Schlagwort: Bußgeld
29. November 2022
Die irische Datenschutzbehörde Data Protection Commission (DPC) verhängte infolge der unrechtmäßigen Veröffentlichung personenbezogener Daten ein Bußgeld in Höhe von 265 Millionen Euro gegen den Meta-Konzern.
Untersuchungsverfahren
Nachdem im April 2021 personenbezogene Daten von bis zu 533 Millionen Facebook- und Instagram-Nutzern aus über 100 Ländern online verfügbar waren, hatte die DPC Untersuchungen eingeleitet. Im Rahmen des Untersuchungsverfahrens arbeitete sie mit den anderen europäischen Datenschutzbehörden zusammen und prüfte die Tools Facebook Search, Facebook Messenger Contact Importer und Instagram Contact Importer. Mithilfe dieser Tools können Nutzer die im Smartphone gespeicherten Kontakte in die Instagram- oder Facebook-App importieren, um so Freunde oder Bekannte zu finden.
Mangelnde technische und organisatorische Maßnahmen zum Schutz der Daten
Im Rahmen ihrer Untersuchung beschäftigte sich die DPC mit den sogenannten technischen und organisatorischen Maßnahmen nach Artikel 25 DSGVO. Mit solchen Maßnahmen müssen nach dem Datenschutzrecht Verantwortliche sicherstellen, dass sie die Rechte der betroffenen Personen umfangreich schützen. Darunter fallen beispielsweise Pseudonymisierung und Verschlüsselung personenbezogener Daten, aber auch physische Schutzmaßnahmen oder das Bestehen zuverlässiger Backups.
Metas technische und organisatorische Maßnahmen sah die DPC nicht als ausreichend an. Daher sprach sie neben dem genannten Bußgeld von 265 Millionen Euro eine Verwarnung sowie die Anordnung aus, innerhalb einer Frist die Verarbeitungsvorgänge in Einklang mit dem Datenschutzrecht zu bringen und hierzu eine Reihe von bestimmten Abhilfemaßnahmen zu treffen.
Nicht das erste Bußgeld für Meta
Meta ist inzwischen vertraut mit Bußgeldern der europäischen Datenschutzbehörden. Insgesamt wurden dem Konzern schon fast eine Milliarde Euro an Geldbußen auferlegt, zuletzt im September in Höhe von 405 Millionen Euro wegen schwerer Datenschutzverstöße bei minderjährigen Instagram-Nutzern. Grund für die beachtliche Höhe der einzelnen Sanktionen ist Artikel 83 DSGVO, wonach Bußgelder bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens betragen können. Gegen die bisherigen Entscheidungen hat Meta jeweils Berufung eingelegt, daher ist auch in diesem Fall davon auszugehen, dass Meta das Bußgeld nicht ohne gerichtliche Überprüfung akzeptieren wird.
3. November 2022
Bei der britischen Interverse Group Limited sorgte das Zusammenspiel aus einer trügerischen E-Mail und einem unvorsichtigen Mitarbeiter für einen größeren Datenschutzvorfall.
Was sind “Phishing-Mails”?
Unter dem Begriff Phishing versteht man Versuche von Kriminellen, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner in einer elektronischen Kommunikation auszugeben: So auch im vorliegenden Fall.
Der Mitarbeiter des Unternehmens öffnete eine E-Mail, welche eine mit Malware versehene Zip-Datei enthielt. Dadurch erhielten die Angreifer Zugriff auf den Computer des Mitarbeiters, wodurch weitere Systeme und Server infiziert und Anti-Viren-Programme deinstalliert werden konnten.
Durch die so ermöglichte Abschaltung der Schutzmaßnahmen war es den Betrügern möglich, Zugang zu personenbezogenen Daten von über 100.000 Beschäftigten des Unternehmens zu erhalten. Enthalten waren dabei unter anderem Namen, Telefonnummern, Bankverbindungen, Sozialversicherungsnummern sowie Gehaltsinformationen. Dies stellt für Betrüger eine überaus gute Ausbeute dar.
