Kategorie: DSGVO
25. November 2020
Die italienische Datenschutzaufsichtsbehörde (Garante per la protezione dei dati personali) hat Vodafone zur Zahlung einer Geldbuße von über 12,25 Mio. € verurteilt, weil das Unternehmen die personenbezogenen Daten von Millionen von Nutzern illegal für Telemarketingzwecke verarbeitet hat.
Die Datenschutzaufsichtsbehörde leitete ein Untersuchungsverfahren ein, nachdem sich Betroffene über unerwünschte Werbeanrufe von Vodafone oder Firmen aus dem Vermarktungsnetzwerk des Telekommunikationsunternehmens beschwert hatten. Die Aufsichtsbehörde stellte fest, dass Werbeanrufe ohne Einwilligung der Betroffenen erfolgten. Weitere Verstößen wurden bei der Verwaltung der von externen Providern beschafften Listen von Kontaktdaten gefunden. Zudem wurden Mängel bei der Erfüllung der Rechenschaftspflicht sowie der technischen und organisatorischen Maßnahmen festgestellt.
Neben der Zahlung der Geldbuße muss das Unternehmen eine Reihe von Maßnahmen ergreifen, die von der Behörde festgelegt wurden, um die nationalen und europäischen Rechtsvorschriften zum Datenschutz einzuhalten. Hierzu gehören die Schaffung eines Dokumentationssystems, mittels dessen sich nachverfolgen lässt, ob die Verarbeitung personenbezogener Daten im Kontext des Telefonmarketings entsprechend der gültigen Regelungen erfolgt und eine Stärkung bestehender Sicherheitsmechanismen, um unerlaubten Zugriffen auf und unrechtmäßiger Verarbeitung von Kundendaten vorzubeugen. Vodafone wurde zudem aufgefordert Maßnahmen zu ergreifen, um auch auf Anfragen von Kunden zur Ausübung ihrer Rechte umfassend reagieren zu können.
Schließlich hat die Behörde Vodafone jede weitere Verarbeitung von Daten zu Werbezwecken untersagt, die durch den Erwerb von Listen von Dritten erfolgt, ohne dass diese eine spezifische und informierte Einwilligung der Nutzer für die Übermittlung ihrer Daten eingeholt haben.
24. November 2020
Im Anschluss an die Schrems II-Rechtsprechung des Europäischen Gerichtshofes (wir berichteten) und den neuen Empfehlungen des Europäischen Datenschutzausschusses (wir berichteten) reagierte Microsoft nun mit neuen Vertragsklauseln. Diese sollen es ermöglichen, personenbezogene Daten in Drittländer – insbesondere die USA – exportieren zu können.
Mit diesem Schritt wolle man über die aktuellen Richtlinien hinausgehen. Zusätzlich erhoffe man sich, dass dieser Schritt bei den Kunden zusätzliches Vertrauen schaffen werden.
Rechtsweg und Informationspflichten
Microsoft verpflichte sich, gegen jede nicht rechtmäßige Anordnung auf Herausgabe von personenbezogenen Daten vorzugehen und ggf. den entsprechenden Rechtsweg einzuschlagen. Darüber hinaus wolle man alle zumutbaren Anstrengungen unternehmen, um die Anfragen Dritter so umzuleiten, dass die Daten direkt vom Kunden angefordert werden müssten. Des Weiteren sollen Kunden, sofern dies im konkreten Fall rechtlich möglich sei, unverzüglich benachrichtigt werden. Sollte die Benachrichtigung untersagt sein, verpflichte man sich, alle rechtlichen Mittel einzusetzen, um das Verbot anzugreifen und den Kunden sobald wie möglich zu informieren.
Anspruch auf Schadensersatz
Personen die durch die nach der DSGVO unrechtmäßige Datenverarbeitung einen materiellen oder immateriellen Schaden erleiden, erhalten einen Anspruch auf Schadensersatz. Dabei trage der Betroffene die Beweislast. Diese Verpflichtung übertreffe die aktuellen Empfehlungen des Europäischen Datenschutzausschusses.
