Schlagwort: Bußgeld

LfDI Baden-Württemberg verhängt Bußgeld in Höhe von 2.500,- Euro gegen früheren Juso-Landeschef

1. März 2019

Einer Pressemeldung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg vom 28. Februar 2019 zufolge hat dessen Bußgeldstelle mit Bescheid vom 25.02.2019 gegen den früheren Landesvorsitzenden der Jusos Baden-Württemberg eine Geldbuße in Höhe von 2.500,- Euro wegen eines Verstoßes gegen die Zweckbindung bei der Verarbeitung von personenbezogenen Daten verhängt. Der Datenschutz sei auch bei Parteiarbeit zu beachten.

Hintergrund für den Bußgeldbescheid war, dass der frühere Juso-Landesvorsitzende anlässlich des sog. „Kleinen Landesparteitages“ der SPD Baden-Württemberg im Vorfeld eine Liste aller 168 Delegierten des Parteitages an einen Kreis von etwa zehn Vertrauten gesendet hatte. Diese gehörten zum Teil dem Landesvorstand an, zum Teil bekleideten die Empfänger aber auch ein politisches Amt. Die Liste hatte er vom damaligen Juso-Landesgeschäftsführer erhalten, die dieser mithilfe der SPD-Mitgliederverwaltungssoftware erstellt hatte. Die Liste enthielt Vor- und Nachnamen der Delegierten, Alter, Wohnort sowie den jeweiligen Orts- und Kreisverband, dem die Delegierten angehörten. Die Empfänger sollten mithilfe der Liste mit den jeweiligen Delegierten in ihrem Kreis oder Ortsverband bzw. in ihrem Bekanntenkreis sprechen und dem Landesvorsitzenden sodann ein Stimmungsbild zu einem für den Landesparteitag eingebrachten Antrag zum Thema Wohnungsbau vermitteln.

Der damalige Juso-Landesvorsitzende habe dabei verkannt, dass die Delegiertenliste nur für die organisatorische Abwicklung des Parteitages bestimmt sei. Die Verwendung der Liste zur innerparteilichen Meinungsbildung sei deshalb zweckwidrig und unzulässig. Der frühere Juso-Landesvorsitzende habe mit dem Versenden der Liste gegen das BDSG a. F. verstoßen und in fahrlässiger Weise unbefugt personenbezogene Daten verarbeitet. Das BDSG a. F. und nicht die DSGVO sei anwendbar, weil die Versendung der Liste am 27.04.2018 und damit vor Wirksamwerden der DSGVO erfolgt sei.

Im Rahmen der Festlegung der Höhe des Bußgeldes wurde zu Gunsten des früheren Juso-Landesvorsitzenden seine aktive Mitwirkung an der Aufklärung des Sachverhalts berücksichtigt. Der früher Juso-Landesvorsitzende hatte sich selbst frühzeitig an die Aufsichtsbehörde gewandt und die Abläufe umfassend erläutert. Auch der Umstand, dass der Verstoß im Zusammenhang mit einer ehrenamtlich ausgeübten Tätigkeit und lediglich fahrlässig begangen worden sei, wurde zu seinen Gunsten berücksichtigt. Zu seinem Nachteil wurde berücksichtigt, „dass er sich und seinen Vertrauten einen politischen Vorteil gegenüber den sonstigen Beteiligten am Landesparteitag verschaffte (…)“. Weitere dem früheren Juso-Landesvorsitzenden angelastete Verstöße haben keinen Anlass für weitere Sanktionierungen geboten.

Der LfDI Baden-Württemberg Herr Dr. Stefan Brink äußerte sich zu dem Fall abschließend: „Bei der Organisation von innerparteilichen Abläufen haben die politischen Parteien Gestaltungsräume. Die interne Parteiarbeit kann jedoch kein „blinder Fleck“ für den Datenschutz sein. Auch zwischen Parteimitgliedern wirkt das Datenschutzrecht, auch parteiintern sind die Rechte und Pflichten des Datenschutzes zu beachten“. Weitere Klärungs- und Schulungsmaßnahmen hinsichtlich des Umgangs von Parteien mit Mitgliederdaten wurden vom LfDI Baden-Württemberg Dr. Brink angekündigt. Parteien sollten daher ihre bisherige Datenschutzpraxis auf etwaige Schwachstellen überprüfen, insbesondere da aktuell sowohl hinsichtlich älterer Sachverhalte nach BDSG a. F. als auch für Verstöße nach DSGVO nicht unerhebliche Bußgelder drohen, welche auch gegen Einzelpersonen verhängt werden können.

