Schlagwort: Bußgeld

Bußgeld für eine Datenlöschung nach Auskunftsbegehren

27. Mai 2020

Die dänische Datenschutzbehörde hat eine Geldbuße in Höhe von 50.000 Dänischen Kronen gegen ein Personalvermittlungsunternehmen empfohlen. Im Gegensatz zu den meisten Mitgliedstaaten kann die Datenschutzbehörde in Dänemark nicht selbst eine Geldbuße verhängen. Die Polizei führt diesbezüglich Ermittlungen durch. Die Entscheidung über die Verhängung einer Geldstrafe wird vom Gericht getroffen werden.

Das Unternehmen hatte personenbezogene Daten, die Gegenstand eines Auskunftsersuchens waren, nach Eingang des Ersuchens und vor der Auskunftserteilung gelöscht. Die dänische Datenschutzbehörde vertritt die Ansicht, dass das Unternehmen den Anforderungen der Datenschutzverordnung (DSGVO), wonach personenbezogene Daten rechtmäßig, nach Treu und Glauben und transparent verarbeitet werden müssen, nicht erfüllt hatte.

Astrid Mavrogenis, Leiterin der dänischen Datenschutzbehörde, ist der Auffassung, dass die Löschung von personenbezogenen Daten, die im direkten Zusammenhang mit der Nichterfüllung eines Auskunftsersuchens stehen, nicht nur ein Verstoß gegen die DSGVO, sondern auch eine Verletzung der Grundrechte darstelle.

Geldbuße gegen Krankenhaus in Rheinland-Pfalz

12. Dezember 2019

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI) verhängte gegen ein Krankenhaus ein Bußgeld in Höhe von 105.000 Euro. Grund dafür sind mehrere Verstöße gegen die Datenschutz-Grundverordnung im Zusammenhang mit einer Patientenverwechslung bei der Aufnahme des Patienten.

Dies führte zu falschen Rechnungsstellungen und offenbarte strukturelle technische und organisatorische Defizite des Krankenhauses beim Patientenmanagement.

Der Landesbeauftragte, Prof. Dr. Kugelmann, betont: „Vorrangiges Ziel der Abhilfe- und Sanktionsmaßnahmen ist es, bestehende Defizite abzustellen und den Datenschutz zu verbessern. Geldbußen sind hierbei ein Instrument unter mehreren. Neben ihrer Sanktionswirkung enthalten sie immer auch ein präventives Element, indem deutlich wird, dass Missständen konsequent nachgegangen wird. Mir kommt es darauf an, dass mit Blick auf die besondere Sensibilität der Daten beim Gesundheitsdatenschutz substanzielle Fortschritte erzielt werden. Daher hoffe ich, dass die Geldbuße auch als Signal gewertet wird, dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen.“

Bußgeld für 1&1: Knapp 10 Millionen Euro Strafe für DSGVO-Verstoß

10. Dezember 2019

Gegen die Telekommunikationsfirma 1&1 Telecom GmbH hat der Bundesdatenschutzbeauftragte Ulrich Kelber ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.

Als Grund nannte Kelber das Fehlen von „hinreichenden technisch-organisatorischen Maßnahmen“ (TOMs) zum Schutz von Kundendaten. Die zum Konzernverbund gehörenden Mail-Anbieter Web.de und GMX sind davon jedoch nicht betroffen.

Die Aufsichtsbehörde kritisierte das unzureichende Authentifizierungsverfahren der 1&1 Telecom GmbH bei telefonischen Anfragen über die Kundenhotline. Die Angabe von Namen und Geburtsdatum hätten ausgereicht, um weitreichende personenbezogene Kundendaten zu erhalten. Dies stelle einen Verstoß gegen Artikel 32 DSGVO dar, da personenbezogene Daten nicht systematisch geschützt wurden und ein hohes Risiko für den gesamten Kundenbestand entstanden sei.

Das Unternehmen reagierte umgehend indem es den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker absicherte. Darüber hinaus bemühe man sich ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren einzuführen.

Aufgrund dieses kooperativen Verhaltens der 1&1 Telecom GmbH bewege sich die Strafe noch im unteren Rahmen des Möglichen.

Gleichzeitig verhängte die Aufsichtsbehörde gegen einen weiteren Telekommunikationsanbieter, namentlich die Firma Rapidata, ein Bußgeld in Höhe von 10.000 Euro wegen eines Verstoßes gegen Artikel 37 DSGVO.

