Schlagwort: Bußgeld

Italien verhängt gegen Clearview AI eine Geldstrafe in Höhe von 20 Millionen Euro

23. März 2022

Die italienische Datenschutzbehörde hat gegen Clearview AI wegen Datenschutzverletzungen hinsichtlich der Gesichtserkennungstechnologie eine Geldstrafe in Höhe von 20 Millionen Euro verhängt. Das Gesichtserkennungssystem von Clearview AI verwendet über 10 Milliarden Bilder aus dem Internet. Die Datenschutzbehörden haben festgestellt, dass Clearview AI gegen zahlreiche DSGVO-Anforderungen verstößt. So wurden im datenschutzrechtlichen Rahmen keine fairen und rechtmäßige Verarbeitungen durchgeführt, außerdem gab es keine rechtmäßige Grundlage für die Sammlung von Informationen und keine geeigneten Transparenz- und Datenaufbewahrungsrichtlinien.

Im vergangenen November hatte bereits das britische ICO vor möglichen Bußgeldern gegen Clearview gewarnt, in diesem Zusammenhang forderte das ICO Clearview auch auf, die Verarbeitungen von Daten einzustellen.

Sodann ordnete im Dezember die französische CNIL Clearview an, die Verarbeitungen von Bürgerdaten einzustellen, und gab ihr zwei Monate Zeit, um alle Daten zu löschen, die sie gespeichert hatte, erwähnte jedoch keine explizite finanzielle Sanktion.

Unabhängig davon stammen laut Clearview mehr als 2 Milliarden seiner Bilder aus dem russischen Social-Media-Netzwerk Vkontakte. Clearview hat der Ukraine Berichten zufolge seine Dienste kostenlos angeboten, um ihnen zu helfen, russische „Infiltratoren“ zu identifizieren, Fehlinformationen zu bekämpfen und Familien wieder zusammenzuführen. Unbestätigten Berichten zufolge begann die Ukraine am Wochenende mit dem Einsatz der Technologie.

Niederländische Aufsichtsbehörde verhängt Bußgeld in Höhe von 525.000 €

22. März 2022

Aus einer Pressemitteilung der niederländischen Aufsichtsbehörde Autoriteit Persoonsgegevens („AP“) geht hervor, dass gegen die DPG Media Magazines B.V. eine Geldstrafe in Höhe von 525.000 Euro verhängt wurde.

Vorausgegangen waren mehrere Beschwerden gegenüber der AP über die Art und Weise, wie Sanoma Media Netherlands B.V. (jetzt DPG Media Magazines B.V.) mit dieser Art von Anfragen umging. Die Personen, die sich beschwerten, hatten z. B. ein Abonnement für eine Zeitschrift. Das Medienunternehmen wurde infolgedessen zu der Geldstrafe verurteilt, weil Personen, die ihre Daten einsehen oder löschen lassen wollten, zunächst einen Identitätsnachweis hochladen mussten. Darüber hinaus wurden die Betroffenen nicht darüber informiert, dass sie Daten aus dem Dokument sperren dürfen. Laut der AP sei dies in dieser Situation jedoch nicht notwendig. Das Medienunternehmen fordere somit zu viele personenbezogene Daten an.

Hinsichtlich der behördichen Entscheidung äußerte sich Monique Verdier, Vizepräsidentin der AP: „Man darf nie einfach einen Identitätsnachweis verlangen. Er enthält eine Menge personenbezogener Daten. Selbst wenn Teile eines Ausweises geschützt sind, ist es oft zu schwierig, anhand einer Kopie festzustellen, ob jemand derjenige ist, der er vorgibt zu sein. Auch Kopien von Ausweispapieren müssen mit großer Sorgfalt aufbewahrt werden.“

Die DPG Media Magazines B.V. legte gegen den Bußgeldbescheid der Autoriteit Persoonsgegevens Widerspruch ein.