Meldung: Art. 33 DSGVO
Das Unternehmen meldete daraufhin den Vorfall gem. Art. 33 DSGVO bei der britischen Datenschutzbehörde ICO, woraufhin diese den Vorfall prüfte. Das Ergebnis dieser Untersuchung fiel jedoch schlecht für das betroffene Unternehmen aus: Die ICO stellte fest, dass nur unzureichende technische und organisatorische Maßnahmen vorhanden waren. So war etwa das Betriebssystem, das auf den Servern eingesetzt wurde, veraltet, der betroffene Mitarbeiter, der die schadhafte Mail öffnete, war nicht datenschutzrechtlich geschult worden, Schwachstellentests sind nicht durchgeführt worden und einer Meldung des Virenscanners wurde keine Beachtung geschenkt. Dies stellt ein absolutes Fehlerhaften dar. Lediglich die umfassende Kooperation des Unternehmens mit der ICO, sowie eine nachträgliche Verbesserung der Sicherheitsmaßnahmen konnten das Bußgeld in Höhe von 5.057.878 Euro etwas abmildern.
Fazit
Der Fall macht deutlich, wie wichtig und unumgänglich es für Unternehmen ist, angemessene technische und organisatorische Maßnahmen zu implementieren und die Cybersicherheit auf dem aktuellen Stand zu halten. Die DSGVO sieht in Art. 32 Abs. 1 vor, dass technische und organisatorische Maßnahmen dem Stand der Technik entsprechen müssen.
Zielgerichtete Beratung durch Experten und entsprechende Schulungen von Mitarbeitern, unter anderem etwa zur Sensibilisierung und Erkennung von Angriffsversuchen von Dritten, können das Risiko eines Datenschutzvorfalls verringern. Investitionen in diesem Bereich können so Bußgelder in Millionenhöhe verhindern.
21. September 2022
Aufgrund der Veröffentlichung von personenbezogener Daten Minderjähriger muss das soziale Netzwerk Instagram in Irland ein Bußgeld in Höhe von 405 Millionen Euro zahlen. Dies verkündete der irische Data Protection Commissioner in seiner Presseerklärung vom 15. September.
Laut der irischen Behörde habe die Tochter des Internetriesen Meta Platforms Jugendlichen erlaubt, sogenannte “Business-Accounts” zu betreiben. Damit verbunden war die Veröffentlichung von Telefonnummern und E-Mail-Adressen der Minderjährigen. Zusätzlichen waren die Profile der Jugendlichen in Teilen standardmäßig auf “öffentlich” geschaltet, wodurch die Social-Media-Inhalte der Nutzenden öffentlich einsehbar waren.
Das Rekordbußgeld reiht sich in die strikte Handhabung der irischen Datenschutzbehörde in Bezug auf Meta Platforms und die verbundenen Tochterunternehmen ein. Bereits in den letzten 12 Monaten verhängte der DPC Bußgelder in Höhe von 225 Millionen Euro gegen Whatsapp und 17 Millionen Euro gegen Meta.
Meta kündigte in einer nicht öffentlichen Stellungnahme an, die Entscheidung des Data Protection Commissioner anzufechten und betonte, dass es sich bei den kritisierten Optionen um veraltete Einstellungen handele.
23. August 2022
In einer Pressemitteilung vom 26.07.2022 teilte das Land Niedersachsen mit, dass die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen gegen die Volkswagen Aktiengesellschaft aufgrund mehrerer Datenschutzverstöße eine Geldbuße nach Art. 83 DSGVO in Höhe von 1,1 Millionen Euro festgesetzt hat.
