Schlagwort: Bußgeld

Bußgeldverfahren gegen PimEyes eröffnet

26. Januar 2023

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BaWü) leitete ein Bußgeldverfahren gegen das Unternehmen “PimEyes” ein. Grund hierfür sei, so der LfDI BaWü die datenschutzwidrige Speicherung biometrischer Daten durch das Unternehmen.

Verarbeitung durch PimEyes

PimEyes ist eine sog. Reverse Suchmaschine. Die Nutzer können alle möglichen Webseiten nach vorhandenen Bildern der eigenen Person durchsuchen lassen. Der LfDI BaWü betonte, dass es sich bei den verarbeiteten Bildern um personenbezogene Daten handele. Diese seien überdies personenbezogene Daten besonderer Kategorie gem. Art. 9 DSGVO. Konkret verarbeite PimEyes biometrische Daten, d.h. persönliche Erkennungsmerkmale, wie etwa die Gesichtsform oder Augenfarbe.

Zur Datenschutzkonformität seiner Dienstleistung, konnte sich PimEyes zunächst ausführlich äußern. Der LfDI BaWü gab bekannt, dass er im Rahmen der Untersuchung unteranderem Fragen zu den implementierten technischen und organisatorischen Maßnahmen gestellt habe.

Das Unternehmen habe vorgebracht, dass es nur Bilder verwende, die im Internet öffentlich zugänglich seien. Mit Hilfe der Bilder seien keine Personen identifizierbar, sodass es an einem Personenbezug fehle. Darüber hinaus sei es möglich betroffene Personen, sofern sie dies wollen, aus der Fotodatenbank auszuschließen. Um diese sog. „Opt-Out“ Möglichkeit wahrzunehmen, müssen die betroffenen Person einen Identitätsnachweis und ein Bild vorlegen. Der Missbrauch von Bildern durch Dritte, verbiete das Unternehmen in seinen Allgemeinen Geschäftsbedingungen.

Biometrische Daten

In seiner Pressemitteilung betonte der LfDI BaWü, dass die Verarbeitung personenbezogener Daten besonderer Kategorie verboten sei. Ausschließlich in den nach Art. 9 Abs. 2 DSGVO normierten Fällen sei die Verarbeitung ausnahmsweise erlaubt.

Demnach habe sich die Frage gestellt, auf welcher Rechtsgrundlage PimEyes die Bilder verarbeite. Für eine ausdrückliche Einwilligung nach Art. 9 Abs. 2 lit. a DSGVO fehle es schon an der Einwilligung der betroffenen Personen. Soweit PimEyes freizugängliche Bilder von Internetseiten verarbeite, stelle sich insoweit die Frage, wann und wie es eine Einwilligung der betroffenen Person einhole. Sofern die betroffenen Person ihre Bilder selbst öffentlich gemacht habe, könne die Ausnahme nach Art. 9 Abs. 2 lit. e DSGVO in Betracht kommen. Allerdings sei es wahrscheinlicher, dass Dritte die Bilder betroffenen Personen veröffentlicht haben. Für eine Verarbeitung im öffentlichen Interesse nach Art. 9 Abs. 2 lit. g DSGVO fehle die erforderliche Beauftragung durch eine öffentliche Stelle.

Fazit

Aus Sicht der Landesbehörde seien viele Fragen im Rahmen der Untersuchung offen geblieben, sodass sie im Ergebnis ein Bußgeldverfahren gegen PimEyes eröffnet habe.

 

Datenschutzverstöße von Unternehmen: EuGH verhandelt

24. Januar 2023

Am Dienstag, den 17. Januar 2023, fand vor dem Europäischen Gerichtshof die mündliche Verhandlung im Fall “Deutsche Wohnen” (C-807/21) statt. Das Unternehmen war von der Berliner Beauftragten für Datenschutz und Informationsfreiheit mit einem Bußgeld von 14,5 Millionen Euro wegen der unangemessenen Speicherung von Mieterdaten bestraft worden. Der EuGH wird sich nun mit der Frage beschäftigen, ob eine juristische Person in Deutschland nach EU-Recht direkt für Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) bestraft werden kann, ohne dass eine Verletzung durch eine identifizierte natürliche Person festgestellt werden muss. Diese Anforderungen sind in der DSGVO nicht vorgesehen.

