Schlagwort: Bußgeld

Bußgeld in Höhe von 17 Millionen gegen Wind verhängt

30. Juli 2020

Die italienische Datenschutzbehörde hat eine Geldbuße in Höhe von 17 Millionen gegen das Telekommunikationsunternehmen Wind Tre verhängt. Wind Tre verstieß mehrfach gegen geltende Datenschutzbestimmungen insbesondere durch seine Werbeaktivitäten.

Wind Tre kontaktierte Kunden, die in eine Kontaktaufnahme nicht eingewilligt hatten, mehrfach über SMS, E-Mail, Fax und automatisierte Anrufe. In mehreren Fällen hatten die Kunden erklärt, dass es nicht möglich war, ihr Recht auf Widerruf der Einwilligung oder Widerspruch gegen die Verarbeitung ihrer Daten zu Marketingzwecken geltend zu machen. In anderen Fällen sind die persönlichen Daten der Benutzer trotz der Widersprüche der Kunden in öffentlichen Telefonbüchern aufgenommen worden. Bei den Apps MyWind und My3 mussten die Kunden einwilligen, dass Wind Tre ihre Daten für Marketing, Profilerstellung, Kommunikation mit Dritten und Geolokalisierung verarbeitet. Ein Widerruf dieser Einwilligung war nach 24 Stunden möglich.

Darüber hinaus beleuchten die Untersuchungen der italienischen Datenschutzbehörde vielfältige Verstöße, die die Handelspartner von Wind Tre betreffen. Einer dieser Handelspartner erhielt von der italienischen Datenschutzbehörde eine Geldbuße in Höhe von 200.000 EUR, da er Kundendaten unrechtmäßig gesammelt hatte.

Die italienische Datenschutzbehörde ordnete an, dass Wind Tre keine Daten verarbeiten darf, wenn es nicht über eine nachweisbare und datenschutzkonforme Einwilligung der Kunden verfügt. Sie wies das Unternehmen außerdem an, technische und organisatorische Maßnahmen zu ergreifen, um eine wirksame Aufsicht über ihre Handelspartner zu gewährleisten.

Belgische Datenschutzbehörde verhängt 600.000 Euro Bußgeld gegen Google Belgium SA

24. Juli 2020

Die belgische Datenschutzbehörde hat eine Geldbuße in Höhe von 600.000 Euro gegen den Suchmaschinen-Anbieter Google wegen Verstoßes gegen das Recht auf Vergessenwerden verhängt. Google hatte den Antrag eines belgischen Bürgers auf Löschung von veralteten Artikeln, die als ernsthaft rufschädigend angesehen wurden, abgelehnt.

Die belgische Datenschutzbehörde stellte fest, dass einige Artikel, die sich auf die Beziehung der Person zu bestimmter politischer Partei beziehen, angesichts ihrer Position im öffentlichen Leben von öffentlichem Interesse seien und online bleiben könnten. Die Datenschutzbehörde stellte jedoch fest, dass die Beibehaltung des Artikels, welche sich auf unbegründete Belästigungsbeschwerden beziehen, ernsthafte Auswirkungen auf die Person haben könnten. Die Behörde sah in Googles Weigerung in letzterem Fall ein „schwerwiegendes Versäumnis“ von Google.

Darüber hinaus wiesen das Google Formular sowie die Antwort an die betroffene Person Transparenzmängel auf. Aus diesen Gründen beschloss die belgische Datenschutzbehörde, eine Geldstrafe von 600.000 Euro zu verhängen. Dies ist die höchste Geldbuße, die je von der belgischen Datenschutzbehörde verhängt wurde.

Bußgeld in Höhe von 1,24 Millionen Euro gegen die AOK Baden-Württemberg verhängt

1. Juli 2020

Wie der Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Baden-Württemberg mit einer Pressemitteilung vom 30.06.2020 mitteilte, wurde gegen die AOK Baden-Württemberg wegen Datenschutzverstößen ein Bußgeld in Höhe von 1.240.000 Euro verhängt. Grund für das verhängte Bußgeld sei ein Verstoß gegen die Pflichten zur sicheren Datenverarbeitung nach Art. 32 DS-GVO.

Der Sachverhalt

Die AOK Baden-Württemberg hatte im Zeitraum von 2015 bis 2019 verschiedene Gewinnspiele durchgeführt, und die dabei erhobenen personenbezogenen Daten auch zu Werbezwecken verwendet. Diese Weiterverarbeitung sollte jedoch nur dann erfolgen, wenn die Teilnehmer in diese ausdrücklich eingewilligt haben. Die AOK Baden-Württemberg versuchte mittels technischer und organisatorischer Maßnahmen (sog. TOMs) nach Maßgabe des Art. 32 DS-GVO sicherzustellen, dass nur die Daten derjenigen Teilnehmer zu Werbezwecken verwendet werden, die tatsächlich eine entsprechende Einwilligung abgegeben hatten. Zu diesen Maßnahmen gehörten u.a. Datenschutzschulungen und interne Richtlinien. Diese TOMs seien jedoch nicht ausreichend gewesen, sodass mehr als 500 Gewinnspielteilnehmer Werbung erhielten, obwohl sie keine Einwilligung abgegeben hatten.