Ausblick
Ob weitere Unternehmen diesem Beispiel folgen werden, ist zurzeit noch nicht ersichtlich. Es bleiben auch weiterhin viele Fragen offen. Die neuen Ergänzungen lösen nicht den Kern des bisherigen Problems. Die vom Europäischen Gerichtshof als unverhältnismäßig beanstandeten Zugriffsmöglichkeiten der US-Geheimdienste auf personenbezogene Daten können auch weiterhin nicht unterbunden werden. Nach den neuen Klauseln existiert eine rechtliche Grundlage für eine Anfechtung auch nur dann, wenn das Herausgabeverlangen nach dem nationalen Recht rechtswidrig wäre. Das ist bei Geheimdienstanfragen innerhalb der Vereinigten Staaten nur sehr selten der Fall.
23. November 2020
Das gegen die 1 & 1 Telecom GmbH verhängte Bußgeld in Höhe von 9,55 Millionen Euro (wir berichteten) wurde vom Landgericht Bonn auf 900.000 Euro herabgesetzt.
Aufgrund der Herausgabe einer Telefonnummer verhängte der Bundesdatenschutzbeauftragte Ulrich Kelber das ursprüngliche Bußgeld. Der Telekommunikationsdienstleister habe die Daten der Kunden nicht durch ein hinreichend sicheres Authentifizierungsverfahren geschützt. Gegen das verhängte Bußgeld ging 1 & 1 gerichtlich vor. Der Bußgeldbetrag sei unverhältnismäßig hoch. Das sah das Landgericht Bonn ähnlich. Die Herausgabe stelle zwar einen grob fahrlässigen Verstoß gegen Art. 32 Abs. 1 DSGVO dar, allerdings habe dies nicht zu einer massenhaften Herausgabe von Daten an Nichtberechtigte geführt.
Darüber hinaus stellte das Landgericht fest, dass die Sanktionen nicht von einem konkreten Verstoß einer Leitungsperson abhängig seien. Das hier anwendbare europäische Recht stelle anders als das deutsche Ordnungswidrigkeitenrecht kein entsprechendes Erfordernis auf. Der Wortlaut der DSGVO enthalte keine Regelungen zur Zurechenbarkeit.
Des Weiteren musste die Kammer aber auch die Schwere des Vergehens bewerten. Das Verschulden des Unternehmens sei dabei gering und das Bußgeld unangemessen hoch, so das Gericht. Zum Zeitpunkt der Herausgabe fehlte es an dem notwendigen Problembewusstsein.
17. November 2020
Im Anschluss an die Veröffentlichung des Europäischen Datenschutzausschusses bezüglich neuer Empfehlungen bei Drittstaatentransfers (wir berichteten), veröffentlichte die EU-Kommission am 12. November 2020 einen Entwurf neuer Standardvertragsklauseln (SCC). Die neuen Standartvertragsklausen setzen sich dabei aus einem Kommissionsbeschluss und den konkreten Vertragsklauseln zusammen. Aufgrund der Schrems-II-Entscheidung des Europäischen Gerichtshofes (wir berichteten) wurde es zuletzt zunehmend schwieriger, personenbezogene Daten an Drittstaaten zu übermitteln. Die neuen Klauseln sollen nun dazu beitragen, personenbezogene Daten unter Einhaltung europäischer Datenschutzstandards, sicher an Drittstaaten transferieren zu können.
Zwei neue Übertragungsarten
Die wohl wichtigste Neuerung ist die Einführung zwei neuer Übertragungsarten. Bisher gab es die Schutzklauseln lediglich für das Verhältnis Verantwortlicher-Auftragsverarbeiter und Verantwortlicher-Verantwortlicher. Die neuen Klauseln decken zusätzlich das Verhältnis Auftragsverarbeiter-Auftragsverarbeiter und Auftragsverarbeiter-Verantwortlicher ab, wodurch auch Unterauftragsverhältnisse mit abgedeckt werden. Durch die neue „Docking Clause“ können nun auch Dritte zuvor geschlossenen Verträgen beitreten.
Garantien
Darüber hinaus sehen die neuen Klauseln Garantien vor. Eine Übermittlung bleibt auch weiterhin nur zulässig, wenn die nationalen Gesetze den Klauseln nicht entgegenstehen. Liegt ein rechtsverbindlicher Antrag auf Datenherausgabe einer Behörde vor, müssen Betroffene unverzüglich darüber informiert werden. Des Weiteren muss der Datenimporteur sich gegen das Zugriffsbegehren mit rechtlichen Mitteln zur Wehr setzen, sofern die gesetzlichen Bestimmungen dafür vorliegen.