Datenschutz beim Newsletter-Versand

20. Februar 2019

Fast 95 Prozent der Unternehmen betreiben E-Mail- und Newsletter-Marketing. Die aktuelle Benchmark-Studie der Unternehmensberatung absolit hat über 5000 Top-Unternehmen im deutschsprachigen Raum untersucht und kommt zu dem Ergebnis, dass jedem 5. Unternehmen ein Bußgeld droht, weil das E-Mail- und Newsletter-Marketing nicht rechtskonform ausgestaltet ist. Besonders nachholbedürftig in Sachen Datenschutz sei der Newsletter-Versand im B2B-Bereich. Als größte Schwachstelle stellt sich dabei ein nicht DSGVO-konformer Eintragungsprozess in den Newsletter-Verteiler heraus.

Folgende Fakten lassen sich der Studie entnehmen:

  • 38 Prozent der Unternehmen fragen zu viele Daten ab und ignorieren den Grundsatz der Datensparsamkeit
  • mehr als 75 Prozent informieren unzureichend oder gar nicht über die Datenverarbeitung
  • 20 Prozent der Unternehmen verzichten auf die Bestätigung einer Formulareintragung mittels Double-Opt-In
  • knapp die Hälfte der B2B-Unternehmen (57 Prozent) haben eine rechtskonforme Anmeldung zum Newsletter

Wegen einer nicht rechtskonformen Umsetzung können gegen die Unternehmen hohe Bußgelder verhängt werden (Art. 83 DSGVO). Im schlimmsten Fall von bis zu 20 Millionen oder von bis zu vier Prozent seines gesamten weltweiten erzielten Jahresumsatzes verhängt werden.

Aus diesem Grund sollten Unternehmen folgende Punkte beim Thema Newsletter-Versand beachten:

  • ausdrückliche und nachweisliche Einwilligung des Empfängers erforderlich
  • idealerweise Nutzung eines Double-Opt-In-Verfahrens
  • vorherige Aufklärung des Empfängers über alle Datenverarbeitungsvorgänge – Implementierung einer Checkbox mit Einwilligungserklärung im direkten Umfeld des Anmeldeformulars
  • Grundsatz der Datensparsamkeit beachten – nur so viele Daten wie notwendig erheben
  • umfangreiche Datenschutzhinweise mit Hinweis zum Widerrufsrecht – müssen durch einen jederzeit abrufbaren und von allen Seiten zugänglicher Link erreichbar sein
  • Impressum aktuell halten
  • Verzeichnis für Verarbeitungstätigkeiten anlegen
  • Abschluss eines Auftragsverarbeitungsvertrages, wenn ein externer Dienstleister eingesetzt wird

In einer Handelsblatt-Umfrage, in der sich die Datenschutzbeauftragten der Länder zu diesem Thema äußerten, heißt es, dass bereits zahlreiche Bußgeldverfahren eingeleitet worden sind und zudem etliche Verwarnungen ausgesprochen wurden. Aus diesem Grund gilt nach wie vor, dass die Vorgaben der DSGVO schnellsmöglichst umgesetzt werden müssen, um Bußgelder zu vermeiden.

Offener E-Mailverteiler: Bußgelder auch für Privatpersonen

15. Februar 2019

Ein Mann aus Merseburg hat wiederholt hunderte von Mails mit personenbezogenen E-Mailadressen im offenen Verteiler geschickt. Aus diesem Grund hat der Landesdatenschutzbeauftragte von Sachsen-Anhalt, Harald von Bose, hohe Bußgelder gegen diesen Mann verhängt. Die Mails beinhalten Verunglimpfungen, Stellungnahmen, Beschwerden aber auch Strafanzeigen gegen Vertreter aus Wirtschaft, Presse, Kommunal- und Landespolitik.