Begründung der Bußgeldhöhe

Die Höhe des Bußgeldes sei insbesondere durch die Größe und Bedeutung der AOK Baden-Württemberg gerechtfertigt. Positiv sei jedoch zu berücksichtigen gewesen, dass die TOMs intern überprüft worden seien, wodurch der Datenschutzverstoß überhaupt erst aufgefallen sei. Bei Bekanntwerden des Vorganges habe die AOK Baden-Württemberg alle vertrieblichen Maßnahmen eingestellt, eine Task Force für Datenschutz im Vertrieb gegründet, interne Prozesse und Kontrollstrukturen angepasst und erweitert sowie umfassend und konstruktiv mit dem LfDI zusammengerarbeitet. Dadurch sei kurzfristig eine Steigerung des Schutzniveaus für die Daten der Betroffenen ermöglicht worden.

Weiterhin sei bei der Bemessung der Bußgeldhöhe der gesetzliche Auftrag der AOK Baden-Württemberg innerhalb des Gesundheitssystems zu berücksichtigen gewesen. Um dieser Aufgabe – Sicherstellung der Gesundheitsversorgung – weiterhin effektiv nachkommen zu können, müsse das Bußgeld verhältnismäßig ausfallen. Zudem seien die Auswirkugen der Corona-Pandemie, welche auch die gesetzlichen Krankenkassen treffen, mit in die Erwägungen mit einzubeziehen gewesen.

Fazit

Dr. Stefan Brink, Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg, betonte noch einmal die Bedeutung der technischen und organisatorischen Maßnahmen für die Sicherstellung eines angemessenen Schutzniveaus. Dieses könne jedoch nur dann erreicht werden, wenn alle implementierten TOMs regelmäßig überprüft und ggf. angepasst werden. Datensicherheit sei eine „Daueraufgabe“, und nicht mit der einmaligen Implementierung der TOMs erledigt.

Neben diesem Punkt macht der vorliegende Fall aber auch noch einmal deutlich, dass durch interne Kontrollen, einer zügigen Reaktion auf Datenschutzverstöße und vertrauensvoller Zusammenarbeit mit den zuständigen Aufsichtsbehörden die Höhe eines fälligen Bußgeldes erheblich reduziert werden kann. Das Bußgeld für die AOK Baden-Württemberg wäre sicherlich auch trotz Corona-Pandemie erheblich höher ausgefallen, wäre nicht angemessen auf den aufgedeckten Datenschutzverstoß reagiert worden.

Tätigkeitsbericht des Landesbeauftragten Mecklenburg-Vorpommern

16. Juni 2020

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heinz Müller hat am 16.06.2020 seinen Tätigkeitsbericht für das Jahr 2019 veröffentlicht.

Das Arbeitsvolumen der Behörde sei im Vergleich zu 2018 gestiegen. Insgesamt hat der Landesbauftragte 82 Mal von der Möglichkeit Gebrauch gemacht, eine aufsichtsrechtliche Maßnahme zu verhängen. Am häufigsten wurde eine Warnung ausgesprochen, als am wirksamsten hat sich aber die Androhung von Zwangsgeldern erwiesen. Im Zusammenhang mit der Nutzung von polizeilichen Informationssystemen für private Zwecke wurden 16 Bußgeldverfahren gegen Polizeibeamte eröffnet. Die Anzahl der gemeldeten Datenpannen (108) ist im Vergleich zu 2018 fast konstant geblieben. Die geringe Zahl der anlassunabhängig durchgeführten Prüfungen (3) begründet Müller damit, dass Personal fehlt und fordert mehr Mittel für seine Behörde.

Insgesamt gingen 2019 533 Eingaben und Beschwerden bei der Behörde ein. Ein Großteil bezog sich auf die Nichtbeachtung der Betroffenenrechte. Auch zu Videoüberwachungsanlagen und Videokameras im privaten und nachbarschaftlichen Bereich gingen häufig Beschwerden beim Landesbeauftragten ein.