Ausblick
Die EU-Kommission hat dazu aufgerufen, Stellungnahmen einzureichen. Die öffentliche Konsultation läuft noch bis zum 10. Dezember 2020. Sobald die neuen Standardvertragsklauseln in Kraft treten, müssen die alten Standardvertragsklauseln innerhalb eines Jahres durch die neuen Klauseln ersetzt werden.
12. November 2020
Nachdem der EuGH in seiner “Schrems II-Entscheidung” den EU-US-Privacy-Shield für unwirksam erklärte, setzen viele Unternehmen auf die EU-Standardvertragsklauseln als Grundlage für die Übermittlungen in Drittstaaten. Sowohl der EuGH als auch der Europäische Datenschutzausschuss (EDSA) hatten aber betont, dass alleine die Nutzung der Standarvertragsklauseln regelmäßig nicht ausreichend ist, um ein angemessenes Schutzniveau zu gewährleisten, wenn in dem Drittstaat ein behördlicher Zugriff auf die übermittelten Daten droht. Stattdessen müssten zusätzliche technische oder organisatorische Maßnahmen ergriffen werden, um die Sicherheit der Daten zu gewährleisten.
In der Zwischenzeit war gerätselt worden, welche zusätzlichen Maßnahmen damit gemeint sein könnten. Nun hat sich der EDSA zu dieser Frage geäußert und entsprechende Empfehlungen geäußert (bisher nur auf englischer Sprache vorliegend).
Nicht nur technische und organisatorische, auch vertragliche Maßnahmen möglich
Zunächst gibt der EDSA den betroffenen Unternehmen eine Prozessempfehlung an die Hand. Dabei geht es vor allem um die Identifizierung der relevanten Datenübermittlungen und deren rechtliche Grundlage. Dies dient als Basis für die Einschätzung, ob überhaupt zusätzliche technische und organisatorische Maßnahmen getroffen werden müssen.
Kern der Empfehlung ist aber die Anlage 2, in welcher – durchaus umfangreich – nicht nur zusätzliche technische und organisatorische Maßnahmen, sondern auch mögliche vertragliche Vereinbarungen vorgestellt werden. Der EDSA versucht diese Maßnahmen anschaulich auf konkrete Sachverhalte zu beziehen und stellt genau dar, welche Anforderungen diese Maßnahmen erfüllen müssen. Die möglichen Maßnahmen reichen von wirksamen Verschlüsselungen über eine vertragliche Verstärkung der Betroffenenrechte bis hin zu konzerninternen Richtlinien und der Aufstellung von Spezialistenteams, welche mögliche Behördenzugriffe auf dem Rechtsweg verhindern sollen.
Vorgeschlagene Maßnahmen auch praktikabel?
So umfangreich und detailliert der EDSA die möglichen Maßnahmen beschreibt, mit denen im Verhältnis zwischen den beteiligten Parteien trotz eines drohenden behördlichen Zugriffs auf die Daten deren Sicherheit gewährleistet werden soll, muss sich doch erst noch herausstellen, wie praktikabel diese Empfehlungen sind. Können konzernintern entsprechende Maßnahmen sicherlich zeitnah umgesetzt werden, stellt sich doch die Frage, wie dies gegenüber marktbeherrschenden Dienstleistern möglich sein soll. Hier erscheint die Initiative der Dienstleister erforderlich zu sein, die vertraglichen Grundlagen anzupassen und entsprechende interne Prozesse einzuleiten. Ob dies jedoch aus wirtschaftlicher Sicht sinnvoll ist, wenn gleichzeitig zwischen der EU und den USA über eine neue datenschutzrechtliche Grundlage für Datentransfers verhandelt wird, steht ebenfalls auf einem anderen Blatt.
Nichtsdestotrotz sollten betroffene Unternehmen die Empfehlungen des EDSA nicht unberücksichtigt lassen und prüfen, welche der vorgeschlagenen Maßnahmen im Einzelfall umgesetzt werden können. Die bestehende Rechtsunsicherheit kann dadurch vielleicht nicht gänzlich beseitigt werden, dennoch sind die Empfehlungen sicherlich ein Schritt in die richtige Richtung.