Irische Datenschutzbehörde verhängt Bußgeld gegen Meta in Höhe von 17 Mio. EUR

16. März 2022

Die irische Datenschutzkommission (DPC) hat am 15.03.2022 eine Pressemitteilung veröffentlicht, in der sie mitteilte, dem Konzern Meta Platforms (ehem. Facebook) ein Bußgeld von 17 Mio. EUR auferlegt zu haben. Grund dafür seien insgesamt zwölf Datenschutzverstöße zwischen Juni und Dezember 2018. In diesen Fällen habe es keine angemessenen technischen und organisatorischen Maßnahmen gegeben, um Daten von EU-Nutzern zu schützen. Konkret habe Meta Platforms gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO verstoßen.

Da die Datenverarbeitung von Meta Platforms eine (EU-) grenzüberschreitende ist, waren die anderen europäischen Datenschutzbehörden ebenfalls in diese Entscheidung involviert. Meta Platforms hat seinen Hauptsitz in Dublin (Irland), deshalb ist die irische Datenschutzbehörde gem. Art. 56 DSGVO ‚federführend‘. Dies bedeutet, dass sie hauptzuständiger, zentraler Ansprechpartner in dieser Angelegenheit ist und das Verfahren leitet.

Meta Platforms bzw. Facebook stand in der Vergangenheit für seinen Umgang mit Daten wiederholt in der Kritik. Erst kürzlich hatte Facebook verkündet, die automatische Gesichtserkennung auf ihrer Plattform abzuschaffen. Die irische Datenschutzbehörde hatte zudem gegen die Facebook-Tochter WhatsApp erst im September 2021 ein Rekord-Bußgeld in Höhe von 225 Mio. EUR erlassen. Grund dafür war u.a. die Weitergabe von Nutzerdaten an andere Facebook-Unternehmen.

Datenschutzaufsichtsbehörde verhängt ein Millionenbußgeld gegen eine Wohnungsbaugesellschaft

8. März 2022

Wegen umfangreicher Verstöße gegen die DSGVO hat Bremens Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Anfang März ein Bußgeld von rund 1,9 Millionen Euro gegen eine Bremer Wohnungsbaugesellschaft verhängt.

Hintergrund des Bußgeldverfahrens war, dass die Wohnungsbaugesellschaft Daten von über 9.500 Mietinteressenten erhob, ohne dafür eine Rechtsgrundlage zu haben. Nach Angaben der LfDI Bremen wurden dabei Daten über die ethnische Herkunft, Hautfarbe, Religionszugehörigkeit, die sexuelle Orientierung und den Gesundheitszustand der potentiellen Mieter unzulässig verarbeitet. Auch Daten über das persönliche Auftreten der Interessenten wie z.B. die Frisur o.ä. wurden in großem Umfang gesammelt, ohne für den Abschluss eines Mietvertrags erforderlich zu sein. Besonders problematisch an der Erhebung der Daten war, dass es sich bei einem Großteil der gesammelten Daten um besonders sensible und damit von der DSGVO besonders schützenswerte Daten handelte. Diese dürfen nur in Ausnahmefällen und mit einer entsprechenden rechtlichen Grundlage (Art. 9 DSGVO) verarbeitet werden. Eine solche lag nicht vor.

Bei Verstößen gegen die Grundsätze der datenschutzrechtlichen Verarbeitung sieht die DSGVO in Art. 83 DSGVO Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes vor.

Obwohl die LfDI aufgrund der „außerordentliche Tiefe“ der Verletzung des Datenschutzes ein höheres Bußgeld für angemessen hielt, reduzierte sie das Bußgeld auf rund 1,9 Millionen Euro. Grund dafür war, dass die Wohnungsbaugesellschaft im datenschutzrechtlichen Aufsichtsverfahren mit der Behörde umfangreich zusammenarbeitete und sich um Schadensminderung und Sachverhaltsermittlung bemühte.

Immobilien- und Hausverwaltungen sollten diesen aber auch vergangene Bußgeldbescheide beispielsweise gegen die Deutsche Wohnen nun unbedingt zum Anlass nehmen, ihre Unterlagen wie z.B. Mieterselbstauskünfte auf Datenschutzkonformität zu überprüfen.