Darüber hinaus stellt der Landesbeauftragte im Tätigkeitsbericht seine Arbeit bei der Datenschutzkonferenz im IT-Planungsrat vor und das Gemeinschaftsprojekt Medienscouts MV, bei dem Jugendlichen und Kindern Risiken der „digitalen Welt“ aufgezeigt werden. Im Bericht wird außerdem Bezug auf das Informationsportal „Neutrale Schule“ des Landesverbandes der AfD und die Untersagung des Betriebs der Website durch den Landesbeauftragten Bezug genommen. Auch die umfangreiche Stellungnahme zum Entwurf eines Gesetzes über die Sicherheit und Ordnung in Mecklenburg-Vorpommern (SOG M-V) sei ein wichtiges Thema in 2019 gewesen.

Bußgeld für eine Datenlöschung nach Auskunftsbegehren

27. Mai 2020

Die dänische Datenschutzbehörde hat eine Geldbuße in Höhe von 50.000 Dänischen Kronen gegen ein Personalvermittlungsunternehmen empfohlen. Im Gegensatz zu den meisten Mitgliedstaaten kann die Datenschutzbehörde in Dänemark nicht selbst eine Geldbuße verhängen. Die Polizei führt diesbezüglich Ermittlungen durch. Die Entscheidung über die Verhängung einer Geldstrafe wird vom Gericht getroffen werden.

Das Unternehmen hatte personenbezogene Daten, die Gegenstand eines Auskunftsersuchens waren, nach Eingang des Ersuchens und vor der Auskunftserteilung gelöscht. Die dänische Datenschutzbehörde vertritt die Ansicht, dass das Unternehmen den Anforderungen der Datenschutzverordnung (DSGVO), wonach personenbezogene Daten rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden müssen, nicht erfüllt hatte.

Astrid Mavrogenis, Leiterin der dänischen Datenschutzbehörde, ist der Auffassung, dass die Löschung von personenbezogenen Daten, die im direkten Zusammenhang mit der Nichterfüllung eines Auskunftsersuchens stehen, nicht nur ein Verstoß gegen die DSGVO, sondern auch eine Verletzung der Grundrechte darstelle.

Geldbuße gegen Krankenhaus in Rheinland-Pfalz

12. Dezember 2019

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) verhängte gegen ein Krankenhaus ein Bußgeld in Höhe von 105.000 Euro. Grund dafür sind mehrere Verstöße gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten.

Dies führte zu falschen Rechnungsstellungen und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, betont: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“

Bußgeld für 1&1: Knapp 10 Millionen Euro Strafe für DSGVO-Verstoß

10. Dezember 2019

Gegen die Telekommunikationsfirma 1&1 Telecom GmbH hat der Bundesdatenschutzbeauftragte Ulrich Kelber ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.

Als Grund nannte Kelber das Fehlen von „hinreichenden technisch-organisatorischen Maßnahmen“ (TOMs) zum Schutz von Kundendaten. Die zum Konzernverbund gehörenden Mail-Anbieter Web.de und GMX sind davon jedoch nicht betroffen.

Die Aufsichtsbehörde kritisierte das unzureichende Authentifizierungsverfahren der 1&1 Telecom GmbH bei telefonischen Anfragen über die Kundenhotline. Die Angabe von Namen und Geburtsdatum hätten ausgereicht, um weitreichende personenbezogene Kundendaten zu erhalten. Dies stelle einen Verstoß gegen Artikel 32 DSGVO dar, da personenbezogene Daten nicht systematisch geschützt wurden und ein hohes Risiko für den gesamten Kundenbestand entstanden sei.

Das Unternehmen reagierte umgehend indem es den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker absicherte. Darüber hinaus bemühe man sich ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einzuführen.

Aufgrund dieses kooperativen Verhaltens der 1&1 Telecom GmbH bewege sich die Strafe noch im unteren Rahmen des Möglichen.

Gleichzeitig verhängte die Aufsichtsbehörde gegen einen weiteren Telekommunikationsanbieter, namentlich die Firma Rapidata, ein Bußgeld in Höhe von 10.000 Euro wegen eines Verstoßes gegen Artikel 37 DSGVO.

Die 1&1 Telecom GmbH hat inzwischen angekündigt, gegen den absolut unverhältnismäßigen“ Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt.

Bußgeld aufgrund mangelhaftem Cookie-Banner

24. Oktober 2019

Die spanische Datenschutzbehörde verhängte ein Bußgeld von 30.000 Euro wegen rechtswidriger Cookie-Policy auf der Webseite von Vueling Airlines. Besucher der Webseite des spanischen Unternehmens konnten keine Einstellungen zu den Cookies vornehmen.