Die verschiedenen Bußgelder summieren sich auf 2.628,50 Euro.  Jedoch könnte es weitere Verfahren geben, da der Mann nach den Bußgelbescheiden weitere Datenschutzverstöße begangen haben könnte.

Die DSGVO findet gemäß Artikel 2 Abs. 2 lit. c nicht auf die Verarbeitung von Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Das heißt im privaten Bereich ist ein offener Emailverteiler durchaus erlaubt. In diesem Fall kann man jedoch nicht mehr von einem privaten Bereich sprechen, da Mails an zum Teil bis zu 1600 Personen verschickt wurden. Aus diesem Grund gilt der Artikel 2 Abs. 2 lit. c unter diesen Umständen nicht.

5000 Euro Bußgeld für fehlenden Auftragsverarbeitungsvertrag

22. Januar 2019

Das kleine Versandunternehmen Kolibri Image wurde von der Hamburger Datenschutzbehörde aufgefordert, ein Bußgeld in Höhe von 5000 Euro zuzüglich 250 Euro Gebühren zu zahlen. Grund hierfür war nach Art. 83 Abs. 4 lit. a Datenschutzgrundverordnung (DSGVO) das Fehlen eines Auftragsverarbeitungsvertrags mit einem spanischen Dienstleister des Versandunternehmens.

Ausgangspunkt für das Bußgeld war, dass Kolibri Image sich im Mai 2018 an den Hessischen Datenschutzbeauftragten gewandt hatte, weil der spanische Dienstleister trotz mehrfacher Aufforderung keinen Vertrag zur Auftragsverarbeitung übersandt hatte. Die Behörde erwiderte, dass die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages sowohl den Verarbeiter als auch den Verantwortlichen treffe. Das Unternehmen solle und müsse deshalb selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter zwecks Unterschrift übermitteln.

Als Kolibri Image daraufhin antwortete, dass man sich diese Arbeit, insbesondere wegen der teuren Übersetzung, nicht machen wolle, gab die hessische Behörde die Sache an die zuständigen Kollegen aus Hamburg ab. Der Hamburger Datenschutzbeauftragte sieht in dem Verhalten des Unternehmens einen Verstoß gegen Art. 28 Abs. 3 DSGVO und hatte deswegen die Geldbuße verhangen. Nach Ansicht der Behörde wurden schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt. Erschwerend wirke sich aus, dass man diese Praxis aufrechterhalten habe, obwohl dem Unternehmen die Datenverarbeitungsprozesse des Verarbeiters explizit nicht bekannt waren. Schließlich fehle es auch an einer Zusammenarbeit mit der Behörde, die sich strafmildernd auswirken könne.

Kolibri Image kündigte bereits an, gegen den Bescheid einen Widerspruch einzulegen. Zu Recht?
Zwar liegt der Bußgeldbescheid, und somit der genaue Sachverhalt, hier nicht vor, es drängen sich jedoch, insbesondere wegen der Diskussionen im Internet über diesen Fall, zwei Fragen auf.
Zum einen scheint die Frage, ob hier überhaupt ein Auftragsverarbeitungsverhältnis vorliegt, noch klärungsbedürftig, da dies von der Behörde bevor der Bescheid erlassen wurde gar nicht geprüft worden sei.
Darüber hinaus stellt sich die Frage, wann die Grenze zur Selbstbelastungsfreiheit überschritten ist. Das Unternehmen hat im vorliegenden Fall mit seiner initativen Anfrage bei der Datenschutzbehörde den Stein selbst ins Rollen gebracht. Sofern der Verantwortliche sich bezüglich seiner gesetzlichen Meldepflichten nicht ganz sicher ist, sollte er sich also stets datenschutzrechtlichen Rat einholen, bevor er sich an die Behörde wendet.

Empfindliches Bußgeld für Portugiesisches Krankenhaus

23. Oktober 2018

Die Portugiesische Datenschutzaufsichtsbehörde CNPD (Comissão Nacional de Protecção de Dados) hat kürzlich bekanntgegeben, dass das Krankenhaus Barreiro Montijo ein Bußgeld in Höhe von 400.000 Euro für Verstöße gegen die DSGVO zahlen soll. Damit ist in Europa erstmals eine hohe Geldstrafe aufgrund der neuen Bußgeldrahmen der DSGVO verhängt worden.