3. November 2020
Nach einer Studie des Netzwerks Datenschutzexpertise dürfen Autos von Tesla wegen vieler Datenschutzverstöße in der EU nicht zugelassen werden. Der Verfasser der Studie, der frühere schleswig-holsteinische Datenschutzbeauftragte Thilo Weichert, führt die potentiellen Rechtsverletzungen in einem Gutachten auf fast 40 Seiten auf.
Die vielen Kameras und elektronischen Messysteme, die Tesla im Model 3 verbaut hat, stellen personenbezogene Messwerte dar, für deren Inanspruchnahme Tesla keine präzisen Zwecke nennt. Dies stellt einen Verstoß gegen Artikel 5 der DSGVO dar. Als weiteres Beispiel wird die Video- und Ultraschallüberwachung während der Fahrt und im sogenannten „Sentry-Mode“ benannt. Dies ist ein Überwachungsmodus, der aktiviert werden kann, wenn das Auto geparkt ist. Acht Kameras, die rund um das Auto montiert sind, ermöglichen eine Rundumüberwachung der Fahrzeugumgebung in bis zu 250 Meter Entfernung. Über die USB-Schnittstelle können die einlaufenden Daten von vier Kameras dauernd unverfremdet ausgelesen und ausgewertet werden. Personen oder auch Kfz-Nummernschilder seien so klar zu erkennen.
Im Sentry-Mode erfassen die Kameras zudem dauernd die Umgebung. Eine kleine Bewegung im unmittelbaren Umfeld des Fahrzeugs reiche bereits, sodass im Cockpit ein roter Punkt aufleuchtet und dies aufzeichne. Dafür genüge es, dass eine Person oder ein anderes Fahrzeug nahe am Auto sei. Sicherheitsforscher hätten gezeigt, dass sie über eine USB-Schnittstelle sämtliche Kameras im laufenden Betrieb auswerten, Kfz-Kennzeichen erfassen und Gesichtserkennung durchführen konnten.
Dem Gutachten zur Folge „genügt Tesla nicht den Anforderungen an die Datenminimierung und die Erforderlichkeit bei der Datenverarbeitung.” Tesla sei „insbesondere mitverantwortlich für die nicht erforderliche, umfassende, uneingeschränkte Videoüberwachung” im Wächtermodus. Ignoriere aber deren Folgen. Das Unternehmen informiere die Betroffenen zudem nicht in einer hinreichend präzisen und verständlichen Sprache über ihre Rechte oder etwa über die Speicherdauer der erhobenen Messwerte.
Die Studie merkt zudem an, dass Tesla Daten in die USA sowie eventuell in weitere Drittstaaten ohne angemessenes Schutzniveau versendet. Damit ignoriere Tesla das jüngst ergangene Urteil des Europäischen Gerichtshofs gegen den Privacy Shield.
Nun seien die deutschen und europäischen Aufsichtsbehörden am Zug. In Deutschland sei vermutlich das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) zuständig, da Tesla als Kontakt für deutsche Kunden eine Adresse in München angegeben habe. Die europäische Hauptniederlassung befinde sich in Amsterdam, somit für ein europäisches Verfahren die niederländische Behörde “Autoriteit Persoonsgegevens” die zuständige Kontrollinstanz.
KINAST Rechtsanwälte werden von Unternehmensjuristen ausgesprochen häufig empfohlen und stehen unter den Top-3-Datenschutzkanzleien in Deutschland.
Das ergab die Studie „kanzleimonitor.de – Empfehlung ist die beste Referenz 2020/2021“. Der Kanzleimonitor stellt jährlich eine umfassende Anwalts- und Kanzleien-Liste als Auswahlkriterium für die Mandatierung von Wirtschaftskanzleien durch Unternehmensjuristen aller Branchen und Unternehmensgrößen zur Verfügung.
