Thomas Cook deklarierte Erklärung mit dem Betreff: „Wichtig: Erstattung Ihrer Thomas Cook-Reise.“ erhalten. Dies würde mit dem Zweck geschehen, sensible Daten, wie beispielsweise Pass- und Kreditkartendaten, unberechtigterweise für einen künftigen Missbrauch abzufragen.
Thomas Cook selbst habe zu keiner Zeit Emails dieser Art an Kunden verschickt. Das Unternehmen empfiehlt diese Mails zu ignorieren und zu löschen.

Kategorien: Allgemein · Online-Datenschutz · Schadsoftware
Schlagwörter:

Themenreihe datenschutzrechtliche Sanktionen – Teil 2: Strafen in Deutschland

27. September 2019

In diesem Beitrag geht es um die bisher in Deutschland verhängten Sanktionen. Diese werden im Rahmen der unabhängigen Arbeit von den einzelnen Landesdatenschutzbehörden ausgesprochen.

Zurückhaltung bei der Aussprache etwaiger Strafen

Im Laufe des ersten Jahres erschien es dem externen Beobachter bisweilen so, als würden die Landesdatenschutzbehörden den Unternehmen ermöglichen, sich zunächst einmal an die durch die Datenschutzgrundverordnung (DSGVO) konturierten Rahmenbedingungen zu gewöhnen. Strafen wurden lediglich zurückhaltend ausgesprochen. Auch aus aktueller Perspektive besteht ebenfalls noch kein Grund zur Angst vor horrenden Bußgeldern. Die bisher verhängten Geldbußen in Baden-Württemberg waren beispielsweise zwei Bußgeldbescheide in Höhe von jeweils 80.000 Euro. In Berlin war es ein Bußgeldbescheid gegen das Unternehmen Delivery Hero Germany GmbH in Höhe von 195.407 Euro. Beides ist im Vergleich zu dem jährlichen Gewinn eines größeren mittelständischen Unternehmens – überspitzt formuliert – fast unerheblich.

Höhere Strafen in absehbarer Zeit

In der kommenden Zeit könnte sich dies aus aktueller Perspektive jedoch ändern. So hat Berlin nach Angaben der Sprecherin der Berliner Beauftragten für Datenschutz und Informationsfreiheit, Dalia Kues die Intention, in absehbarer Zeit ein Bußgeld in Millionenhöhe wegen Verstößen gegen die DSGVO zu verhängen. Mit anderen Worten scheint es so, als würde sich „der Wind drehen“. Dennoch bleibt festzuhalten, dass die Deutschen Behörden grundsätzlich sehr maßvoll bei der Verhängung etwaiger Bußgelder agieren.

Ausblick auf weitere Themen

In der nächsten Woche geht es um Sanktionen die auf internationaler Ebene seit Einführung der DSGVO verhängt wurden.

Im Rahmen unserer Veranstaltung, dem datenschutzticker.live am 30.10.2019, wird es eine Podiumsdiskussion geben. Wir möchten Ihnen in diesem Rahmen die Möglichkeit eröffnen, datenschutzrechtliche Fragen zu stellen. Aus diesem Grund bitten wir Sie, Ihre Fragen formlos an veranstaltung@datenschutzticker.live zu stellen.

Melden Sie sich gerne kostenlos für unsere Veranstaltung datenschutzticker.live am 30.10.2019 an.

Aktuelle Informationen bezüglich datenschutzticker.live erhalten sie auf unserer Veranstaltungshomepage oder über Twitter.

Darknet-Server durch LKA beschlagnahmt

Am Donnerstag Abend wurde ein Darknet-Rechenzentrum in Rheinland-Pfalz durch das LKA gestürmt. Deutschen Ermittlern gelang dadurch ein erheblicher Schlag gegen die internationale Cyberkriminalität.

Mehrere Hundert Einsatzkräften gelang es sieben Tatverdächtige festzunehmen, darunter auch die vermeintlichen Betreiber des illegalen Rechenzentrums. Ein dort gelagerter Server wurde durch das LKA direkt vom Netz genommen.