Wie die Portugiesische Zeitung Público berichtet, hat das Krankenhaus gegen die DSGVO verstoßen, indem es zugelassen hat, dass zu viele Nutzer in dem Patientenverwaltungssystem des Krankenhauses Zugriff auf Patientendaten gehabt haben, obwohl diese nur für die Ärzte hätten einsehbar sein dürfen. Zudem seien in dem Krankenhaussystem zu viele Profile mit den Zugriffsberechtigungen eines Arztes erstellt worden – von insgesamt 985 aktiven Benutzern ist hier die Rede – obwohl 2018 nur 296 Ärzte angestellt waren.

Das Krankenhaus will nun gerichtlich gegen die Geldstrafe vorgehen.

Rekordbußgeld für Uber

28. September 2018

Wegen einer zunächst verschwiegenen Datenpanne aus dem Jahr 2016 muss der US-Fahrdienstvermittler Uber ein Bußgeld in Höhe von 126 Millionen Euro zahlen, wie die Generalstaatsanwälting Barbara Underwood mit einem Statement verkündete.

Am 21.11.2017 gab Uber bekannt, dass es im Jahr 2016 zu einem Hackerangriff kam, bei dem sowohl ca. 50 Millionen Kundendaten als auch sieben Millionen Daten von Uber-Fahrer von den Hackern erbeutet wurden. Das Unternehmen zahlte den Hackern damals ein Erpressungsgeld anstatt eine Meldung der Panne vorzunehmen (wir berichteten).

Jetzt kam es zu einer vergleichsweisen Einigung zwischen Uber und den zuständigen US-Behörden. Bestandteil des Vergleichs ist, das mit 148 Millionen Dollar (126 Millionen Euro), höchste Bußgeld, das jemals verhängt wurde, welches von weiteren Pflichten zur Verbesserung der Datensicherheit flankiert wird.

 

110 Millionen Euro Bußgeld gegen Facebook: EU-Kommission statuiert Exempel

18. Mai 2017

Wegen falscher Angaben bei der Übernahme des Messengerdienstes WhatsApp hat die EU-Kommission gegen den Social-Media-Giganten Facebook eine Strafe in Höhe von 110 Millionen Euro verhängt. Facebook hatte im Rahmen des Kaufes 2014 angegeben und öffentlich erklärt, dass die Nutzerprofile von WhatsApp und Facebook nicht abgeglichen werden, da man hierzu schon technisch nicht in der Lage sei.

Im Sommer 2016 kündigte Facebook dann plötzlich doch an, zukünftig die Telefonnummern von WhatsApp-Nutzern mit den entsprechenden Facebook-Profilen zu verknüpfen. Ziel der Verknüpfung sei es, die angezeigte – und auf den Nutzer angepasste – Werbung zu verbessern. Durch die technische Verknüpfung der Nutzerprofile sah sich die EU-Kommission von Facebook getäuscht und verhängte das Bußgeld. Der Zahlung der Geldbuße hat Facebook bereits zugestimmt, betonte allerdings „Wir haben seit den allerersten Kontakten zur Kommission nach bestem Wissen und Gewissen gehandelt und versucht, zu jeder Zeit korrekte Informationen zu liefern.“ So seien die Fehler in den Fusionspapieren 2014 keine Absicht gewesen.

Nach Angaben der EU-Wettbewerbskommisarin Margrethe Vestager solle mit der Höhe des Bußgeldes ein Exempel statuiert werden und ein Signal an Firmen gesendet werden, bei Unternehmens-Fusionen richtige Angaben zu machen. „Der heutige Beschluss ist eine deutliche Botschaft an Unternehmen, dass sie die EU-Fusionskontrollvorschriften einhalten müssen, darunter auch die Verpflichtung, sachlich richtige Angaben zu machen. Aus diesem Grunde sieht er eine angemessene und abschreckende Geldbuße gegen Facebook vor.“

Die EU-Kommission erklärte aber auch, dass Facebooks unrichtige Angaben zwar relevant seien, für die Übernahme aber nicht ausschlaggebend. Die Kommission habe so bereits 2014 das hypothetische Szenario durchgespielt, dass ein Nutzerabgleich möglich wäre. Die Verhängung des Bußgeldes hat daher keine Auswirkungen auf die 2014 erteilte Genehmigung, den Messengerdienst übernehmen zu dürfen.