Nachdem wir im Bereich Datenschutzrecht (Themenfelder: Erfassung & Verwertung von Informationen, Telekommunikation, Datenverarbeitung, Cloud-Computing, Social Media) im vergangenen Jahr deutschlandweit den 5. Platz belegten, konnten wir uns dieses Jahr nochmals steigern und haben es auf das Podium auf den 3. Platz geschafft (hinter Osborne Clarke und Taylor Wessing). Damit kann sich unsere Kanzlei weiterhin neben zahlreichen Großkanzleien in der absoluten Spitzengruppe im Datenschutzrecht behaupten. Gleich sechs unserer Anwälte sind in der Liste persönlicher Empfehlungen namentlich genannt: Dr. Karsten Kinast, Benedikt Woltering, Tobias Mick, Beate Poloczek, Jan Rübsteck und Orcun Sanli. Des Weiteren erhielten wir auch im Bereich Compliance (Themenfelder: Legal Compliance, Ethical Compliance, Aufbau Compliance-Organisation) mehrere direkte Empfehlungen.
Mit den Empfehlungen im Datenschutzrecht und im Bereich Compliance steht KINAST insgesamt unter den 100 Spitzenkanzleien in Deutschland. Das positive Ergebnis in dieser Studie ist für uns besonders wichtig, weil es sich hier um eine Bewertung aus dem Mandantenkreise handelt und zudem eine Einstufung durch die eigene Berufsgruppe der Juristen erfolgt. Wir bedanken uns für alle Empfehlungen.
28. Oktober 2020
Die britische Datenschutzbehörde (Information Commissioner’s Office kurz ICO) hat gegen die Fluggesellschaft British Airways ein Bußgeld in Höhe von 22 Millionen Euro verhängt. Der hohe Betrag wurde von der Aufsichtsbehörde damit begründet, dass unzureichende Sicherheitsvorkehrungen im Unternehmen vorherrschten und eine sehr hohe Zahl an Personen von einem dadurch möglichen Hackerangriff betroffen war. Im Jahr 2019 kündigte die britische Datenschutzaufsichtsbehörde an, British Airways mit einem Bußgeld in Höhe von 204 Millionen Euro bestrafen zu wollen. Aufgrund der aktuellen Umsatzeinbußen bei British Airways durch die Corona-Pandemie wurde das Bußgeld deutlich gesenkt.
Die Hacker konnten sich Zugang zum Netzwerk verschaffen und hatten Zugriff auf persönliche Daten von über 400.000 Kunden und Mitarbeitern. Sie erlangten u.a. Zugriff auf Namen, Adressen und Kreditkarteninformationen inklusive der Sicherheitscodes sowie Nutzernamen und Passwörter von Mitarbeitern wie Administratoren und von Inhabern von Premium-Vielflieger-Karten.
ICO ist der Ansicht, dass die dem Angriff zugrunde liegenden Sicherheitslücken früher hätten behoben werden müssen. Gängige Schutzmaßnahmen wie Zwei-Faktor-Authentifizierung, Zugriffsrechte und Tests der Infrastruktur hätten nach Ansicht des ICO einen Angriff verhindern können.
22. Oktober 2020
Die Regierung des Vereinigten Königreichs gerät zunehmend unter Druck, eine Regelung über den Datentransfer mit der EU zu erreichen. Gelingt dies nicht, droht das UK zum 31. Dezember dieses Jahres zum unsicheren Drittland zu werden. Verantwortliche und Auftragsverarbeiter, die Daten in das UK übermitteln, müssten dann selbst sicherstellen, dass das Schutzniveau der DSGVO für natürliche Personen nicht untergraben wird.
Am 31. Januar 2020 trat das Vereinigte Königreich aus der EU aus. Das Austrittsabkommen sieht eine Übergangsphase bis zum 31. Dezember 2020 vor, nach der das UK alle EU-Regeln einhält und damit auch die Vorgaben der DSGVO. Nach Ablauf der Übergangsphase wird das UK nach der DSGVO zum EU-Drittland. Datenübermittlungen in Drittländer sind nach den Art. 44 ff. DSGVO nur unter bestimmten weiteren Voraussetzungen zulässig. Für die Zulässigkeit kommt es darauf an, ob in dem Drittland ein angemessenes Schutzniveau sichergestellt werden kann.
Die EU-Kommission kann in sogenannten Angemessenheitsbeschlüssen feststellen, dass in einem Drittland ein angemessenes Schutzniveau besteht. Datenexporteure und Datenimporteure können sich bei Datenübermittlungen in das betreffende Land dann auf diesen Angemessenheitsbeschluss berufen. Aktuell führt die EU-Kommission eine Bewertung der Datenschutzrechtslandschaft des Vereinigten Königreichs durch und evaluiert, ob sie einen solchen Angemessenheitsbeschluss erlassen kann. Seit März werden dafür Gespräche geführt und Dokumente vorgelegt.