Die 1&1 Telecom GmbH hat inzwischen angekündigt, gegen den absolut unverhältnismäßigen“ Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt.

Bußgeld aufgrund mangelhaftem Cookie-Banner

24. Oktober 2019

Die spanische Datenschutzbehörde verhängte ein Bußgeld von 30.000 Euro wegen rechtswidriger Cookie-Policy auf der Webseite von Vueling Airlines. Besucher der Webseite des spanischen Unternehmens konnten keine Einstellungen zu den Cookies vornehmen.

Das Unternehmen nutzt Cookies auf der Website und informiert die Webseitenbesucher in seiner Cookie-Policy über die Cookies selbst und über die Art der Datenverarbeitung mittels beacons und Pixel Tags. Es wird auch mitgeteilt, dass Dritte auf diese Cookies zugreifen können. Das Unternehmen weist jedoch darauf hin, dass die Nutzer den Browser so konfigurieren können, dass er entweder standardmäßig alle Cookies akzeptiert, ablehnt oder eine Benachrichtigung über den Empfang jedes einzelnen Cookies auf dem Bildschirm anzeigt. Bei der letzten Option entscheidet der Nutzer über die Speicherung des einzelnen Cookies.

Nach Ansicht der spanischen Aufsichtsbehörde stellt das Unternehmen kein Managementsystem oder keine Cookie- Konfigurationsanzeige zur Verfügung, die es dem Nutzer ermöglicht, einzelne Cookies zu deaktivieren. Um die Auswahl der Cookies zu ermöglichen, müsste der Banner eine Schaltfläche beinhalten, mit dem der Nutzer alle Cookies ablehnen oder aktivieren, oder nur einzelne Cookies zulassen kann. Aktuell gibt es nur die Möglichkeit, die Cookies generell zuzulassen und auf der Seite weiterzusurfen.

Das Bußgeld von 30.000 Euro wurde von der spanischen Datenschutzbehörde aufgrund eines Verstoßes gegen § 22 Abs. 2 des nationalen spanischen E-Commerce-Gesetzes (Spanish Law on Information Society Services and Electronic Commerce) verhängt. Gemäß § 22 Abs. 2 dieses Gesetzes sind die Webseitenbetreiber in Spanien verpflichtet, die Nutzer der Webseite über die Speicherung von Daten zu informieren und ihnen die Möglichkeit bereitzustellen, auf einfache Weise kostenlos die weitere Verarbeitung ihrer Daten zu untersagen.

Bußgeld gegen Delivery Hero

19. September 2019

Das Unternehmen Delivery Hero Germany GmbH hat ausweislich einer Pressemitteilung der Berliner Datenschutzbeauftragten gegen den Grundsatz der Speicherbegrenzung nach Maßgabe des Art. 5 Abs. 1 lit. e) Datenschutzgrundverordnung (DSGVO) verstoßen. Hierfür sei ein Bußgeld in Höhe von 195.407 Euro verhängt worden.

Konkret hätte die Delivery Hero Germany GmbH – eine ehemalige Tochter der Delivery Hero SE – in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen seien.

Überdies hätten sich (hier beispielsweise aufgeführt) acht ehemalige Kunden über unerwünschte Werbe-E-Mails des Unternehmens beschwert. In einem Fall hätte ein Geschädigter trotz ausdrücklichem Widerspruch der Nutzung seiner Daten für Werbezwecke weitere 15 Werbe-E-Mails von dem Lieferdienst erhalten. Dies entspricht insoweit einem Verstoß gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. a) DSGVO).

Der mittlerweile neue Eigentümer des Unternehmens, die Takeway.com hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt.

Kategorien: Allgemein · Aufsichtsbehördliche Maßnahmen
Schlagwörter:

Bußgeld bei Meldung einer Datenpanne?

5. September 2019

Eine häufige Frage aus der Praxis:

Nach Art. 33 DSGVO müssen für die Datenverarbeitung Verantwortliche bei einer sogenannten Datenpanne, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, eine Meldung an die zuständige Aufsichtsbehörde vornehmen. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, erfolgen.

Exkurs: Eine Datenpanne ist nach Art. 4 Nr. 12 DSGVO eine Verletzung des Schutzes personenbezogener Daten, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden .

Viele der Verantwortlichen fragen sich, ob die Meldung einer Datenschutzverletzung zu einem Bußgeldverfahren führen kann, sie also quasi verpflichtet sind, sich selbst zu belasten.

Die Antwort auf diese Frage findet sich in der Vorschrift des § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG).  Danach darf die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden nur mit deren Zustimmung verwendet werden.