Der Europäische Gerichtshof hat in der mündlichen Verhandlung ein besonderes Interesse daran gezeigt, wie die Regelungen in Deutschland die europäische Harmonisierung beeinflussen. Da der Fall von großer Bedeutung ist, hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) vor der Verhandlung mit einer rechtlichen Stellungnahme positioniert.

Marit Hansen, Landesbeauftragte für Datenschutz Schleswig-Holstein und Vorsitzende der Datenschutzkonferenz für das Jahr 2023: „Die Entscheidung in diesem Verfahren wird für Deutschland eine grundlegende Weichenstellung bedeuten. Sie wird daher von den deutschen Datenschutzaufsichtsbehörden mit Spannung erwartet.“

Meike Kamp, Berliner Beauftragte für Datenschutz und Informationsfreiheit: „Die Sanktionierung von Datenschutzverstößen durch Unternehmen ist in Deutschland gegenüber anderen EU-Mitgliedstaaten derzeit deutlich erschwert. Dies widerspricht dem Ziel einer einheitlichen Durchsetzung europäischen Rechts und steht nicht im Einklang mit der DSGVO. Gerade bei großen Konzernen ist der Nachweis einer persönlichen Verursachung in der Unternehmensleitung häufig kaum zu führen. Das Verfahren vor dem EuGH wird hoffentlich in dieser Frage die erforderliche Rechtssicherheit für Unternehmen und Aufsichtsbehörden schaffen.“

5 Mil. Euro Bußgeld gegen TikTok

19. Januar 2023

Die französische Datenschutzbehörde „Commission nationale de l‘informatique et des libertés“ (CNIL) veröffentliche vergangene Woche eine Pressemitteilung, derzufolge sie ein Bußgeld gegen die Social-Media Plattform TikTok in Höhe von 5 Millionen Euro verhängt habe. Der Grund für das hohe Bußgeld sei der rechtswidrige Umgang mit Cookies gewesen.

Schlechter Banner, schlechte Informationen

Die CNIL monierte, dass die Nutzer der Webseite „tiktok.com“ Cookies nicht so leicht ablehnen wie akzeptieren können. Zusätzlich informiere TikTok die Nutzer nur unzureichend über die verschiedenen Cookies, die das Unternehmen auf der Webseite einsetze.

Die französische Behörde gab bekannt, dass sie zwischen Mai 2020 und Juni 2022 die TikTok-Webseite auf ihre Cookie-Konformität hin untersucht habe. Demnach sei Gegenstand der Untersuchung die von TikTok UK und TikTok Ireland betriebene Webseite gewesen. Die Behörde habe die Webseite als nicht registrierter Nutzer besucht.

Konkret sei der CNIL aufgefallen, dass das eingesetzte Banner lediglich einen „Akzeptieren“-Button beinhaltet habe. Das Ablehnen der Cookies sei hingegen nur durch die Betätigung mehrerer Schaltflächen möglich gewesen. Dabei sei es problematisch, dass die Nutzer aufgrund des komplizierten Abwahl-Mechanismus Cookies rasch akzeptierten. Außerdem habe das Unternehmen weder auf dem Banner noch auf der per Link aufrufbaren Unterseite ausreichende Informationen für die Nutzer zur Verfügung gestellt.

Verstoß gegen Art. 82 Datenschutzgesetz

Im Ergebnis habe CNIL einen Verstoß gegen Art. 82 des französischen Datenschutzgesetz festgestellt.

Das Datenschutzgesetz ist ein nationales Regelungswerk, dass die Öffnungsklauseln der Datenschutz-Grundverordnung (DSGVO) umsetzt. Art. 82 des Datenschutzgesetzes legt Regelungen zur Speicherung und zum Auslesen bereits gespeicherter Informationen im Endgerät des Nutzers fest. Dabei ist eine vorherige Information über das Auslesen und Speichern erforderlich. Zusätzlich bedarf es für beide Vorgehensweisen eine Einwilligung.

