Kategorie: Aufsichtsbehördliche Maßnahmen
24. Juli 2020
Die belgische Datenschutzbehörde hat eine Geldbuße in Höhe von 600.000 Euro gegen den Suchmaschinen-Anbieter Google wegen Verstoßes gegen das Recht auf Vergessenwerden verhängt. Google hatte den Antrag eines belgischen Bürgers auf Löschung von veralteten Artikeln, die als ernsthaft rufschädigend angesehen wurden, abgelehnt.
Die belgische Datenschutzbehörde stellte fest, dass einige Artikel, die sich auf die Beziehung der Person zu bestimmter politischer Partei beziehen, angesichts ihrer Position im öffentlichen Leben von öffentlichem Interesse seien und online bleiben könnten. Die Datenschutzbehörde stellte jedoch fest, dass die Beibehaltung des Artikels, welche sich auf unbegründete Belästigungsbeschwerden beziehen, ernsthafte Auswirkungen auf die Person haben könnten. Die Behörde sah in Googles Weigerung in letzterem Fall ein „schwerwiegendes Versäumnis“ von Google.
Darüber hinaus wiesen das Google Formular sowie die Antwort an die betroffene Person Transparenzmängel auf. Aus diesen Gründen beschloss die belgische Datenschutzbehörde, eine Geldstrafe von 600.000 Euro zu verhängen. Dies ist die höchste Geldbuße, die je von der belgischen Datenschutzbehörde verhängt wurde.
1. Juli 2020
Wie der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg mit einer Pressemitteilung vom 30.06.2020 mitteilte, wurde gegen die AOK Baden-Württemberg wegen Datenschutzverstößen ein Bußgeld in Höhe von 1.240.000 Euro verhängt. Grund für das verhängte Bußgeld sei ein Verstoß gegen die Pflichten zur sicheren Datenverarbeitung nach Art. 32 DS-GVO.
Der Sachverhalt
Die AOK Baden-Württemberg hatte im Zeitraum von 2015 bis 2019 verschiedene Gewinnspiele durchgeführt, und die dabei erhobenen personenbezogenen Daten auch zu Werbezwecken verwendet. Diese Weiterverarbeitung sollte jedoch nur dann erfolgen, wenn die Teilnehmer in diese ausdrücklich eingewilligt haben. Die AOK Baden-Württemberg versuchte mittels technischer und organisatorischer Maßnahmen (sog. TOMs) nach Maßgabe des Art. 32 DS-GVO sicherzustellen, dass nur die Daten derjenigen Teilnehmer zu Werbezwecken verwendet werden, die tatsächlich eine entsprechende Einwilligung abgegeben hatten. Zu diesen Maßnahmen gehörten u.a. Datenschutzschulungen und interne Richtlinien. Diese TOMs seien jedoch nicht ausreichend gewesen, sodass mehr als 500 Gewinnspielteilnehmer Werbung erhielten, obwohl sie keine Einwilligung abgegeben hatten.
Begründung der Bußgeldhöhe
Die Höhe des Bußgeldes sei insbesondere durch die Größe und Bedeutung der AOK Baden-Württemberg gerechtfertigt. Positiv sei jedoch zu berücksichtigen gewesen, dass die TOMs intern überprüft worden seien, wodurch der Datenschutzverstoß überhaupt erst aufgefallen sei. Bei Bekanntwerden des Vorganges habe die AOK Baden-Württemberg alle vertrieblichen Maßnahmen eingestellt, eine Task Force für Datenschutz im Vertrieb gegründet, interne Prozesse und Kontrollstrukturen angepasst und erweitert sowie umfassend und konstruktiv mit dem LfDI zusammengerarbeitet. Dadurch sei kurzfristig eine Steigerung des Schutzniveaus für die Daten der Betroffenen ermöglicht worden.
Weiterhin sei bei der Bemessung der Bußgeldhöhe der gesetzliche Auftrag der AOK Baden-Württemberg innerhalb des Gesundheitssystems zu berücksichtigen gewesen. Um dieser Aufgabe – Sicherstellung der Gesundheitsversorgung – weiterhin effektiv nachkommen zu können, müsse das Bußgeld verhältnismäßig ausfallen. Zudem seien die Auswirkugen der Corona-Pandemie, welche auch die gesetzlichen Krankenkassen treffen, mit in die Erwägungen mit einzubeziehen gewesen.