Am 13.10.2020 veröffentlichte das britische Oberhaus einen Bericht über die zukünftigen Beziehungen des Vereinigten Königreichs zur EU. Dem Bericht zu Folge sieht das Oberhaus die Gefahr, dass die EU-Kommission keinen Angemessenheitsbeschluss für das UK erlassen wird. Deswegen fordert es, dass die britische Regierung auf einen baldigen Abschuss der Bewertung der EU-Kommission drängt.
Grund zur Sorge besteht durchaus. Denn so äußerte Věra Jourová, Vizepräsidentin der EU-Kommission und Kommissarin für Werte und Transparenz, Zweifel, ob das Vereinigte Königreich Änderungen in seiner nationalen Gesetzgebung durchführen wird, die von der Linie der DSGVO abweichen.
Auch bereits existierenden Gesetze des UK könnten dem Angemessenheitsbeschluss entgegenstehen. Der EuGH entschied erst am 6. Oktober 2020 (auch) über Überwachungsgesetze des UK. Laut dem EuGH sind die in den Gesetzen vorgeschriebenen flächendeckenden und pauschalen Speicherungen von Internet- und Verbindungsdaten nicht zulässig. Ausnahmen seien nur möglich, wenn es um die Bekämpfung schwerer Kriminalität oder den konkreten Fall einer Bedrohung der nationalen Sicherheit gehe.
Kommt es nicht zum Erlass eines Angemessenheitsbeschlusses, müssen Verantwortliche und Auftragsverarbeiter, die Daten in dieses Drittland übermitteln wollen, selbst geeignete Garantien zur Gewährleistung eines angemessenen Schutzniveaus vorsehen, damit Datenübermittlungen in das Drittland zulässig sind. Als geeignete Garantien kommen Binding Corporate Rules, die Verwendung von Standardvertragsklauseln der EU-Kommission (SCC), genehmigte Verhaltensregeln und genehmigte Zertifizierungsmechanismen und einzeln ausgehandelte Vertragsklauseln in Betracht.
In Bezug auf Standardvertragsklauseln bei Datentransfers in die USA hat der EuGH festgestellt, dass diese wegen der Überwachungsgesetze in den USA ohne weitere Maßnahmen nicht ausreichen, ein angemessenes Datenschutzniveau sicherzustellen. Eine ähnliche Situation könnte sich schlimmmstenfalls zum Jahreswechsel auch bei dem Vereinigten Königreich einstellen.
15. Oktober 2020
Die Europäische Gesellschaft für Datenschutz (EuGD) plant laut Pressemitteilung eine Schadensersatzklage gegen Amazon aufgrund von Datenschutzverstößen. Konkret wirft die EuGD dem Unternehmen vor, rechtswidrig Daten in die USA zu transferieren und so gegen die DS-GVO zu verstoßen.
Dabei soll einerseits ein Antrag der EuGD auf ein Auskunftersuchen gemäß Art. 15 DS-GVO unbeantwortet geblieben sein. Andererseits soll Amazon weiterhin Daten in die USA übertragen. Dies ist seit der Aufhebung des Privacy Shields durch den EuGH nur noch unter Verwendung von geeigneten Garantien erlaubt. Das heißt, Amazon müsse garantieren, dass das in der Europäischen Union bestehende Datenschutzniveau auch in den USA eingehalten wird. Dies ist bei einer Übertragung von Daten in die USA nicht zu bewerkstelligen, da dort personenbezogene Daten von den Geheimdiensten eingesehen werden können.
Schon zuvor ist Amazon ins Visier der Non-Profit-Organisation noyb geraten. Diese hat festgestellt, dass Amazons Verschlüsselung nicht ausreichend ist. Ebenfalls bemängelt sie, dass Amazon nicht hinreichend seinen Informationspflichten aus Art. 13 DS-GVO nachkommt; konkret in Bezug auf dessen Streamingdienst AmazonPrime. Dies gilt genauso für Informationspflichten in Bezug auf Amazons Alexa – auch diesbezüglich wurden Nutzer nicht ausreichend informiert.
Pages: 1 2 ... 22 23 24 25 26 ... 33 34 