Die Norm ähnelt der deutschen Regelung des § 25 TTDSG. Diese findet in Deutschland neben der DSGVO für die Gestaltung von Cookie-Bannern und ihrem Einsatz Anwendung.

390 Millionen Euro Sanktionen für Meta

5. Januar 2023

Nur kurze Zeit nach dem letzten Millionenbußgeld hat die irische Datenschutzbehörde Data Protection Commission (DPC) erneut gegen den Meta-Konzern Sanktionen verhängt. Der Gesamtbetrag von 390 Millionen Euro setzt sich aus Bußgeldern gegen Facebook (210 Millionen Euro) und Instagram (180 Millionen Euro) zusammen.

Rechtsgrundlage Vertrag statt Einwilligung?

Anstoß für die Untersuchung der DPC gaben die Beschwerden eines Österreichers und eines Belgiers am 25. Mai 2018, dem Tag des Inkrafttretens der Datenschutz-Grundverordnung (DSGVO). Nach einer Änderung der Nutzungsbedingungen sollten die personenbezogenen Nutzerdaten nicht mehr auf Basis einer Einwilligung, sondern auf vertraglicher Basis verarbeitet werden. Dazu zählte auch die Nutzung für personalisierte Werbung.

Meta argumentierte, dass mit der Annahme der aktualisierten Nutzungsbedingungen ein Vertrag mit dem Nutzer zustande gekommen sei. Die Verarbeitung der Nutzerdaten im Zusammenhang mit der Bereitstellung ihrer Facebook- und Instagram-Dienste sei für die Erfüllung dieses Vertrags, einschließlich der Bereitstellung personalisierter Dienste und verhaltensorientierter Werbung, erforderlich, sodass diese Verarbeitungen gemäß Artikel 6 Abs. 1 lit. b DSGVO (die „vertragliche“ Rechtsgrundlage für die Verarbeitung) rechtmäßig gewesen seien.

Dagegen vertraten die Beschwerdeführer die Meinung, dass Meta sich weiterhin auf die Einwilligung als Rechtsgrundlage berufe. Indem Meta den Zugang zu seinen Diensten von der Zustimmung der Nutzer zu den aktualisierten Nutzungsbedingungen abhängig mache, zwinge es sie faktisch dazu, der Verarbeitung ihrer personenbezogenen Daten für verhaltensbezogene Werbung und andere personalisierte Dienste zuzustimmen.

Jahrelange Entscheidungsfindung

In einem Beschlussentwurf vom Oktober 2021 hatte die DPC eine Geldbuße zwischen 28 und 36 Millionen Euro für angemessen erachtet. Meta habe demnach gegen seine Transparenzpflichten verstoßen, indem Nutzer nicht ausreichend über die Verarbeitungsprozesse informiert worden seien. Metas Vorgehen hinsichtlich der Rechtsgrundlage sei jedoch zulässig gewesen.

Die im Rahmen des Kooperations- und Kohärenzverfahrens beteiligten Datenschutzbehörden waren mit der Entscheidung der DPC nicht einverstanden, sodass schließlich der Europäische Datenschutzausschuss (EDSA) beteiligt wurde. Dieser widersprach der Rechtsauffassung der DPC. Er befand, dass Meta im Rahmen der personalisierten und verhaltensbezogenen Werbung nicht auf einen Vertrag als Rechtsgrundlage zurückgreifen könne.

Laut der Datenschutzorganisation noyb habe die DPC während des Verfahrens mit Meta eng zusammengearbeitet. Meta habe sogar argumentiert, dass die DPC das Vorgehen abgesegnet habe.

Wie geht es nun weiter?

Neben dem Bußgeld hat die DPC Meta dazu verpflichtet, innerhalb von drei Monaten nachzuweisen, dass die Verarbeitungstätigkeiten entsprechend der Vorgaben angepasst wurden. Wie diese Umsetzung aussehen soll, ist noch unklar. Voraussichtlich wird Meta gerichtlich dagegen vorgehen.