Ein Bußgeldverfahren wird auf Grundlage der Meldung also nicht gegen den Verantwortlichen eingeleitet werden. § 43 Abs. 4 BDSG gilt allerdings nicht, wenn (auch) Dritte die Datenpanne gemeldet haben. Darüber hinaus ist zu beachten, dass § 43 Abs. 4 BDSG nicht unumstritten ist. Nach Ansicht einiger Datenschützer steht diese Bestimmung nicht im Einklang mit den Vorgaben der DSGVO und ist daher nicht anwendbar. Diese Rechtsauffassung wurde allerdings noch nicht gerichtlich bestätigt.

ACHTUNG: Erfolgt keine oder eine verspätete Meldung, kann dies mit einem Bußgeld geahndet werden. Daher empfiehlt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit in einer Pressemitteilung, Datenpannen stets rechtzeitig zu melden. Sollte keine Meldung vorgenommen werden, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen bestand, hat eine entsprechende ausführliche Dokumentation zu erfolgen.

Bußgeld von 20.000 Euro für Videoüberwachung von Mitarbeitern

26. Juni 2019

Die französische Datenschutzbehörde „Commission Nationale de l’informatique et des Libertés“ (CNIL) hat eine Geldbuße in Höhe von 20.000 Euro gegen ein Unternehmen verhängt. Das betroffene Pariser Unternehmen hatte ein Videoüberwachungssystem eingerichtet, das seine Mitarbeiter einer kontinuierlichen Überwachung unterwarf.

Von 2013 bis 2017 gingen bei der französischen Datenschutzbehörde Beschwerden von mehreren Mitarbeitern für das Videoüberwachungssystem des Unternehmens ein. Das Unternehmen wurde vom CNIL zweimal darauf hingewiesen, dass Maßnahmen ergriffen werden sollten. Außerdem hat das CNIL das Unternehmen aufgefordert, ihm zusätzliche Informationen über das eingeführte Videoüberwachungssystem zur Verfügung zu stellen.

Angesichts weiterer Beschwerden wurde im Februar 2018 in den Räumlichkeiten des Unternehmens eine Kontrolle durchgeführt. Bei den Ermittlungen kam raus, dass drei Kameras im Büro der Angestellten diese kontinuierlich an ihrem Arbeitsplatz filmten, ohne dass ihnen Informationen über die Videoüberwachung zur Verfügung gestellt wurden. Daneben wurden noch weitere Verstöße festgestellt. So waren beispielsweise die Computerarbeitsplätze nicht passwortgeschützt, und alle Mitarbeiter griffen auf gemeinsame Unternehmens-E-Mails mit einem allen bekannten Passwort zu.

Da zum Ende der in der Aufforderung gesetzten Frist keine zufriedenstellenden Maßnahmen ergriffen wurden, führte das CNIL im Oktober 2018 eine zweite Prüfung durch, bei der das Fortbestehen der Mängel trotz gegenteiliger Behauptungen des Unternehmens bestätigt wurde. Daher wurde von der französischen Datenschutzbehörde ein Sanktionsverfahren eingeleitet.

Für die Bestimmung der Geldbuße wurden insbesondere die Größe und die finanzielle Situation des Unternehmens berücksichtigt. Da das betroffene Pariser Unternehmen ein sehr kleines Unternehmen mit nur neun Mitarbeitern ist, wurde lediglich ein Bußgeld in Höhe von 20.000 € und ein Säumniszuschlag von 200 € pro Tag bei Nichtbefolgung ausgesprochen.

Kategorien: Allgemein · DSGVO
Schlagwörter:

Spanische Fußballfans belauscht

12. Juni 2019

Wie wir bereits berichteten hat die spanische Fußballliga Millionen Fans über eine App belauscht, in der das Mikrofon der Smartphones mit dem Ziel angezapft wurde, illegale Zuschauer aufzuspüren. Nachdem der Verband die Datenschutzerklärung aktualisierte, flog der Lauschangriff auf die Fans auf.

Jetzt hat die spanische Datenschutzbehörde AEPD ein Bußgeld in Hohe von 250.000 Euro gegen die spanische Fußball-Liga „La Liga“ verhängt. Betroffen von dem Lauschangriff sind mehr als vier Millionen Fans.

Grund für die Datenabfrage sei unter anderem der Kampf gegen Pay-TV-Betrug, da immer wieder Sportkneipen und Übertragungsorte die Gebühr für die Lizenz prellen würden, die zur öffentlichen Vorführung der Fußballturniere berechtigen.