Fazit
Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg, betonte noch einmal die Bedeutung der technischen und organisatorischen Maßnahmen für die Sicherstellung eines angemessenen Schutzniveaus. Dieses könne jedoch nur dann erreicht werden, wenn alle implementierten TOMs regelmäßig überprüft und ggf. angepasst werden. Datensicherheit sei eine “Daueraufgabe”, und nicht mit der einmaligen Implementierung der TOMs erledigt.
Neben diesem Punkt macht der vorliegende Fall aber auch noch einmal deutlich, dass durch interne Kontrollen, einer zügigen Reaktion auf Datenschutzverstöße und vertrauensvoller Zusammenarbeit mit den zuständigen Aufsichtsbehörden die Höhe eines fälligen Bußgeldes erheblich reduziert werden kann. Das Bußgeld für die AOK Baden-Württemberg wäre sicherlich auch trotz Corona-Pandemie erheblich höher ausgefallen, wäre nicht angemessen auf den aufgedeckten Datenschutzverstoß reagiert worden.
29. Juni 2020
Die belgische Datenschutzbehörde hat eine Geldbuße in Höhe von 1.000 EUR gegen eine Vereinigung verhängt, die auf der Rechtsgrundlage des berechtigten Interesses E-Mails mit werblichen Inhalten an ehemalige Spender für ihre Spendenaktion versandt hat.
Die betroffene Person erhielt von der beschuldigten Vereinigung mehrfach E-Mails mit werblichen Inhalten. Sie machte von ihrem Widerspruchsrecht Gebrauch und verlangte auch die Löschung ihrer Daten. Nachdem die Vereinigung nicht reagierte und weiterhin E-Mails mit Werbung an die betroffene Person versandte, beschwerte sie sich bei der belgischen Datenschutzaufsichtsbehörde.
Zunächst stellt die Aufsichtsbehörde fest, dass die Vereinigung dem Löschersuchen und dem Widerspruchsrecht der betroffenen Person nicht nachgekommen ist. Außerdem vertrat die Behörde die Auffassung, dass im vorliegenden Fall die Vereinigung ihr berechtigtes Interesse nicht wirksam als Rechtsgrundlage für die Datenverarbeitung geltend machen könne, da sie die Anforderungen der Rechtsprechung des Gerichtshofs der Europäischen Union nicht erfüllt habe. Konkret stellte die Aufsichtsbehörde fest, dass bezweifelt wird, ob die betroffene Person vernünftigerweise erwarten kann, dass ihre Daten noch Jahre nach der Datenerhebung für Direktmarketingzwecke verarbeitet werden.
Die Aufsichtsbehörde entschied, dass die Vereinigung hierdurch gegen die Artikel 6 Abs. 1, Art. 17 Abs. 1, c) und d), Art. 21 Abs. 3 und 4 der Datenschutzgrundverordnung verstoßen habe.
Das Bayerische Landesamt für Datenschutzaufsicht (Bay LDA) hat auf seiner Website eine Checkliste zur selbstständigen Prüfung datenschutzrechtlicher Konformität der Home-Office Regelungen in Unternehmen veröffentlicht.
So habe die Corona-Pandemie viele Unternehmen, Selbstständige und Freiberufler mit der Frage konfrontiert, wie die Arbeitsfähigkeit bei gleichzeitiger Infektionsprävention realisiert werden könne. Insoweit seien viele Home-Office Plätze geschaffen worden.
Die ausgegebene Handreichung solle einen Überblick über die wichtigsten Praxismaßnahmen im Homeoffice entsprechend den geltenden gesetzlichen Datenschutzvorgaben geben. Hierbei sei zu berücksichtigen, dass die aufgeführten Aspekte nicht abschließend seien. Vielmehr entsprächen sie einem Best-Practice-Ansatz, wenngleich nicht zugleich nicht immer alle Punkte notwendig seien. Insoweit sei eine kurze kritische Prüfung des Grundes samt kurzer Dokumentation anzuraten.
23. Juni 2020
In einer aktuellen Stellungnahme hat der Bundesbeauftragte für Datenschutz und Informationssicherheit (BfDI), Dr. Ulrich Kelber, klargestellt, dass keine Bundesbehörde den zu Facebook gehörenden Messenger WhatsApp zur Kommunikation benutzen darf.
Hintergrund
Im Rahmen der Corona-Krise haben viele Beschäftigte in Behörden ihre Arbeit ins Homeoffice verlegt. Mit dem Wegfall der persönlichen Kommunikation vor Ort ging eine Zunahme der Kommunikation über WhatsApp einher. Diese erfolgte sowohl zwischen den Mitarbeitern untereinander als auch zwischen Mitarbeitern und Bürgern. Darüber haben sich einzelne Bürger beschwert, was den Bundesdatenschutzbeauftragen zu der Stellungnahme animiert hat.