Rechtsgrundlage für Datenschutz-Bußgelder

16. Februar 2022

Die Frage, ob Führungskräfte in Unternehmen schuldhaft handeln müssen oder ob ein objektiver Pflichtverstoß für die Verhängung eines Bußgeldes nach der DSGVO gegen das Unternehmen ausreicht, ist im Datenschutzrecht sehr umstritten. Das Kammergericht Berlin (Az. 3 Ws 250/21) hat dem EuGH hierzu Fragen zur Vorabentscheidung vorgelegt.

Rechtsträger- oder Funktionsträgerprinzip?

Stein des Anstoßes ist die Frage, ob §30 Ordnungswidrigkeitengesetz (OWiG) und damit das deutsche Haftungskonzept für Unternehmen (Rechtsträgerprinzip) anwendbar ist. Dem Unternehmen kann ein Bußgeld nur dann auferlegt werden, wenn eine Führungskraft eine (vorsätzliche oder fahrlässige) Tat begangen hat, die dem Unternehmen zurechenbar ist. Das LG Berlin vertritt diese Auffassung und hat ein Bußgeldverfahren gegen die Deutsche Wohnen SE eingestellt. Für die Verhängung eines Bußgeldes müsse ein der juristischen Person zurechenbarer Pflichtverstoß vorliegen, der durch die Datenschutz-Aufsichtsbehörde nachgewiesen werden muss. Eben dieser Nachweis sei nicht gelungen, der Bußgeld-Bescheid enthalte keine entsprechenden Angaben.

Das LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) hält §30 OWiG für nicht anwendbar (Funktionsträgerprinzip). Das hätte zur Folge, dass das sog. supranationale Kartellsanktionsrecht greift. Dann reicht ein objektiver (Datenschutz-)Verstoß eines Unternehmens aus, um es mit einem Bußgeld zu belegen. Eine Anweisung zu oder auch nur Kenntnis der Leitungsorgane des Unternehmens von Datenschutzverstößen sind dann nicht erforderlich. Das datenschutzrechtliche Bußgeld finde seine Rechtsgrundlage vielmehr unmittelbar in Art. 83 DSGVO, so das LG Bonn. Dafür sprechen der Anwendungsvorrang der DSGVO im Allgemeinen sowie der Wirksamkeitsgrundsatz des Europarechts, der ausgehöhlt würde, wenn nationale Haftungsregeln die Sanktionsmöglichkeiten europarechtlicher Vorschriften einschränken würden. Dann wäre nicht mehr europaweit sichergestellt, dass dieselben Bußgeldregelungen gelten, was dem Verordnungscharakter der DSGVO zuwiderliefe.

Der EuGH hat die Chance zur Klarstellung

Somit bestehen Zweifel über die Auslegung des Art. 83 DSGVO und die Zuständigkeit des EuGH ist im Vorabentscheidungsverfahren (Art. 267 AUEV) eröffnet. Das KG erwartet vom EuGH eine Klarstellung, ob die (strengeren) Vorgaben des deutschen Ordnungswidrigkeitenrechts gelten oder ob ein objektiver Pflichtverstoß eines Unternehmens ausreicht, um ein Bußgeld zu verhängen. Das KG selbst scheint übrigens von einer direkten Unternehmenshaftung ohne Anwendung des §30 OWiG auszugehen.

Kein DSGVO-Bußgeld mehr für Unternehmen?

17. November 2021

Nach der bisherigen Annahme der deutschen Aufsichtsbehörden wird von der Geltung des funktionalen Unternehmensbegriffs auch im Datenschutz ausgegangen. Danach können Bußgelder unabhängig von der Feststellung des Fehlverhaltens einer konkreten Person verhängt werden. Diese Annahme bestätigte das LG Bonn im letzten Jahr und erklärte damit das Gesetz über Ordnungswidrigkeiten (OWiG) in diesem Anwendungsbereich für nicht europarechtskonform. Das Gericht korrigierte lediglich die Höhe des Bußgeldes, stellte aber nicht den Adressaten des Bußgeldes in Frage.