Die Datenschutzverstöße
Grund für die Verhängung des Bußgeldes sind gleich mehrere Datenschutzverstöße im Zusammenhang mit Forschungsfahrten für ein Fahrassistenzsystem zur Vermeidung von Verkehrsunfällen. Im Jahr 2019 wurde durch die österreichische Polizei ein Erprobungsfahrzeug des Unternehmens im Rahmen einer Verkehrskontrolle angehalten. Den Beamten waren ungewöhnliche Anbauten am Fahrzeug aufgefallen. Diese stellten sich als Kameras heraus, welche unter anderem zur Fehleranalyse das Verkehrsgeschehen um das Fahrzeug herum aufzeichneten. Auf diese Weise wurde das Fahrzeug zum Testen und Trainieren des Fahrassistenzsystems eingesetzt. Am Fahrzeug fehlte jedoch jegliche Kenntlichmachung, wie zum Beispiel Magnetschilder mit Kamerasymbol und weiteren Informationen für die anderen Verkehrsteilnehmer. Somit wurden die datenschutzrechtlich betroffenen Verkehrsteilnehmer nicht über die Aufzeichnung und damit einhergehende Datenverarbeitung informiert, wie es der Art. 13 DSGVO vorschreibt. Des weiteren wurde festgestellt, dass Volkswagen mit dem Unternehmen, das die Fahrten durchführte, keinen Auftragsverarbeitungsvertrag gem. Art. 28 DSGVO abgeschlossen hatte. Ebenso war vorab keine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt worden. Diese war vor Beginn der Fahrt nötig, um mögliche Risiken der Datenverarbeitung und deren Eindämmung bewerten zu können. Schließlich fehlte auch eine Erläuterung der technischen und organisatorischen Schutzmaßnahmen im Verzeichnis der Verarbeitungstätigkeiten von Volkswagen, was einen Verstoß gegen die Dokumentationspflicht nach Art. 30 DSGVO darstellte.
Volkswagen kooperiert
Volkswagen hatte die Fehler eingesehen und umfassend mit der LfD Niedersachsen kooperiert. Die Mängel wurden unverzüglich abgestellt und behoben. Die vier Datenschutzverstöße weisen jeweils zwar einen eher niedrigen Schweregrad auf, mussten dennoch geahndet werden und sind somit Gegenstand eines Bußgeldbescheides geworden. Diesen hatte Volkswagen ohne Beanstandung akzeptiert und das Verfahren durch Zahlung von 1,1 Millionen Euro beendet. Die eigentlichen Forschungsfahrten hatte die LfD Niedersachsen Barbara Thiel nicht zu beanstanden – vor allem vor dem Hintergrund, dass ein Fahrassistenzsystem zur Verhinderung von Verkehrsunfällen erprobt und somit die Sicherheit im Straßenverkehr optimiert werden sollte.
Anhand dieses Falls kann man erneut feststellen, dass auch nur kleine Fehler und Verstöße gegen die DSGVO zu enormen Bußgeldern führen können. Gerade für große Unternehmen ist es daher wichtig, auf eine datenschutzkonforme Umsetzung im Betrieb zu achten.
23. März 2022
Die italienische Datenschutzbehörde hat gegen Clearview AI wegen Datenschutzverletzungen hinsichtlich der Gesichtserkennungstechnologie eine Geldstrafe in Höhe von 20 Millionen Euro verhängt. Das Gesichtserkennungssystem von Clearview AI verwendet über 10 Milliarden Bilder aus dem Internet. Die Datenschutzbehörden haben festgestellt, dass Clearview AI gegen zahlreiche DSGVO-Anforderungen verstößt. So wurden im datenschutzrechtlichen Rahmen keine fairen und rechtmäßige Verarbeitungen durchgeführt, außerdem gab es keine rechtmäßige Grundlage für die Sammlung von Informationen und keine geeigneten Transparenz- und Datenaufbewahrungsrichtlinien.
Im vergangenen November hatte bereits das britische ICO vor möglichen Bußgeldern gegen Clearview gewarnt, in diesem Zusammenhang forderte das ICO Clearview auch auf, die Verarbeitungen von Daten einzustellen.
Sodann ordnete im Dezember die französische CNIL Clearview an, die Verarbeitungen von Bürgerdaten einzustellen, und gab ihr zwei Monate Zeit, um alle Daten zu löschen, die sie gespeichert hatte, erwähnte jedoch keine explizite finanzielle Sanktion.