Die Datenschützer kritisieren, dass die App-Nutzer gegen ihr Wissen als Spitzel für die wirtschaftlichen Interessen der Liga eingespannt worden sein. Der jährliche Schaden soll sich nach Angaben der spanischen Liga auf 400 Millionen Euro belaufen.

Zwar hätte aufmerksamen Lesern der Datenschutzvereinbarung der offiziellen Liga-App bereits 2019 bemerken können, dass der Anbieter unter anderem Zugriff auf das Smartphone-Mikrofon der Nutzer verlangte. Jedoch bewertete die spanische Datenschutzbehörde das Vorgehen von „La Liga“ jetzt als Verstoß gegen die geltenden Transparenzregeln und verhängte die Strafe. Zusätzlich muss die App bis zum 30.Juni entfernt werden.

Gegen diese Entscheidung wehrt sich der Fußballverband nun und wies die Vorwürfe als „unbegründet“ zurück. Sie wollen gegen die „unverhältnismäßige“ Strafe in Berufung gehen. La Liga hätte immer „verantwortungsbewusst“ und „im Einklang mit dem Gesetz“ gehandelt. Als Begründung führte sie an, dass die App das Smartphone-Mikro nur zur Sendezeit der Ligaspiele aktiviere. Die Aufzeichnung von Gesprächen oder zusammenhängenden Audio-Dateien würde nicht stattfinden und eine Gewährleistung der Privatsphäre wäre gegeben.

Kategorien: Allgemein · DSGVO
Schlagwörter: , , , ,

Bußgeld von über 2 Millionen Euro für Telemarketing

Die italienische Datenschutzbehörde hat eine Geldbuße in Höhe von über 2 Millionen Euro gegen ein Unternehmen wegen Verstößen gegen die Datenschutzgrundverordnung verhängt.

Das verantwortliche Unternehmen hat durch ein albanisches Callcenter Telemarketing und Teleselling -Aktivitäten im Auftrag eines Unternehmens des Energiesektors durchgeführt. Das verantwortliche Unternehmen hatte das albanische Callcenter angewiesen, potenzielle Kunden unter Verwendung der vom Callcenter selbst gesammelten Telefonnummern telefonisch zu kontaktieren. Nach dem ersten Kontakt durch das Callcenter wurden die Personen, die sich zur Unterzeichnung eines Vertrages bereit erklärt hatten, vom Unternehmen zurückgerufen.

Die zuständige Behörde hatte nach Ermittlungen festgestellt, dass die kontaktierten betroffenen Personen weder ordnungsgemäß über ihre Rechte informiert wurden, noch eine schriftliche Einwilligung zur Erhebung und Verarbeitung der Daten zu Marketingzwecken vorlag.

Für die Bestimmung der Geldbuße berücksichtigte die italienische Datenschutzbehörde zum einen die hohe Anzahl der Datenschutzverstöße sowie die Einstellung des Unternehmens zum Datenschutz. Das Unternehmen soll je 6.000 €/Verstoß für 78 Verstöße gegen das Erhebungsverbot und je 10.000 €/Verstoß für 155 Verstöße gegen das Verarbeitungsverbot zahlen. Die Höhe des Bußgeldes berücksichtigt unter anderem die Schwere des Verhaltens des Unternehmens, bei dem ein ausgeprägtes Desinteresse an der Einhaltung datenschutzrechtlicher Bestimmungen vorlag.

Kategorien: Allgemein
Schlagwörter:

50.000 Euro Bußgeld für die N26 Bank

24. Mai 2019

Nach Informationen des Fachdienstes „Tagesspiegel Background Digitalisierung & KI“ verhängte die Berliner Landesdatenschutzbeauftragte Maja Smoltczyk  gegen die N26 Bank eine der bislang höchsten Strafen wegen Verletzungen der DSGVO. Grund für die Strafe ist eine von der N26 Bank geführte schwarze Liste mit ehemaligen Kunden. Zulässig ist dies jedoch nur wenn diese unter Geldwäscheverdacht stehen. Dadurch konnten die Betroffenen kein neues Konto eröffnen.

Auf Nachfrage bestätigte N26, dass diese Praxis inzwischen geändert wurde.

Gegen das verhängte Bußgeld geht die N26 Bank nun rechtlich vor.

Vor kurzem  hat auch die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) von dem Unternehmen eingefordert, die Kontrolle von möglicher Geldwäsche zu verbessern.

1 2 3