Schlagwort: Bußgeld
24. Oktober 2019
Die spanische Datenschutzbehörde verhängte ein Bußgeld von 30.000 Euro wegen rechtswidriger Cookie-Policy auf der Webseite von Vueling Airlines. Besucher der Webseite des spanischen Unternehmens konnten keine Einstellungen zu den Cookies vornehmen.
Das Unternehmen nutzt Cookies auf der Website und informiert die Webseitenbesucher in seiner Cookie-Policy über die Cookies selbst und über die Art der Datenverarbeitung mittels beacons und Pixel Tags. Es wird auch mitgeteilt, dass Dritte auf diese Cookies zugreifen können. Das Unternehmen weist jedoch darauf hin, dass die Nutzer den Browser so konfigurieren können, dass er entweder standardmäßig alle Cookies akzeptiert, ablehnt oder eine Benachrichtigung über den Empfang jedes einzelnen Cookies auf dem Bildschirm anzeigt. Bei der letzten Option entscheidet der Nutzer über die Speicherung des einzelnen Cookies.
Nach Ansicht
der spanischen Aufsichtsbehörde stellt das Unternehmen kein Managementsystem
oder keine Cookie- Konfigurationsanzeige zur
Verfügung, die es dem Nutzer ermöglicht, einzelne
Cookies zu deaktivieren. Um die Auswahl der Cookies zu ermöglichen, müsste der
Banner eine Schaltfläche beinhalten, mit dem der Nutzer alle Cookies ablehnen
oder aktivieren, oder nur einzelne Cookies zulassen kann. Aktuell gibt es nur
die Möglichkeit, die Cookies generell zuzulassen und auf der Seite
weiterzusurfen.
Das Bußgeld
von 30.000 Euro wurde von der spanischen Datenschutzbehörde aufgrund eines
Verstoßes gegen § 22 Abs. 2 des nationalen spanischen
E-Commerce-Gesetzes (Spanish Law on Information Society Services and Electronic
Commerce) verhängt. Gemäß § 22 Abs. 2 dieses Gesetzes sind die Webseitenbetreiber
in Spanien verpflichtet, die Nutzer der Webseite über die Speicherung von Daten
zu informieren und ihnen die Möglichkeit bereitzustellen, auf einfache Weise kostenlos
die weitere Verarbeitung ihrer Daten zu untersagen.
19. September 2019
Das Unternehmen Delivery Hero Germany GmbH hat ausweislich einer Pressemitteilung der Berliner Datenschutzbeauftragten gegen den Grundsatz der Speicherbegrenzung nach Maßgabe des Art. 5 Abs. 1 lit. e) Datenschutzgrundverordnung (DSGVO) verstoßen. Hierfür sei ein Bußgeld in Höhe von 195.407 Euro verhängt worden.
Konkret hätte die Delivery Hero Germany GmbH – eine ehemalige Tochter der Delivery Hero SE – in zehn Fällen Konten ehemaliger Kundinnen und Kunden nicht gelöscht, obwohl die Betroffenen jahrelang nicht mehr auf der Lieferdienst-Plattform des Unternehmens aktiv gewesen seien.
Überdies hätten sich (hier beispielsweise aufgeführt) acht ehemalige Kunden über unerwünschte Werbe-E-Mails des Unternehmens beschwert. In einem Fall hätte ein Geschädigter trotz ausdrücklichem Widerspruch der Nutzung seiner Daten für Werbezwecke weitere 15 Werbe-E-Mails von dem Lieferdienst erhalten. Dies entspricht insoweit einem Verstoß gegen den Grundsatz der Rechtmäßigkeit der Datenverarbeitung (Art. 5 Abs. 1 lit. a) DSGVO).
Der mittlerweile neue Eigentümer des Unternehmens, die Takeway.com hat die Bußgeldbescheide akzeptiert und keine Rechtsmittel eingelegt.
5. September 2019
Eine häufige Frage aus der Praxis:
Nach Art. 33 DSGVO müssen für die Datenverarbeitung Verantwortliche bei einer sogenannten Datenpanne, die ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt, eine Meldung an die zuständige Aufsichtsbehörde vornehmen. Diese Meldung muss unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, erfolgen.
Exkurs: Eine Datenpanne ist nach Art. 4 Nr. 12 DSGVO eine Verletzung des Schutzes personenbezogener Daten, die zur Vernichtung, zum Verlust oder zur Veränderung, ob unbeabsichtigt oder unrechtmäßig, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden .
Viele der Verantwortlichen fragen sich, ob die Meldung einer Datenschutzverletzung zu einem Bußgeldverfahren führen kann, sie also quasi verpflichtet sind, sich selbst zu belasten.
Die Antwort auf diese Frage findet sich in der Vorschrift des § 43 Abs. 4 Bundesdatenschutzgesetz (BDSG). Danach darf die Meldung einer Datenpanne in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Meldepflichtigen oder Benachrichtigenden nur mit deren Zustimmung verwendet werden.