Unabhängig davon stammen laut Clearview mehr als 2 Milliarden seiner Bilder aus dem russischen Social-Media-Netzwerk Vkontakte. Clearview hat der Ukraine Berichten zufolge seine Dienste kostenlos angeboten, um ihnen zu helfen, russische “Infiltratoren” zu identifizieren, Fehlinformationen zu bekämpfen und Familien wieder zusammenzuführen. Unbestätigten Berichten zufolge begann die Ukraine am Wochenende mit dem Einsatz der Technologie.
22. März 2022
Aus einer Pressemitteilung der niederländischen Aufsichtsbehörde Autoriteit Persoonsgegevens (“AP”) geht hervor, dass gegen die DPG Media Magazines B.V. eine Geldstrafe in Höhe von 525.000 Euro verhängt wurde.
Vorausgegangen waren mehrere Beschwerden gegenüber der AP über die Art und Weise, wie Sanoma Media Netherlands B.V. (jetzt DPG Media Magazines B.V.) mit dieser Art von Anfragen umging. Die Personen, die sich beschwerten, hatten z. B. ein Abonnement für eine Zeitschrift. Das Medienunternehmen wurde infolgedessen zu der Geldstrafe verurteilt, weil Personen, die ihre Daten einsehen oder löschen lassen wollten, zunächst einen Identitätsnachweis hochladen mussten. Darüber hinaus wurden die Betroffenen nicht darüber informiert, dass sie Daten aus dem Dokument sperren dürfen. Laut der AP sei dies in dieser Situation jedoch nicht notwendig. Das Medienunternehmen fordere somit zu viele personenbezogene Daten an.
Hinsichtlich der behördichen Entscheidung äußerte sich Monique Verdier, Vizepräsidentin der AP: “Man darf nie einfach einen Identitätsnachweis verlangen. Er enthält eine Menge personenbezogener Daten. Selbst wenn Teile eines Ausweises geschützt sind, ist es oft zu schwierig, anhand einer Kopie festzustellen, ob jemand derjenige ist, der er vorgibt zu sein. Auch Kopien von Ausweispapieren müssen mit großer Sorgfalt aufbewahrt werden.”
Die DPG Media Magazines B.V. legte gegen den Bußgeldbescheid der Autoriteit Persoonsgegevens Widerspruch ein.
16. März 2022
Die irische Datenschutzkommission (DPC) hat am 15.03.2022 eine Pressemitteilung veröffentlicht, in der sie mitteilte, dem Konzern Meta Platforms (ehem. Facebook) ein Bußgeld von 17 Mio. EUR auferlegt zu haben. Grund dafür seien insgesamt zwölf Datenschutzverstöße zwischen Juni und Dezember 2018. In diesen Fällen habe es keine angemessenen technischen und organisatorischen Maßnahmen gegeben, um Daten von EU-Nutzern zu schützen. Konkret habe Meta Platforms gegen Art. 5 Abs. 2 und Art. 24 Abs. 1 DSGVO verstoßen.
Da die Datenverarbeitung von Meta Platforms eine (EU-) grenzüberschreitende ist, waren die anderen europäischen Datenschutzbehörden ebenfalls in diese Entscheidung involviert. Meta Platforms hat seinen Hauptsitz in Dublin (Irland), deshalb ist die irische Datenschutzbehörde gem. Art. 56 DSGVO ‘federführend’. Dies bedeutet, dass sie hauptzuständiger, zentraler Ansprechpartner in dieser Angelegenheit ist und das Verfahren leitet.
Meta Platforms bzw. Facebook stand in der Vergangenheit für seinen Umgang mit Daten wiederholt in der Kritik. Erst kürzlich hatte Facebook verkündet, die automatische Gesichtserkennung auf ihrer Plattform abzuschaffen. Die irische Datenschutzbehörde hatte zudem gegen die Facebook-Tochter WhatsApp erst im September 2021 ein Rekord-Bußgeld in Höhe von 225 Mio. EUR erlassen. Grund dafür war u.a. die Weitergabe von Nutzerdaten an andere Facebook-Unternehmen.