Tatsächlich hätte die Strafe mehr als doppelt so hoch ausfallen können, da die Kommission in solch einem Fall Geldbußen von bis zu ein Prozent des Jahresumsatzes verhängen kann.

 

Erste Bußgelder wegen fehlerhafter Datenübermittlung in die USA

8. Juni 2016

Nachdem der Europäische Gerichtshof Ende vergangenen Jahres das Safe-Harbor-Abkommen , auf dessen Rechtsgrundlage bis dahin der Datenaustauch zwischen den USA und Staaten der EU fußte, für ungültig erklärt hatte, waren deutsche Unternehmen dazu angehalten, eine alternative Rechtsgrundlage zu finden oder de facto den Datentransfer in die USA einstellen. Die meisten Unternehmen sind dazu übergegangen, ihren Datenaustausch auf die (freilich nicht unumstrittenen) EU-Standardvertragsklauseln zu stützen.

Dass dem Erfordernis einer alternativen Rechtsgrundlage nach dem Fall von Safe-Harbor nicht alle betroffenen Unternehmen nachgekommen sind, kommt nun den ersten teuer zu stehen. Drei Hamburger Firmen wurden zu Bußgeldzahlungen in (verhältnismäßig glimpflicher) Höhe zwischen 8.000 € und 11.000 € belangt, weil sie noch nicht auf eine rechtssichere Alternative umgestellt hatten, wie heise online mitteilt.

Laut Spiegel Online handelt es sich bei den drei Firmen um Adobe, Punica und Unilever. Die Bußgelder fielen vor allem deshalb verhältnismäßig gering aus, weil alle drei Unternehmen noch während des Bußgeldverfahrens das gerügte Versäumnis nachgeholt und die rechtliche Grundlage ausgebessert hatten. Zudem kam ihnen zu Gute, dass sie die Ersten waren, die von der Datenschutzbehörde negativ geprüft wurden. Unternehmen, die jetzt noch nicht auf eine rechtssichere Alternative umgestellt haben, werden mit deutlich höheren Bußgeldern rechnen müssen, sagt Prof. Dr. Johannes Caspar, Landesdatenschutzbeauftragter in Hamburg. Laut Gesetz sind sogar bis zu 300.000 € möglich; weitere Verfahren wurden bereits eröffnet.

BayLDA: Auftragsdatenverarbeitung ohne richtigen Vertrag kann teuer werden!

2. September 2015

Wer einen externen Dienstleister als so genannten Auftragsdatenverarbeiter mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beauftragt, muss mit diesem einen schriftlichen Vertrag abschließen. Das Gesetz – so auf Bundesebene § 11 Bundesdatenschutzgesetz (BDSG) –  schreibt eine Reihe von Einzelheiten vor, die zum Schutz der personenbezogenen Daten darin ausdrücklich festgelegt werden müssen. Von besonderer Bedeutung sind dabei die technischen und organisatorischen Maßnahmen (Datensicherheitsmaßnahmen), die der Auftragsdatenverarbeiter zum Schutz der Daten treffen muss. Diese Maßnahmen müssen im schriftlichen Auftrag konkret und spezifisch festgelegt werden. Fehlen konkrete Festlegungen hierzu, stellt dies eine Ordnungswidrigkeit dar, die mit Geldbuße von bis zu 50.000,- € geahndet werden kann. So viel die Theorie.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat nun nach eigenen Angaben gegen ein Unternehmen eine Geldbuße in fünfstelliger Höhe festgesetzt, weil dieses in seinen schriftlichen Aufträgen mit mehreren Auftragsdatenverarbeitern keine konkreten technisch-organisatorischen Maßnahmen zum Schutz der Daten festgelegt hatte, sondern dort nur einige wenige pauschale Aussagen und Wiederholungen des Gesetzestextes aufzufinden waren. Das BayLDA wies darauf hin, dass die keinesfalls ausreichend ist. Die datenschutzrechtliche Verantwortung trage auch im Falle der Einschaltung von Auftragsdatenverarbeitern nach wie vor der Auftraggeber. Dieser müsse daher beurteilen können, ob der Auftragsdatenverarbeiter in der Lage ist, für die Sicherheit der Daten zu sorgen. Auch müsse der Auftraggeber die Einhaltung der technisch-organisatorischen Maßnahmen bei seinem Auftragnehmer kontrollieren. Hierfür sei es unerlässlich, dass die beim Auftragsdatenverarbeiter zum Schutz der Daten zu treffenden technisch-organisatorischen Maßnahmen in dem abzuschließenden schriftlichen Auftrag spezifisch festgelegt werden. Nur so könne der Auftraggeber beurteilen, ob die personenbezogenen Daten bei seinem Auftragnehmer z. B. gegen Auslesen oder Kopieren durch Unbefugte, gegen Verfälschung oder sonstige unberechtigte Abänderung oder gegen zufällige Zerstörung geschützt sind.