Kritik
Darin führt er aus, dass allein das Versenden von Nachrichten Metadaten erzeugt, die an WhatsApp Ireland Ltd. – bzw. an das Mutterunternehmen Facebook – übermittelt werden. Die Erzeugung von Metadaten erfolgt unabhängig von der implementierten Ende-zu-Ende-Verschlüsselung. Metadaten sind unter anderem: die Versandzeit der Nachricht, Absender und Empfänger der Nachricht. Diese Metadaten sind unverzichtbar für die Funktionsweise von Messengern.
Gleichzeitig betonte er, dass öffentliche Stellen eine Vorbildfunktion haben, sich datenschutzkonform zu verhalten. Dazu verweist er auf den 27. Tätigkeitsbericht zum Datenschutz 2017 – 2018 vom 08.05.2019. Die Hauptkritikpunkte beziehen sich dabei auf die Übermittlung von Nutzerdaten durch die WhatsApp Ireland Ltd. an Facebook (siehe Blogbeitrag) sowie die Erhebung von Telefonnummern mittels Adressbuchupload durch WhatsApp. Auf diese Weise können alle Kontaktdaten eines Nutzers verarbeitet werden, die auf dessen Mobiltelefon hinterlegt sind und zwar unabhängig davon, ob der jeweilige Kontakt selbst den Messenger nutzt oder nicht.
Fazit
In „Täglich grüßt das Murmeltier“-Manier werden regelmäßig von verschiedenen Seiten datenschutzrechtliche Bedenken gegenüber dem WhatsApp-Messenger geäußert. Lesen Sie dazu unsere weiteren Beiträge:
16. Juni 2020
Seit der coronabedingten Zwangsschließung des Einzelhandels, hat der Großteil der Geschäfte seinen Betrieb wieder aufgenommen. Mit der Öffnung gingen die Einführung präventiver Maßnahmen, wie der obligatorischen Gesichtsmaske und der Limitierung der gleichzeitigen Ladenbesucher, einher. Apple geht in seinen Apple-Stores noch einen Schritt weiter und hat die in anderen Ländern bereits praktizierte Maßnahme der Fiebermessung bei Kunden eingeführt.
Diese Fiebermessung wird nun durch den Landesdatenschutzbeauftragten Hessens auf Konformität mit den bestehenden Datenschutzregeln geprüft.
Personenbezogene Daten
Vorab stellt sich die Frage, ob die Körpertemperatur überhaupt ein personenbezogenes Datum ist. Personenbezogene Daten sind gemäß Art. 4 Nr. 1 DS-GVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zwar ist die gemessene Körpertemperatur eine individuelle Eigenschaft einer Person, aber das macht diese Eigenschaft nicht automatisch personenbezogen. Für so einen Bezug muss zumindest der Name der gemessenen Person bekannt sein.
Dem Apple-Mitarbeiter ist diese Person jedoch nicht bekannt. Damit ist eine nachträgliche Zuordnung von einer Person und der Körpertemperatur nicht möglich, so dass ein Personenbezug nicht gegeben ist. Eine Zuordnung von Körpertemperatur und personenbezogenen Daten erfolgt auch nicht beim Kauf eines Produktes. Egal, ob mit Kreditkarte, durch Barzahlung oder Apple-ID. Der Kaufvorgang steht in keinem Zusammenhang mit dem Fiebermessen. Dies ist jedoch nur solange gewährleistet, wie der Mitarbeiter beim Fiebermessen keine Verkaufstätigkeiten im Laden vornimmt.
Problematisch könnte jedoch eine Videoüberwachung im Laden sein. Die Videoüberwachung erfasst die gesamte Ladenfläche und eventuell auch den Eingangsbereich des Ladens, wo die Fiebermessung vorgenommen wird. Im ungünstigsten Fall könnte die Kamera die Anzeige der Körpertemperatur aufzeichnen.
Verhältnismäßigkeit
Viel mehr Gewicht kommt hingegen dem Argument der Verhältnismäßigkeit zuteil. Natürlich kann Apple sich auf die Privatautonomie berufen und die Fiebermessung als Bedingung zum Ladenbesuch machen. Auch steht der Datenschutz einer Person nicht über der Gesundheit der Allgemeinheit, so dass die Gesundheit aller Kunden Vorrang genießt. Allerdings stellt die Fiebermessung einen großen Eingriff in die Privatsphäre dar.