Ein Bußgeldverfahren wird auf Grundlage der Meldung also nicht gegen den Verantwortlichen eingeleitet werden. § 43 Abs. 4 BDSG gilt allerdings nicht, wenn (auch) Dritte die Datenpanne gemeldet haben. Darüber hinaus ist zu beachten, dass § 43 Abs. 4 BDSG nicht unumstritten ist. Nach Ansicht einiger Datenschützer steht diese Bestimmung nicht im Einklang mit den Vorgaben der DSGVO und ist daher nicht anwendbar. Diese Rechtsauffassung wurde allerdings noch nicht gerichtlich bestätigt.
ACHTUNG: Erfolgt keine oder eine verspätete Meldung, kann dies mit einem Bußgeld geahndet werden. Daher empfiehlt der Thüringer Landesbeauftragte für den Datenschutz und die Informationsfreiheit in einer Pressemitteilung, Datenpannen stets rechtzeitig zu melden. Sollte keine Meldung vorgenommen werden, weil kein Risiko für die Rechte und Freiheiten natürlicher Personen bestand, hat eine entsprechende ausführliche Dokumentation zu erfolgen.
26. Juni 2019
Die französische Datenschutzbehörde „Commission Nationale de l’informatique et des Libertés“ (CNIL) hat eine Geldbuße in Höhe von 20.000 Euro gegen ein Unternehmen verhängt. Das betroffene Pariser Unternehmen hatte ein Videoüberwachungssystem eingerichtet, das seine Mitarbeiter einer kontinuierlichen Überwachung unterwarf.
Von 2013 bis 2017 gingen bei der französischen Datenschutzbehörde Beschwerden von mehreren Mitarbeitern für das Videoüberwachungssystem des Unternehmens ein. Das Unternehmen wurde vom CNIL zweimal darauf hingewiesen, dass Maßnahmen ergriffen werden sollten. Außerdem hat das CNIL das Unternehmen aufgefordert, ihm zusätzliche Informationen über das eingeführte Videoüberwachungssystem zur Verfügung zu stellen.
Angesichts weiterer Beschwerden wurde im Februar 2018 in den Räumlichkeiten des Unternehmens eine Kontrolle durchgeführt. Bei den Ermittlungen kam raus, dass drei Kameras im Büro der Angestellten diese kontinuierlich an ihrem Arbeitsplatz filmten, ohne dass ihnen Informationen über die Videoüberwachung zur Verfügung gestellt wurden. Daneben wurden noch weitere Verstöße festgestellt. So waren beispielsweise die Computerarbeitsplätze nicht passwortgeschützt, und alle Mitarbeiter griffen auf gemeinsame Unternehmens-E-Mails mit einem allen bekannten Passwort zu.
Da zum Ende der in der Aufforderung gesetzten Frist keine zufriedenstellenden Maßnahmen ergriffen wurden, führte das CNIL im Oktober 2018 eine zweite Prüfung durch, bei der das Fortbestehen der Mängel trotz gegenteiliger Behauptungen des Unternehmens bestätigt wurde. Daher wurde von der französischen Datenschutzbehörde ein Sanktionsverfahren eingeleitet.
Für die Bestimmung der Geldbuße wurden
insbesondere die Größe und die finanzielle Situation des Unternehmens
berücksichtigt. Da das betroffene Pariser Unternehmen ein sehr kleines
Unternehmen mit nur neun Mitarbeitern ist, wurde lediglich ein Bußgeld in Höhe
von 20.000 € und ein Säumniszuschlag von 200 € pro Tag bei Nichtbefolgung
ausgesprochen.
12. Juni 2019
Wie wir bereits berichteten hat die spanische Fußballliga Millionen Fans über eine App belauscht, in der das Mikrofon der Smartphones mit dem Ziel angezapft wurde, illegale Zuschauer aufzuspüren. Nachdem der Verband die Datenschutzerklärung aktualisierte, flog der Lauschangriff auf die Fans auf.
Jetzt hat die spanische Datenschutzbehörde AEPD ein Bußgeld in Hohe von 250.000 Euro gegen die spanische Fußball-Liga “La Liga” verhängt. Betroffen von dem Lauschangriff sind mehr als vier Millionen Fans.
Grund für die Datenabfrage sei unter anderem der Kampf gegen Pay-TV-Betrug, da immer wieder Sportkneipen und Übertragungsorte die Gebühr für die Lizenz prellen würden, die zur öffentlichen Vorführung der Fußballturniere berechtigen.
Die Datenschützer kritisieren, dass die App-Nutzer gegen ihr Wissen als Spitzel für die wirtschaftlichen Interessen der Liga eingespannt worden sein. Der jährliche Schaden soll sich nach Angaben der spanischen Liga auf 400 Millionen Euro belaufen.
Zwar hätte aufmerksamen Lesern der Datenschutzvereinbarung der offiziellen Liga-App bereits 2019 bemerken können, dass der Anbieter unter anderem Zugriff auf das Smartphone-Mikrofon der Nutzer verlangte. Jedoch bewertete die spanische Datenschutzbehörde das Vorgehen von “La Liga” jetzt als Verstoß gegen die geltenden Transparenzregeln und verhängte die Strafe. Zusätzlich muss die App bis zum 30.Juni entfernt werden.