Darüber hinaus hat die DPC angekündigt, gegen den EDSA zu klagen. Dieser hatte ihr aufgetragen, eine weitere Untersuchung gegen Facebook und Instagram hinsichtlich der Verarbeitung besonderer Kategorien personenbezogener Daten einzuleiten. Der EDSB habe keine allgemeine Aufsichtsfunktion, die mit der der nationalen Gerichte in Bezug auf nationale unabhängige Behörden vergleichbar sei. Es stehe dem EDSB nicht frei, eine Behörde anzuweisen, unbefristete und spekulative Untersuchungen durchzuführen.

Neue Richtlinie zur Cybersicherheit veröffentlicht

28. Dezember 2022

Kurz nach Weihnachten, am 27. Dezember 2022 wurde eine neue Richtlinie zu „Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union“ (im Folgenden: „Cybersicherheits-Richtlinie“ oder „Richtlinie“) veröffentlicht. Ziel dieser neuen Richtlinie ist der „Aufbau von Cybersicherheitskapazitäten“ und die „Eindämmung von Bedrohungen für Netz- und Informationssysteme[n]“.

Die Adressaten der neuen Regelungen

Die neue Richtlinie 2022/2555 zu Maßnahmen im Bereich der Cybersicherheit ersetzt die bisherige Richtlinie 2016/1148 „über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“. Die neue Cybersicherheits-Richtlinie betrifft im Vergleich mehr Unternehmen. Zu den Adressaten zählen Unternehmen verschiedener Sektoren. Die Richtlinie erfasst Unternehmen des Gesundheitswesens wie Unternehmen der digitalen Infrastruktur und u.a. Unternehmen des verarbeitenden Gewerbes. Die neuen Regelungen betreffen dabei sog. mittlere Unternehmen. Es handelt sich um Betriebe, die mehr als 50 Mitarbeiter beschäftigen und einen Jahresumsatz von mehr als 10. Millionen Euro erzielen.

Grundsätzlich muss die Cybersicherheits-Richtlinie von den Mitgliedstaaten der europäischen Union bis Oktober 2024 umgesetzt werden. Dann müssen die adressierten Unternehmen damit rechnen, dass die neuen Verpflichtungen wirksam werden.

Risikomanagement

Im Wesentlichen sind die betroffenen Unternehmen nach Art. 21 der Richtlinie dazu verpflichtet „technische, operative und organisatorische Maßnahmen“ zu ergreifen. Diese Maßnahmen sollen vor Gefahren für die Sicherheit von Netz- und Informationssystemen schützen. Insoweit sollen die adressierten Unternehmen „gefahrenübergreifende“ Maßnahmen implementieren, deren Ziel der Schutz der Netz- und Informationssystemen und ihrer Umwelt sind. Demnach ist u.a. die Bewältigung von Sicherheitsvorfällen und die Aufrechterhaltung des Betriebs zu beachten.

Außerdem sind die adressierten Unternehmen nach Art. 23 der Richtlinie 2022/2555 dazu verpflichtet unverzüglich die zuständigen Behörden über einen Sicherheitsvorfall zu unterrichten. Zusätzlich müssen sie die Empfänger ihrer Dienstleistungen über einen solchen Vorfall informieren.

Effektive Durchsetzung

Darüber hinaus erhalten die zuständigen Behörden weitreichende Befugnisse, um eine effektive Durchsetzung der Cybersicherheits-Richtlinie zu garantieren. Mithin können die zuständigen Behörden u.a. die Unternehmen vor Ort kontrollieren und gezielte Sicherheitsprüfungen vornehmen. Zusätzlich legt die Richtlinie neue Bußgelder fest. Demnach können Geldbußen mit einem Höchstbetrag von mindestens 10 Mil. Euro oder von mindestens 2% des globalen Jahresumsatzes verhängt werden.

Bessere Cybersicherheit

Insgesamt hat die europäische Union das Ziel, die Cybersicherheit im Binnenmarkt zu stärken. Folglich veröffentliche die europäische Kommission am 22. September 2022 einen Entwurf zum sog. „Cyber Resilience Act“. Dieser soll Vorgaben zur Cybersicherheit für Produkte mit digitalem Element schaffen.

265 Millionen Euro Bußgeld für Facebook-Mutter Meta

29. November 2022

Die irische Datenschutzbehörde Data Protection Commission (DPC) verhängte infolge der unrechtmäßigen Veröffentlichung personenbezogener Daten ein Bußgeld in Höhe von 265 Millionen Euro gegen den Meta-Konzern.