Das Unternehmen nutzt Cookies auf der Website und informiert die Webseitenbesucher in seiner Cookie-Policy über die Cookies selbst und über die Art der Datenverarbeitung mittels beacons und Pixel Tags. Es wird auch mitgeteilt, dass Dritte auf diese Cookies zugreifen können. Das Unternehmen weist jedoch darauf hin, dass die Nutzer den Browser so konfigurieren können, dass er entweder standardmäßig alle Cookies akzeptiert, ablehnt oder eine Benachrichtigung über den Empfang jedes einzelnen Cookies auf dem Bildschirm anzeigt. Bei der letzten Option entscheidet der Nutzer über die Speicherung des einzelnen Cookies.

Nach Ansicht der spanischen Aufsichtsbehörde stellt das Unternehmen kein Managementsystem oder keine Cookie- Konfigurationsanzeige zur Verfügung, die es dem Nutzer ermöglicht, einzelne Cookies zu deaktivieren. Um die Auswahl der Cookies zu ermöglichen, müsste der Banner eine Schaltfläche beinhalten, mit dem der Nutzer alle Cookies ablehnen oder aktivieren, oder nur einzelne Cookies zulassen kann. Aktuell gibt es nur die Möglichkeit, die Cookies generell zuzulassen und auf der Seite weiterzusurfen.

Das Bußgeld von 30.000 Euro wurde von der spanischen Datenschutzbehörde aufgrund eines Verstoßes gegen § 22 Abs. 2 des nationalen spanischen E-Commerce-Gesetzes (Spanish Law on Information Society Services and Electronic Commerce) verhängt. Gemäß § 22 Abs. 2 dieses Gesetzes sind die Webseitenbetreiber in Spanien verpflichtet, die Nutzer der Webseite über die Speicherung von Daten zu informieren und ihnen die Möglichkeit bereitzustellen, auf einfache Weise kostenlos die weitere Verarbeitung ihrer Daten zu untersagen.

Bußgeld gegen Delivery Hero

19. September 2019

Das Unternehmen Delivery Hero Germany GmbH hat ausweislich einer Pressemitteilung der Berliner Datenschutzbeauftragten gegen den Grundsatz der Speicherbegrenzung nach Maßgabe des Art. 5 Abs. 1 lit. e) Datenschutzgrundverordnung (DSGVO) verstoßen. Hierfür sei ein Bußgeld in Höhe von 195.407 Euro verhängt worden.

Konkret hätte die Delivery Hero Germany GmbH – eine ehemalige Tochter der Delivery Hero SE – in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen seien.

Überdies hätten sich (hier beispielsweise aufgeführt) acht ehemalige Kunden über unerwünschte Werbe-E-Mails des Unternehmens beschwert. In einem Fall hätte ein Geschädigter trotz ausdrücklichem Widerspruch der Nutzung seiner Daten für Werbezwecke weitere 15 Werbe-E-Mails von dem Lieferdienst erhalten. Dies entspricht insoweit einem Verstoß gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. a) DSGVO).

Der mittlerweile neue Eigentümer des Unternehmens, die Takeway.com hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt.

Kategorien: Allgemein · Aufsichtsbehördliche Maßnahmen
Schlagwörter:

Bußgeld bei Meldung einer Datenpanne?

5. September 2019

Eine häufige Frage aus der Praxis:

Nach Art. 33 DSGVO müssen für die Datenverarbeitung Verantwortliche bei einer sogenannten Datenpanne, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, eine Meldung an die zuständige Aufsichtsbehörde vornehmen. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, erfolgen.

Exkurs: Eine Datenpanne ist nach Art. 4 Nr. 12 DSGVO eine Verletzung des Schutzes personenbezogener Daten, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden .

Viele der Verantwortlichen fragen sich, ob die Meldung einer Datenschutzverletzung zu einem Bußgeldverfahren führen kann, sie also quasi verpflichtet sind, sich selbst zu belasten.

Die Antwort auf diese Frage findet sich in der Vorschrift des § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG).  Danach darf die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden nur mit deren Zustimmung verwendet werden.

Ein Bußgeldverfahren wird auf Grundlage der Meldung also nicht gegen den Verantwortlichen eingeleitet werden. § 43 Abs. 4 BDSG gilt allerdings nicht, wenn (auch) Dritte die Datenpanne gemeldet haben. Darüber hinaus ist zu beachten, dass § 43 Abs. 4 BDSG nicht unumstritten ist. Nach Ansicht einiger Datenschützer steht diese Bestimmung nicht im Einklang mit den Vorgaben der DSGVO und ist daher nicht anwendbar. Diese Rechtsauffassung wurde allerdings noch nicht gerichtlich bestätigt.

ACHTUNG: Erfolgt keine oder eine verspätete Meldung, kann dies mit einem Bußgeld geahndet werden. Daher empfiehlt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit in einer Pressemitteilung, Datenpannen stets rechtzeitig zu melden. Sollte keine Meldung vorgenommen werden, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen bestand, hat eine entsprechende ausführliche Dokumentation zu erfolgen.

1 2 3