Ein Sprecher des LKA erklärte, dass gegen die festgenommenen Personen wegen Waffenhandels, Drogenhandels und allem anderen was im Darknet verbreitet wird, ermittelt würde. Dem Einsatz des LKA gingen mehrere Jahre Ermittlungsarbeit voraus. Von dem genannten Rechenzentrum aus wurde außerdem der weltweit zweitgrößte Darknet-Marktplatz „Wall Street Market“ betrieben, welcher bereits im Frühjahr zerschlagen werden konnte. Über den Darknet-Markplatz wurden ausgespähte Daten, gefälschte Dokumente und Schadsoftware gehandelt sowie ein Angriff auf ca. eine Millionen Telekom-Router im Jahr 2016 ausgeführt.

Kategorien: Hackerangriffe
Schlagwörter:

Digitalisierung – Unternehmen sind unsicher

Aufgrund des fehlenden Digital-Know-hows schwindet immer mehr Vertrauen der Führungskräfte in die Belegschaft. Die Studie verzeichnet diese rapide Entwicklung in weniger als zwei Jahren. Trotz Weiterbildungsmaßnahmen scheint ein lang anhaltender Effekt auf die Mitarbeiter auszubleiben, sodass in nur wenigen Wochen die neu erlernten Qualifikationen wieder verschwinden. Etventure-Geschäftsführer Philipp Depiereux erklärt, dass nur dann die Lern- und Trainingserfolge der Mitarbeiter beibehalten werden können, wenn der Kulturwandel ganzheitlich im Unternehmen verankert wird.

Die immer weiter voranschreitende Digitalisierung steigert die Unsicherheit deutscher Großunternehmen in Bezug auf die Arbeit ihrer Mitarbeiter. Eine Studie der Beratungsgesellschaft Etventure zeigt, dass ca. 76% der Unternehmen eine große Skepsis gegenüber dem qualifizierten Umgang der Mitarbeiter mit digitalisierten Daten haben.

Die fehlende Qualifikation der Mitarbeiter in Bezug auf die Digitalisierung ist von den meisten Unternehmen selbst verschuldet, da das Thema nicht mit der entsprechenden Priorität an die Mitarbeiter herangetragen wurde und an immer stärker an Bedeutung bei der Umsetzung in Unternehmen verliert.

Kategorien: Allgemein
Schlagwörter:

E-Scooter: „Die Daten fahren mit“

26. September 2019

In immer mehr Städten sind E-Scooter schon unterwegs. Jeder Nutzer sollte sich trotzdem Gedanken darüber machen, dass die Nutzung eines E-Scooters einen erheblichen Eingriff in die Privatsphäre von Nutzern darstellen könnte. Der Hamburger Datenschutzbeauftragte Johannes Caspar bestätigt dies mit seiner Aussage: „Diese neue Form urbaner Mobilität wird von vielen Anbietern nur unter einem erheblichen Eingriff in die Privatsphäre von Nutzern zur Verfügung gestellt.“

Wer diese neue Form urbaner Mobilität leihen will, braucht eine App und eine Registrierung. Bei der Registrierung erheben die E-Scooter-Anbieter nicht nur Kontaktdaten, Kontodaten und Daten zur Nutzung des Internetangebots, sondern auch Standortdaten (Start- und Abstellort sowie Fahrverlauf), Daten von verlinkten Drittanbieterdiensten sowie Daten von Marketing- und Werbepartnern des Anbieters. Auf diese Weise könnten die E-Scooter-Anbieter Bewegungsprofile jedes einzelnen Nutzers erstellen.

Die Bewegungsprofile der Nutzer sind wirtschaftlich von besonderer Bedeutung nicht nur für die Anbieter, sondern auch für Geschäftspartner, Werbetreibende und für lokale Verkäufer von Waren und Dienstleistungen. Der Hamburger Datenschutzbeauftragte kritisierte, dass diese Daten „Treibstoff für digital getriebene Geschäftsprozess“ sind.

Johannes Caspar erklärt zudem, dass die Datenschutzhinweise defizitär seien. Außerdem ist sehr unklar, welche Daten zu welchen Zwecken von den jeweiligen Anbietern erhoben werden. Deswegen sind „die Datenschutzbestimmungen der Anbieter kritisch durchzusehen“. Er empfiehlt: „Bei Verdacht auf Datenschutzverletzungen kann eine Beschwerde bei der örtlichen oder der für den Anbieter zuständigen Datenschutzbehörde eingelegt werden.“

1 2 3 199