Das LG Berlin vertrat gegenüber dem Bonner Gericht jedoch eine konträre Ansicht. Zu Beginn dieses Jahres entschied die 26. Strafkammer, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne. Nur eine natürliche Person sei imstande, eine Ordnungswidrigkeit vorwerfbar zu begehen. Mit der Annahme, dass ein beweisbares Fehlverhalten einer konkreten Person eine Voraussetzung für die Rechtmäßigkeit eines Bußgeldes darstellt, folgt das LG Berlin insbesondere rechtsstaatlichen Grundprinzipien, wie dem Schuldprinzip.

Auch das Bundesministerium des Innern, für Bau und Heimat bestätigt diese Auffassung in seinem Bericht zur Evaluierung des BDSG. Dabei geht das Ministerium davon aus, dass die Neufassung des § 41 BDSG absichtlich darauf verzichtet, die Anwendbarkeit der §§ 130, 30 OWiG auszunehmen, auch wenn andere Regelungen des OWiG ausdrücklich ausgenommen werden. Das Innenministerium schließt daraus, dass eine von der konkreten Person des Verursachers unabhängige Unternehmenshaftung nicht dem Willen des deutschen Gesetzgebers entspricht.

Unternehmen sollten zum jetzigen Zeitpunkt jedoch keinesfalls davon ausgehen, dass Behörden nach der Stellungnahme des Bundesinnenministeriums zurückhaltender agieren oder auf Bußgelder verzichten. Vielmehr ist davon auszugehen, dass den bisherigen Auffassungen der Datenschutzbehörden gefolgt wird. Eine höchstrichterliche Klärung der Thematik bleibt also abzuwarten.

Kategorien: Allgemein · DSGVO
Schlagwörter: , ,

Hamburger Datenschutzbehörde verhängt Bußgeld gegen Vattenfall in Höhe von knapp 900.000 Euro

27. September 2021

Der (interimsweise) amtierende Hamburger Datenschutzbeauftragte (HmbBfDI) Ulrich Kühn verhängte gegen den Energiekonzern Vattenfall jüngst ein Bußgeld in Höhe von ca. 900.000 Euro. Grund dafür war, dass Vattenfall Kundendaten ohne legitimen Grund gespeichert hatte. Zwar dürfen Energieversorger grundsätzlich bis zu 10 Jahren Kundendaten speichern, dies allerdings nur wenn ein Grund vorliegt, wie etwa dass diese Daten dem Finanzamt vorgelegt werden müssen. Alternativ kann auch eine Einwilligung der Kunden zur Speicherung vorliegen, was hier allerdings nicht der Fall war.

Im vorliegenden Fall hatte Vattenfall die gespeicherten Daten genutzt, um sogenannte „Bonusshopper“ als Neukunden abzulehnen. Bonusshoppper sind Kunden, die durch häufiges Wechseln ihrer Strom- und Gasverträge Geld sparen und Boni sammeln. Um solche von vorneherein auszusortieren und keinen Vertrag mit Ihnen einzugehen, hatte Vattenfall zwischen August 2018 und Dezember 2019 die Daten von potenziellen Neukunden mit älteren Kundendaten verglichen. So sollte festgestellt werden, ob die potenziellen Neukunden, die eine Anfrage für einen bestimmten Vertrag gestellt hatten, bereits früher einen Vertrag mit Vattenfall abgeschlossen hatten und dann gewechselt waren. Betroffen waren davon rund 500.000 Kunden.

Die Kunden wussten über diese Praxis nicht Bescheid, sodass HmbBfDI Kühn davon ausging, dass Vattenfall seiner Informationspflicht nicht nachgekommen sei. Das nun verhängte Bußgeld hätte deutlich höher ausfallen können, allerdings kooperierte Vattenfall umfassend mit der Hamburger Datenschutzbehörde. In dieser Zusammenarbeit wurde von Vattenfall ein Verfahren aufgebaut, mit dem sie in Zukunft Daten abgleichen dürfen. Voraussetzung dafür ist dann aber eine Einwilligung der Betroffenen.