Untersuchungsverfahren

Nachdem im April 2021 personenbezogene Daten von bis zu 533 Millionen Facebook- und Instagram-Nutzern aus über 100 Ländern online verfügbar waren, hatte die DPC Untersuchungen eingeleitet. Im Rahmen des Untersuchungsverfahrens arbeitete sie mit den anderen europäischen Datenschutzbehörden zusammen und prüfte die Tools Facebook Search, Facebook Messenger Contact Importer und Instagram Contact Importer. Mithilfe dieser Tools können Nutzer die im Smartphone gespeicherten Kontakte in die Instagram- oder Facebook-App importieren, um so Freunde oder Bekannte zu finden.

Mangelnde technische und organisatorische Maßnahmen zum Schutz der Daten

Im Rahmen ihrer Untersuchung beschäftigte sich die DPC mit den sogenannten technischen und organisatorischen Maßnahmen nach Artikel 25 DSGVO. Mit solchen Maßnahmen müssen nach dem Datenschutzrecht Verantwortliche sicherstellen, dass sie die Rechte der betroffenen Personen umfangreich schützen. Darunter fallen beispielsweise Pseudonymisierung und Verschlüsselung personenbezogener Daten, aber auch physische Schutzmaßnahmen oder das Bestehen zuverlässiger Backups.

Metas technische und organisatorische Maßnahmen sah die DPC nicht als ausreichend an. Daher sprach sie neben dem genannten Bußgeld von 265 Millionen Euro eine Verwarnung sowie die Anordnung aus, innerhalb einer Frist die Verarbeitungsvorgänge in Einklang mit dem Datenschutzrecht zu bringen und hierzu eine Reihe von bestimmten Abhilfemaßnahmen zu treffen.

Nicht das erste Bußgeld für Meta

Meta ist inzwischen vertraut mit Bußgeldern der europäischen Datenschutzbehörden. Insgesamt wurden dem Konzern schon fast eine Milliarde Euro an Geldbußen auferlegt, zuletzt im September in Höhe von 405 Millionen Euro wegen schwerer Datenschutzverstöße bei minderjährigen Instagram-Nutzern. Grund für die beachtliche Höhe der einzelnen Sanktionen ist Artikel 83 DSGVO, wonach Bußgelder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens betragen können. Gegen die bisherigen Entscheidungen hat Meta jeweils Berufung eingelegt, daher ist auch in diesem Fall davon auszugehen, dass Meta das Bußgeld nicht ohne gerichtliche Überprüfung akzeptieren wird.

Vorsicht, Phishing! Unternehmen muss über 5 Mio. Euro zahlen

3. November 2022

Bei der britischen Interverse Group Limited sorgte das Zusammenspiel aus einer trügerischen E-Mail und einem unvorsichtigen Mitarbeiter für einen größeren Datenschutzvorfall.

Was sind “Phishing-Mails”?

Unter dem Begriff Phishing versteht man Versuche von Kriminellen, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben: So auch im vorliegenden Fall.

Der Mitarbeiter des Unternehmens öffnete eine E-Mail, welche eine mit Malware versehene Zip-Datei enthielt. Dadurch erhielten die Angreifer Zugriff auf den Computer des Mitarbeiters, wodurch weitere Systeme und Server infiziert und Anti-Viren-Programme deinstalliert werden konnten.

Durch die so ermöglichte Abschaltung der Schutzmaßnahmen war es den Betrügern möglich, Zugang zu personenbezogenen Daten von über 100.000 Beschäftigten des Unternehmens zu erhalten. Enthalten waren dabei unter anderem Namen, Telefonnummern, Bankverbindungen, Sozialversicherungsnummern sowie Gehaltsinformationen. Dies stellt für Betrüger eine überaus gute Ausbeute dar.