Unter dem Aspekt der Gesundheit stellt die Fiebermessung keine besonders wirksame Maßnahme dar. Die lange Inkubationszeit des Covid-19-Virus hat zur Folge, dass Infizierte das Virus vielfach weitergeben können, bis überhaupt erste Fiebersymptome auftreten. Oder sie weisen gar keine Symptome auf. Auch ist eine erhöhte Körpertemperatur nicht immer ein Indiz für eine Covid-19-Infektion, sondern kann auch „nur“ eine normale Erkältung sein. Mithilfe von fiebersenkenden Mitteln können Kunden außerdem mutwillig ihre Erkrankung verschleiern. Damit birgt die Fiebermessung nur eine Scheinsicherheit.
Fazit
Wenn der hessische Datenschutzbeauftrage an dem Argument der Scheinsicherheit festhält und die Fiebermessung als unverhältnismäßig erklärt, könnte er ein Verbot der Fiebermessung aussprechen. Dann müsste Apple diese einstellen oder bei Zuwiderhandlung mit Bußgeldern rechnen.
Welche Maßnahmen zum Schutz vor einer Corona-Infektion zulässig sind, können Sie hier nachlesen.
9. Juni 2020
Nachdem der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit, Lutz Hasse, die Prüfung von Datenschutzverstößen durch Lehrkräfte beim Home-Schooling angekündigt hatte, ist er bei Lehrergewerkschaften, Elternverbänden, Oppositionsparteien und Bildungsministern in Kritik geraten.
Er warnte davor, dass bei Verstößen der Lehrer Bußgelder von bis zu 1.000 Euro verhängt werden könnten. Gleichzeitig müsse jedoch geprüft werden, ob der Lehrer selbst oder vielmehr die Schule, durch eine Duldung des Verstoßes, im Einzelfall verantwortlich ist. Aus datenschutzrechtlicher Sicht seien, so Hasse, vor allem die Verwendung von unsicherer Software, Cloudspeichern und Kommunikationsplattformen bedenklich.
Thüringens Bildungsminister Helmut Holter (Linke) kritisierte diesbezüglich: “Lehrerinnen und Lehrer, die in der Corona-Krise mit hohem Engagement und unter hohem Zeitdruck das Lernen zu Hause organisieren mussten und nach den besten Wegen gesucht haben, den Kontakt zu ihren Schülerinnen und Schülern und zu den Eltern zu halten, sollten nun nicht mit Bußgeldern bedroht werden”.
Die Gewerkschaft für Erziehung und Wissenschaft (GEW) kritisierte die Ankündigung von Hasse als „Schlag ins Gesicht“ derer, die schnell nach Möglichkeiten gesucht hätten, Schüler im Distanzunterricht gut zu betreuen.
Wie der MDR jetzt berichtete, haben sich der Thüringer Datenschutzbeauftragte und Mitarbeiter des Bildungsministeriums am Montag den 08.06.2020 gemeinsam auf eine Vermeidung von Bußgeldern geeinigt. Sie legten fest, dass sich bei etwaigen Verstößen die Datenschützer zunächst an das Ministerium wenden sollen. Dort kann im Einzelfall geprüft werden, ob sich Bußgelder vermeiden ließen.
Die Thematik rund um Homeschooling und Datenschutz wurde auch in Teil 8 unserer Themenreihe Datenschutz und Corona aufgegriffen und erläutert.
Neben den vielfach genutzten und in der öffentlichen Berichterstattung präsenten Geldbußen, enthält die DSGVO noch weitere Sanktionsmöglichkeiten. Dazu gehört unter anderem die Verwarnung des Verantwortlichen gemäß Art. 58 Abs. 2 lit. b) DSGVO.
Die Verwarnung wird als “Gelbe Karte” angesehen. Sie soll den Verantwortlichen darauf aufmerksam machen, dass er durch eine spezielle Datenverarbeitung gegen die Voraussetzungen der DSGVO verstoßen hat. Gemäß Erwägungsgrund 148 S. 1 und 2 zur DSGVO soll die Verwarnung “anstelle einer Geldbuße” verhängt werden. Damit hat sie also, genau wie die Geldbuße, repressiven Charakter und knüpft an einen Verstoß an. Dieser Verstoß wird von der Aufsichtsbehörde aber nicht als so gravierend angesehen, dass eine Geldbuße angezeigt wäre.
Im vorliegenden Fall hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Baden Württemberg (LfDI BW), Stefan Brink, eine gebührenpflichtige Verwarnung gegen eine Wirtschaftsauskunftei ausgesprochen. Die Höhe der Gebühr wurde nicht veröffentlicht.