Bußgeld wegen veralteter Website-Software

4. August 2021

Die Nutzung einer veralteten Website-Software birgt datenschutzrechtliche Risiken, auf die in dem vorliegenden Fall eindeutig vom Landesbeauftragten für den Datenschutz Niedersachen (LfD) reagiert wurde. 

Weil ein Unternehmen aus Niedersachsen für das Betreiben ihrer Website eine veraltete Software nutzte, die den aktuellen technischen Standards nicht mehr entsprach, wurde gegen das Unternehmen ein Bußgeld in Höhe von 65.000 Euro durch den LfD verhängt. Im 26. Tätigkeitsbericht 2020 des LfD wird auf die zunehmende Komplexität von Verarbeitungsprozessen aufgrund der Digitalisierung in Wirtschaft und Verwaltung hingewiesen. Dabei ist ein deutlicher Anstieg von Meldungen und Beschwerden im Jahr 2020 zu verzeichnen.

Die technischen Standards, die die DSGVO für Verarbeitungsprozesse fordert, sollen einen umfassenden Schutz von personenbezogenen Daten sicherstellen. Diese technischen Standards sind zur Bestimmung von angemessenen geeigneten technischen und organisatorischen Maßnahmen zu berücksichtigen und sollen sich nach dem aktuellen technischen Fortschritt richten.

Grundlage hierfür sind die Vorschriften Art. 25 und Art. 32 der DSGVO. Werden die erforderlichen technischen Standards hiernach nicht beachtet kommt es zu einem Verstoß gegen datenschutzrechtliche Grundsätze.

In dem vorliegenden Fall (S. 97 des Tätigkeitsberichts) wurde eine Softwareanwendung genutzt, die seit spätestens 2014 veraltet ist und von dem Hersteller nicht mehr mit Sicherheitsupdates versorgt und aktualisiert wird. Dies hatte zur Folge, dass die Software Sicherheitslücken aufwies, auf die der Hersteller aber auch hingewiesen hatte. Diese Lücken ermöglichten potentiellen Angreifern den Besitz an den Zugangsdaten aller in der Anwendung registrierten Personen. Des Weiteren war es möglich, dass ganze Datenbanktabellen ausgegeben werden konnten. Auch war die Berechnung der Passwörter durch mögliche Angreifer erleichtert, obwohl diese mit der kryptographischen Hashfunktion MD5 gesichert worden waren.

Weil den erforderlichen technischen Maßnahmen nicht Rechnung getragen wurde, wurde ein Verstoß gegen Art. 32 Absatz 1 der DSGVO festgestellt und das Bußgeld verhängt. Die Implementierung weiterer technischer Maßnahmen, sei für das Unternehmen mit einem verhältnismäßigen Aufwand durch neuere Versionen der Software möglich gewesen.

NOYB geht gegen rechtswidrige Cookie-Banner vor

1. Juni 2021

Die Nichtregierungs-Organisation Non-OF-Your-Business (NOYB) – vor allem bekannt durch ihren Mitgründer Max Schrems – hat über 500 Beschwerden gegen verschiedene Unternehmen aus der EU und den USA eingereicht. NOYB wirft diesen Unternehmen vor, durch rechtswidrige Cookie-Banner Einwilligungen in das Datentracking eingeholt zu haben, die ohne diese unzulässigen Cookie-Banner nicht erteilt worden wären. Um nach Ansicht von NOYB rechtswidrige Cookie-Banner identifizieren zu können, nutze die Organisation eine selbst entwickelte Software. Diese spüre nicht nur die fraglichen Cookie-Banner auf, sondern generiere auch automatisch entsprechende Beschwerden, welche an die Unternehmen versendet werden.