Das BayLDA betont, dass nicht pauschal beantwortet werden kann, welche vertraglichen Festlegungen zu den technisch-organisatorischen Maßnahmen getroffen werden müssen. Dies richtet sich nach dem Datensicherheitskonzept des jeweiligen Dienstleisters und den von diesem zum Einsatz gebrachten spezifischen Datenverarbeitungssystemen. Den gesetzlichen Maßstab für die festzulegenden technisch-organisatorischen Maßnahmen bildet jedenfalls die Anlage zu § 9 BDSG, die Maßnahmen in den Bereichen Zutritts-, Zugangs-, Zugriffs-, Weitergabe-, Eingabe-, Auftrags-, Verfügbarkeits- und Trennungskontrolle verlangt. Der schriftliche Auftrag muss daher spezifische Festlegungen zu diesen Fragen enthalten.

„Augen auf beim Einbinden von Dienstleistern. Jeder Auftraggeber muss wissen und gegebenenfalls auch prüfen, was sein Auftragnehmer mit den Daten macht.“, so der Präsident des BayLDA Kranig. „Die Datensicherheitsmaßnahmen müssen konkret und spezifisch im Vertrag festgelegt werden. Unspezifische oder pauschale Beschreibungen reichen nicht aus. Wir werden auch künftig in geeigne- ten Fällen Verstöße in diesem Bereich mit Geldbußen ahnden.“

BayLDA: Bußgeld für Veröffentlichung von DashCam-Aufnahmen

7. Oktober 2014

Das Bayerische Landesamt für Datenschutzbeaufsicht (BayLDA) hat angekündigt, künftig gegen die unzulässige Veröffentlichung von DashCam-Aufnahmen vorzugehen. Wenn bekannt werde, dass Autofahrer die mit ihrer Dashcam aufgenommenen Videofilme an Polizei, Versicherung oder ähnliche weitergeben oder im Internet veröffentlichen, würde das BayLDA prüfen, ob im jeweils konkreten Fall der Erlass eines Bußgeldbescheides angezeigt ist. Dabei sei eine Bußgeldhöhe von bis zu 300.000 EUR möglich. Das permanente Aufnehmen des Straßenumfelds mit einer Dashcam sei datenschutzrechtlich unzulässig, wenn diese Aufnahmen mit dem Ziel gemacht werden, sie bei passender Gelegenheit an Dritte zu übermitteln, sei es durch Veröffentlichung im Internet auf Youtube, Facebook oder anderen Plattformen oder auch durch Weitergabe der Aufnahmen an Polizei, Versicherung oder sonstige Dritte. Nur dann, wenn von Anfang an fest steht – und das auch bis zum Ende, d.h. dem Löschen der Aufnahmen, durchgehalten wird – , dass derartige Aufnahmen den privaten und persönlichen Bereich nicht verlassen, seien die Vorschriften des Bundesdatenschutzgesetzes nicht einschlägig.

1 2