Grundlage für die Verwarnung war die Bildung des sogenannten “Scorewertes”. Der Scorewert wird von Kreditgebern herangezogen, um die Kreditwürdigkeit eines potentiellen Kreditnehmers zu beurteilen. Der Stein des Anstoßes und damit Grundlage für den Ausspruch der Verwarnung ist, dass die Auskunfteien, sofern sie keine Daten über den potentiellen Kreditnehmer finden, diesen automatisch als weniger kreditwürdig eingestufen. Dies hat Auswirkungen auf die Höhe des Kreditrahmens. In der Konsequenz kann dies dazu führen, dass Unternehmen oder Privatpersonen einen geringeren oder auch keinen Kredit bekommen. Darüberhinaus könnte der Eindruck entstehen, dass die niedrige Kreditwürdigkeit darauf beruht, dass es in der Vergangenheit zu Zahlungsrückständen kam, führt der LfDI BW aus.
Der LfDI BW Brink stellt zudem klar, dass “eine Bewertung der Kreditwürdigkeit nur rechtmäßig ist, wenn diese Bewertung auf einer ausreichenden und zutreffenden Tatsachengrundlage beruht.”
Aufgrund mangelnder Transparenz hinsichtlich der Bildung des Scorewerts waren Auskunfteien schon häufiger in der Kritik. Unter anderem die Schufa musste diesbezüglich in der Vergangenheit bereits Kritik einstecken.
5. Juni 2020
Die Berliner Beauftrage für Datenschutz und Informationsfreiheit, Maja Smoltczyk, prüft ob der Online-Modehändler gegen die Datenschutzgrundverordnung (DSGVO) verstoßen hat. Dies bestätigte die Aufsichtsbehörde gegenüber Golem.de und verifizierte damit einen Bericht von Business Insider.
Anlass ist der Einsatz der Softwaresysteme “Zalos” und “Zafeto” von Zalando, welche über sogenannte MDs (Mobile Datenspeicher) die Arbeitsabläufe der Mitarbeiter in den Logistikzentren steuern. Die Geräte teilen den Mitarbeiter die Aufträge zu, einen bestimmten Artikel aus dem Lager zu entnehmen. Dabei werden über das System die Standzeiten ebenso erfasst wie die Menge und Schnelligkeit der erledigten Aufträge (Picks). Die Ergebnisse werden den Mitarbeitern dann in wiederkehrenden Feedbackgesprächen präsentiert. Das Unternehmen nutzt die Systeme nach eigenen Angaben um ihre Arbeitsabläufe zu optimieren.
“sehr überwachungsintensiv”
Die Software erscheine auf den ersten Blick “sehr überwachungsintensiv”, sagte eine Sprecherin der Behörde gegenüber Business Insider. „Es wirkt so, als sei die Kontrolle sehr engmaschig, die Zalando über die beiden Systeme Zalos und Zafeto über seine Mitarbeiter hat. Jetzt wird geprüft, ob das mit der Datenschutzgrundverordnung vereinbar ist.“
Die Berliner Datenschutzbeauftragte prüft außerdem das von Zalando eingesetzte Feedback-Tool „Zonar“, über das die „Süddeutsche Zeitung“ berichtet hat.
27. Mai 2020
Die dänische Datenschutzbehörde hat eine Geldbuße in Höhe von 50.000 Dänischen Kronen gegen ein Personalvermittlungsunternehmen empfohlen. Im Gegensatz zu den meisten Mitgliedstaaten kann die Datenschutzbehörde in Dänemark nicht selbst eine Geldbuße verhängen. Die Polizei führt diesbezüglich Ermittlungen durch. Die Entscheidung über die Verhängung einer Geldstrafe wird vom Gericht getroffen werden.
Das Unternehmen hatte personenbezogene Daten, die Gegenstand eines Auskunftsersuchens waren, nach Eingang des Ersuchens und vor der Auskunftserteilung gelöscht. Die dänische Datenschutzbehörde vertritt die Ansicht, dass das Unternehmen den Anforderungen der Datenschutzverordnung (DSGVO), wonach personenbezogene Daten rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden müssen, nicht erfüllt hatte.
Astrid Mavrogenis, Leiterin der dänischen Datenschutzbehörde, ist der Auffassung, dass die Löschung von personenbezogenen Daten, die im direkten Zusammenhang mit der Nichterfüllung eines Auskunftsersuchens stehen, nicht nur ein Verstoß gegen die DSGVO, sondern auch eine Verletzung der Grundrechte darstelle.
Pages: 1 2 ... 12 13 14 15 16 ... 34 35 