„Beschwerdewelle“ erst der Anfang

Eigenen Angaben zufolge hat NOYB die größten Webseiten aus 33 verschiedenen Staaten kontrolliert, aber bereits angekündigt, bis zu 10.000 der meistbesuchten Seiten in Europa überprüfen zu wollen. Ziel der Überprüfug sei anders als bei deutschen Abmahnanwälten aber nicht der Bezug von Gebühren, sondern die Einhaltung der gesetzlichen Vorschriften. Unternehmen würden laut NOYB die DS-GVO als Sündenbock für komplizierte Cookie-Banner vorschieben, obwohl diese Regelungen klar seien. Aus diesem Grund werde NOYB zunächst auch auf formelle Beschwerden verzichten und stattdessen die Möglichkeit bieten, die Cookie-Banner anzupassen; nur wennn dies nicht innerhalb eines Monats erfolge, würden behördliche Maßnahmen eingeleitet.

Cookie-Banner oft irreführend

NOYB erachtet verschiedene Gestaltungen des Cookie-Banners als rechtswidrig, kritistiert aber insbesondere fehlende Möglichkeiten, bereits auf der erste Ebene der Website funktionelle Cookies abzulehnen. Auch sei es leider üblich, Nutzer durch eine irreführende Farbgebung zum Klick auf den Button zur Zulassung sämtlicher Cookies zu bewegen. NOYB betont diesbezüglich, dass die Ablehnung von Cookies ebenso leicht sein müsse wie die Zustimmmung in die Nutzung.

Bei der durchgeführten Überprüfung habe NOYB auf dem Großteil der geprüften Webseiten Mängel hinsichtlich der Cookie-Banner festgestellt. Für die Unternehmen wird die Nutzung von Cookie-Bannern jedoch auch dadurch erschwert, dass die entsprechenden Anforderungen in den Mitgliedsstaaten der EU teilweise variieren, außerdem sind diese noch nicht abschließend gerichtlich festgestellt. Gleichwohl drohen diesbezüglich empfindliche Bußgelder: Diese bewegen sich regelmäßig im Bereich zwischen wenigen Tausend und einigen Zehntausend Euro, gegen Google wurden wegen der rechtswidrigen Nutzung von Cookies aber auch schon Bußgelder von 35-60 Millionen Euro verhängt.

VfB Stuttgart: 300.000 Euro Bußgeld im Datenskandal

11. März 2021

Der Landesdatenschutzbeauftragte des Landes Baden-Württemberg, Stefan Brink, hat die VfB Stuttgart 1893 AG (im Folgenden „VfB AG“) mit einem Bußgeld in Höhe von 300.000 Euro belegt. Der Verein hat die Sanktion akzeptiert und verzichtet auf Rechtsmittel. Das am 03. Februar begonnene Verfahren ist damit beendet.

Die VfB AG hat ihre Rechenschaftspflicht nach Art. 5 Abs. 2 DS-GVO fahrlässig verletzt und muss deshalb das Bußgeld zahlen. Zwischen 2016 und 2018 sollen leitende Angestellte wiederholt Mitgliederdaten an Dritte weitergegeben haben. Im Zentrum steht die Weitergabe von Mitgliederdaten (auch jugendlicher Mitglieder) im Vorfeld der Jahreshauptversammlung 2017. Auf dieser wurde über die Ausgliederung der Abteilung Profifußball abgestimmt. Mithilfe der Daten sollten die Mitglieder im Rahmen eines sog. Guerilla-Marketings zur Zustimmung zur Ausgliederung gebracht werden. Wegen Verjährungsvorschriften konnten allerdings nicht alle in der Öffentlichkeit diskutierten Themen aufgeklärt werden.

Die DS-GVO sieht Bußgelder bis zu 20 Millionen Euro vor. Vor diesem Hintergrund liegt das gegen die VfB AG ausgesprochene Bußgeldes im unteren Bereich. Ein wesentlicher Punkt für die verhältnismäßig niedrige Summe sei die „ungewöhnlich“ gute Kooperation seitens des VfB gewesen, so Stefan Brink. Dies verdeutlicht, wie wichtig die Kooperation und Mitwirkung an der Aufklärung ist. Neben dem Bußgeld wird sich die VfB AG auch am Projekt „Datenschutz geht zur Schule“ beteiligen.

Kategorien: Allgemein
Schlagwörter: , ,
1 2 3 5