8. März 2022
Wegen umfangreicher Verstöße gegen die DSGVO hat Bremens Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Anfang März ein Bußgeld von rund 1,9 Millionen Euro gegen eine Bremer Wohnungsbaugesellschaft verhängt.
Hintergrund des Bußgeldverfahrens war, dass die Wohnungsbaugesellschaft Daten von über 9.500 Mietinteressenten erhob, ohne dafür eine Rechtsgrundlage zu haben. Nach Angaben der LfDI Bremen wurden dabei Daten über die ethnische Herkunft, Hautfarbe, Religionszugehörigkeit, die sexuelle Orientierung und den Gesundheitszustand der potentiellen Mieter unzulässig verarbeitet. Auch Daten über das persönliche Auftreten der Interessenten wie z.B. die Frisur o.ä. wurden in großem Umfang gesammelt, ohne für den Abschluss eines Mietvertrags erforderlich zu sein. Besonders problematisch an der Erhebung der Daten war, dass es sich bei einem Großteil der gesammelten Daten um besonders sensible und damit von der DSGVO besonders schützenswerte Daten handelte. Diese dürfen nur in Ausnahmefällen und mit einer entsprechenden rechtlichen Grundlage (Art. 9 DSGVO) verarbeitet werden. Eine solche lag nicht vor.
Bei Verstößen gegen die Grundsätze der datenschutzrechtlichen Verarbeitung sieht die DSGVO in Art. 83 DSGVO Geldbußen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes vor.
Obwohl die LfDI aufgrund der “außerordentliche Tiefe” der Verletzung des Datenschutzes ein höheres Bußgeld für angemessen hielt, reduzierte sie das Bußgeld auf rund 1,9 Millionen Euro. Grund dafür war, dass die Wohnungsbaugesellschaft im datenschutzrechtlichen Aufsichtsverfahren mit der Behörde umfangreich zusammenarbeitete und sich um Schadensminderung und Sachverhaltsermittlung bemühte.
Immobilien- und Hausverwaltungen sollten diesen aber auch vergangene Bußgeldbescheide beispielsweise gegen die Deutsche Wohnen nun unbedingt zum Anlass nehmen, ihre Unterlagen wie z.B. Mieterselbstauskünfte auf Datenschutzkonformität zu überprüfen.
16. Februar 2022
Die Frage, ob Führungskräfte in Unternehmen schuldhaft handeln müssen oder ob ein objektiver Pflichtverstoß für die Verhängung eines Bußgeldes nach der DSGVO gegen das Unternehmen ausreicht, ist im Datenschutzrecht sehr umstritten. Das Kammergericht Berlin (Az. 3 Ws 250/21) hat dem EuGH hierzu Fragen zur Vorabentscheidung vorgelegt.
Rechtsträger- oder Funktionsträgerprinzip?
Stein des Anstoßes ist die Frage, ob §30 Ordnungswidrigkeitengesetz (OWiG) und damit das deutsche Haftungskonzept für Unternehmen (Rechtsträgerprinzip) anwendbar ist. Dem Unternehmen kann ein Bußgeld nur dann auferlegt werden, wenn eine Führungskraft eine (vorsätzliche oder fahrlässige) Tat begangen hat, die dem Unternehmen zurechenbar ist. Das LG Berlin vertritt diese Auffassung und hat ein Bußgeldverfahren gegen die Deutsche Wohnen SE eingestellt. Für die Verhängung eines Bußgeldes müsse ein der juristischen Person zurechenbarer Pflichtverstoß vorliegen, der durch die Datenschutz-Aufsichtsbehörde nachgewiesen werden muss. Eben dieser Nachweis sei nicht gelungen, der Bußgeld-Bescheid enthalte keine entsprechenden Angaben.