Meldung: Art. 33 DSGVO

Das Unternehmen meldete daraufhin den Vorfall gem. Art. 33 DSGVO bei der britischen Datenschutzbehörde ICO, woraufhin diese den Vorfall prüfte. Das Ergebnis dieser Untersuchung fiel jedoch schlecht für das betroffene Unternehmen aus: Die ICO stellte fest, dass nur unzureichende technische und organisatorische Maßnahmen vorhanden waren. So war etwa das Betriebssystem, das auf den Servern eingesetzt wurde, veraltet, der betroffene Mitarbeiter, der die schadhafte Mail öffnete, war nicht datenschutzrechtlich geschult worden, Schwachstellentests sind nicht durchgeführt worden und einer Meldung des Virenscanners wurde keine Beachtung geschenkt. Dies stellt ein absolutes Fehlerhaften dar. Lediglich die umfassende Kooperation des Unternehmens mit der ICO, sowie eine nachträgliche Verbesserung der Sicherheitsmaßnahmen konnten das Bußgeld in Höhe von 5.057.878 Euro etwas abmildern.

Fazit

Der Fall macht deutlich, wie wichtig und unumgänglich es für Unternehmen ist, angemessene technische und organisatorische Maßnahmen zu implementieren und die Cybersicherheit auf dem aktuellen Stand zu halten. Die DSGVO sieht in Art. 32 Abs. 1 vor, dass technische und organisatorische Maßnahmen dem Stand der Technik entsprechen müssen.

Zielgerichtete Beratung durch Experten und entsprechende Schulungen von Mitarbeitern, unter anderem etwa zur Sensibilisierung und Erkennung von Angriffsversuchen von Dritten, können das Risiko eines Datenschutzvorfalls verringern. Investitionen in diesem Bereich können so Bußgelder in Millionenhöhe verhindern.

405 Millionen Euro Strafe für Instagram

21. September 2022

Aufgrund der Veröffentlichung von personenbezogener Daten Minderjähriger muss das soziale Netzwerk Instagram in Irland ein Bußgeld in Höhe von 405 Millionen Euro zahlen. Dies verkündete der irische Data Protection Commissioner in seiner Presseerklärung vom 15. September.

Laut der irischen Behörde habe die Tochter des Internetriesen Meta Platforms Jugendlichen erlaubt, sogenannte “Business-Accounts” zu betreiben. Damit verbunden war die Veröffentlichung von Telefonnummern und E-Mail-Adressen der Minderjährigen. Zusätzlichen waren die Profile der Jugendlichen in Teilen standardmäßig auf “öffentlich” geschaltet, wodurch die Social-Media-Inhalte der Nutzenden öffentlich einsehbar waren.

Das Rekordbußgeld reiht sich in die strikte Handhabung der irischen Datenschutzbehörde in Bezug auf Meta Platforms und die verbundenen Tochterunternehmen ein. Bereits in den letzten 12 Monaten verhängte der DPC Bußgelder in Höhe von 225 Millionen Euro gegen Whatsapp und 17 Millionen Euro gegen Meta.

Meta kündigte in einer nicht öffentlichen Stellungnahme an, die Entscheidung des Data Protection Commissioner anzufechten und betonte, dass es sich bei den kritisierten Optionen um veraltete Einstellungen handele.

Millionenschweres Bußgeld gegen Volkswagen festgesetzt

23. August 2022

In einer Pressemitteilung vom 26.07.2022 teilte das Land Niedersachsen mit, dass die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen gegen die Volkswagen Aktiengesellschaft aufgrund mehrerer Datenschutzverstöße eine Geldbuße nach Art. 83 DSGVO in Höhe von 1,1 Millionen Euro festgesetzt hat.