Das LG Bonn (Urt. v. 11.11.2020 – 29 OWi 1/20) hält §30 OWiG für nicht anwendbar (Funktionsträgerprinzip). Das hätte zur Folge, dass das sog. supranationale Kartellsanktionsrecht greift. Dann reicht ein objektiver (Datenschutz-)Verstoß eines Unternehmens aus, um es mit einem Bußgeld zu belegen. Eine Anweisung zu oder auch nur Kenntnis der Leitungsorgane des Unternehmens von Datenschutzverstößen sind dann nicht erforderlich. Das datenschutzrechtliche Bußgeld finde seine Rechtsgrundlage vielmehr unmittelbar in Art. 83 DSGVO, so das LG Bonn. Dafür sprechen der Anwendungsvorrang der DSGVO im Allgemeinen sowie der Wirksamkeitsgrundsatz des Europarechts, der ausgehöhlt würde, wenn nationale Haftungsregeln die Sanktionsmöglichkeiten europarechtlicher Vorschriften einschränken würden. Dann wäre nicht mehr europaweit sichergestellt, dass dieselben Bußgeldregelungen gelten, was dem Verordnungscharakter der DSGVO zuwiderliefe.
Der EuGH hat die Chance zur Klarstellung
Somit bestehen Zweifel über die Auslegung des Art. 83 DSGVO und die Zuständigkeit des EuGH ist im Vorabentscheidungsverfahren (Art. 267 AUEV) eröffnet. Das KG erwartet vom EuGH eine Klarstellung, ob die (strengeren) Vorgaben des deutschen Ordnungswidrigkeitenrechts gelten oder ob ein objektiver Pflichtverstoß eines Unternehmens ausreicht, um ein Bußgeld zu verhängen. Das KG selbst scheint übrigens von einer direkten Unternehmenshaftung ohne Anwendung des §30 OWiG auszugehen.
17. November 2021
Nach der bisherigen Annahme der deutschen Aufsichtsbehörden wird von der Geltung des funktionalen Unternehmensbegriffs auch im Datenschutz ausgegangen. Danach können Bußgelder unabhängig von der Feststellung des Fehlverhaltens einer konkreten Person verhängt werden. Diese Annahme bestätigte das LG Bonn im letzten Jahr und erklärte damit das Gesetz über Ordnungswidrigkeiten (OWiG) in diesem Anwendungsbereich für nicht europarechtskonform. Das Gericht korrigierte lediglich die Höhe des Bußgeldes, stellte aber nicht den Adressaten des Bußgeldes in Frage.
Das LG Berlin vertrat gegenüber dem Bonner Gericht jedoch eine konträre Ansicht. Zu Beginn dieses Jahres entschied die 26. Strafkammer, dass entgegen der Rechtsauffassung der Aufsichtsbehörde eine juristische Person nicht Betroffene in einem Bußgeldverfahren sein könne. Nur eine natürliche Person sei imstande, eine Ordnungswidrigkeit vorwerfbar zu begehen. Mit der Annahme, dass ein beweisbares Fehlverhalten einer konkreten Person eine Voraussetzung für die Rechtmäßigkeit eines Bußgeldes darstellt, folgt das LG Berlin insbesondere rechtsstaatlichen Grundprinzipien, wie dem Schuldprinzip.
Auch das Bundesministerium des Innern, für Bau und Heimat bestätigt diese Auffassung in seinem Bericht zur Evaluierung des BDSG. Dabei geht das Ministerium davon aus, dass die Neufassung des § 41 BDSG absichtlich darauf verzichtet, die Anwendbarkeit der §§ 130, 30 OWiG auszunehmen, auch wenn andere Regelungen des OWiG ausdrücklich ausgenommen werden. Das Innenministerium schließt daraus, dass eine von der konkreten Person des Verursachers unabhängige Unternehmenshaftung nicht dem Willen des deutschen Gesetzgebers entspricht.
Unternehmen sollten zum jetzigen Zeitpunkt jedoch keinesfalls davon ausgehen, dass Behörden nach der Stellungnahme des Bundesinnenministeriums zurückhaltender agieren oder auf Bußgelder verzichten. Vielmehr ist davon auszugehen, dass den bisherigen Auffassungen der Datenschutzbehörden gefolgt wird. Eine höchstrichterliche Klärung der Thematik bleibt also abzuwarten.