Die Datenschutzverstöße

Grund für die Verhängung des Bußgeldes sind gleich mehrere Datenschutzverstöße im Zusammenhang mit Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von Verkehrsunfällen. Im Jahr 2019 wurde durch die österreichische Polizei ein Erprobungsfahrzeug des Unternehmens im Rahmen einer Verkehrskontrolle angehalten. Den Beamten waren ungewöhnliche Anbauten am Fahrzeug aufgefallen. Diese stellten sich als Kameras heraus, welche unter anderem zur Fehleranalyse das Verkehrsgeschehen um das Fahrzeug herum aufzeichneten. Auf diese Weise wurde das Fahrzeug zum Testen und Trainieren des Fahrassistenzsystems eingesetzt. Am Fahrzeug fehlte jedoch jegliche Kenntlichmachung, wie zum Beispiel Magnetschilder mit Kamerasymbol und weiteren Informationen für die anderen Verkehrsteilnehmer. Somit wurden die datenschutzrechtlich betroffenen Verkehrsteilnehmer nicht über die Aufzeichnung und damit einhergehende Datenverarbeitung informiert, wie es der Art. 13 DSGVO vorschreibt. Des weiteren wurde festgestellt, dass Volkswagen mit dem Unternehmen, das die Fahrten durchführte, keinen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abgeschlossen hatte. Ebenso war vorab keine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt worden. Diese war vor Beginn der Fahrt nötig, um mögliche Risiken der Datenverarbeitung und deren Eindämmung bewerten zu können. Schließlich fehlte auch eine Erläuterung der technischen und organisatorischen Schutzmaßnahmen im Verzeichnis der Verarbeitungstätigkeiten von Volkswagen, was einen Verstoß gegen die Dokumentationspflicht nach Art. 30 DSGVO darstellte.

Volkswagen kooperiert

Volkswagen hatte die Fehler eingesehen und umfassend mit der LfD Niedersachsen kooperiert. Die Mängel wurden unverzüglich abgestellt und behoben. Die vier Datenschutzverstöße weisen jeweils zwar einen eher niedrigen Schweregrad auf, mussten dennoch geahndet werden und sind somit Gegenstand eines Bußgeldbescheides geworden. Diesen hatte Volkswagen ohne Beanstandung akzeptiert und das Verfahren durch Zahlung von 1,1 Millionen Euro beendet. Die eigentlichen Forschungsfahrten hatte die LfD Niedersachsen Barbara Thiel nicht zu beanstanden – vor allem vor dem Hintergrund, dass ein Fahrassistenzsystem zur Verhinderung von Verkehrsunfällen erprobt und somit die Sicherheit im Straßenverkehr optimiert werden sollte.

Anhand dieses Falls kann man erneut feststellen, dass auch nur kleine Fehler und Verstöße gegen die DSGVO zu enormen Bußgeldern führen können. Gerade für große Unternehmen ist es daher wichtig, auf eine datenschutzkonforme Umsetzung im Betrieb zu achten.

Italien verhängt gegen Clearview AI eine Geldstrafe in Höhe von 20 Millionen Euro

23. März 2022

Die italienische Datenschutzbehörde hat gegen Clearview AI wegen Datenschutzverletzungen hinsichtlich der Gesichtserkennungstechnologie eine Geldstrafe in Höhe von 20 Millionen Euro verhängt. Das Gesichtserkennungssystem von Clearview AI verwendet über 10 Milliarden Bilder aus dem Internet. Die Datenschutzbehörden haben festgestellt, dass Clearview AI gegen zahlreiche DSGVO-Anforderungen verstößt. So wurden im datenschutzrechtlichen Rahmen keine fairen und rechtmäßige Verarbeitungen durchgeführt, außerdem gab es keine rechtmäßige Grundlage für die Sammlung von Informationen und keine geeigneten Transparenz- und Datenaufbewahrungsrichtlinien.

Im vergangenen November hatte bereits das britische ICO vor möglichen Bußgeldern gegen Clearview gewarnt, in diesem Zusammenhang forderte das ICO Clearview auch auf, die Verarbeitungen von Daten einzustellen.

Sodann ordnete im Dezember die französische CNIL Clearview an, die Verarbeitungen von Bürgerdaten einzustellen, und gab ihr zwei Monate Zeit, um alle Daten zu löschen, die sie gespeichert hatte, erwähnte jedoch keine explizite finanzielle Sanktion.

Unabhängig davon stammen laut Clearview mehr als 2 Milliarden seiner Bilder aus dem russischen Social-Media-Netzwerk Vkontakte. Clearview hat der Ukraine Berichten zufolge seine Dienste kostenlos angeboten, um ihnen zu helfen, russische “Infiltratoren” zu identifizieren, Fehlinformationen zu bekämpfen und Familien wieder zusammenzuführen. Unbestätigten Berichten zufolge begann die Ukraine am Wochenende mit dem Einsatz der Technologie.