Gegen diese Entscheidung wehrt sich der Fußballverband nun und wies die Vorwürfe als “unbegründet” zurück. Sie wollen gegen die “unverhältnismäßige” Strafe in Berufung gehen. La Liga hätte immer “verantwortungsbewusst” und “im Einklang mit dem Gesetz” gehandelt. Als Begründung führte sie an, dass die App das Smartphone-Mikro nur zur Sendezeit der Ligaspiele aktiviere. Die Aufzeichnung von Gesprächen oder zusammenhängenden Audio-Dateien würde nicht stattfinden und eine Gewährleistung der Privatsphäre wäre gegeben.
Die italienische
Datenschutzbehörde hat eine Geldbuße in Höhe von über 2 Millionen Euro gegen
ein Unternehmen wegen Verstößen gegen die Datenschutzgrundverordnung verhängt.
Das verantwortliche Unternehmen hat durch ein albanisches Callcenter Telemarketing und Teleselling -Aktivitäten im Auftrag eines Unternehmens des Energiesektors durchgeführt. Das verantwortliche Unternehmen hatte das albanische Callcenter angewiesen, potenzielle Kunden unter Verwendung der vom Callcenter selbst gesammelten Telefonnummern telefonisch zu kontaktieren. Nach dem ersten Kontakt durch das Callcenter wurden die Personen, die sich zur Unterzeichnung eines Vertrages bereit erklärt hatten, vom Unternehmen zurückgerufen.
Die zuständige Behörde hatte nach Ermittlungen festgestellt, dass die kontaktierten betroffenen Personen weder ordnungsgemäß über ihre Rechte informiert wurden, noch eine schriftliche Einwilligung zur Erhebung und Verarbeitung der Daten zu Marketingzwecken vorlag.
Für die Bestimmung der Geldbuße berücksichtigte die italienische Datenschutzbehörde zum einen die hohe Anzahl der Datenschutzverstöße sowie die Einstellung des Unternehmens zum Datenschutz. Das Unternehmen soll je 6.000 €/Verstoß für 78 Verstöße gegen das Erhebungsverbot und je 10.000 €/Verstoß für 155 Verstöße gegen das Verarbeitungsverbot zahlen. Die Höhe des Bußgeldes berücksichtigt unter anderem die Schwere des Verhaltens des Unternehmens, bei dem ein ausgeprägtes Desinteresse an der Einhaltung datenschutzrechtlicher Bestimmungen vorlag.
24. Mai 2019
Nach Informationen des Fachdienstes „Tagesspiegel Background Digitalisierung & KI“ verhängte die Berliner Landesdatenschutzbeauftragte Maja Smoltczyk gegen die N26 Bank eine der bislang höchsten Strafen wegen Verletzungen der DSGVO. Grund für die Strafe ist eine von der N26 Bank geführte schwarze Liste mit ehemaligen Kunden. Zulässig ist dies jedoch nur wenn diese unter Geldwäscheverdacht stehen. Dadurch konnten die Betroffenen kein neues Konto eröffnen.
Auf Nachfrage bestätigte N26, dass diese Praxis inzwischen geändert wurde.
Gegen das verhängte Bußgeld geht die N26 Bank nun rechtlich vor.
Vor kurzem hat auch die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) von dem Unternehmen eingefordert, die Kontrolle von möglicher Geldwäsche zu verbessern.
1. März 2019
Einer Pressemeldung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg vom 28. Februar 2019 zufolge hat dessen Bußgeldstelle mit Bescheid vom 25.02.2019 gegen den früheren Landesvorsitzenden der Jusos Baden-Württemberg eine Geldbuße in Höhe von 2.500,- Euro wegen eines Verstoßes gegen die Zweckbindung bei der Verarbeitung von personenbezogenen Daten verhängt. Der Datenschutz sei auch bei Parteiarbeit zu beachten.
Hintergrund für den Bußgeldbescheid war, dass der frühere Juso-Landesvorsitzende anlässlich des sog. “Kleinen Landesparteitages” der SPD Baden-Württemberg im Vorfeld eine Liste aller 168 Delegierten des Parteitages an einen Kreis von etwa zehn Vertrauten gesendet hatte. Diese gehörten zum Teil dem Landesvorstand an, zum Teil bekleideten die Empfänger aber auch ein politisches Amt. Die Liste hatte er vom damaligen Juso-Landesgeschäftsführer erhalten, die dieser mithilfe der SPD-Mitgliederverwaltungssoftware erstellt hatte. Die Liste enthielt Vor- und Nachnamen der Delegierten, Alter, Wohnort sowie den jeweiligen Orts- und Kreisverband, dem die Delegierten angehörten. Die Empfänger sollten mithilfe der Liste mit den jeweiligen Delegierten in ihrem Kreis oder Ortsverband bzw. in ihrem Bekanntenkreis sprechen und dem Landesvorsitzenden sodann ein Stimmungsbild zu einem für den Landesparteitag eingebrachten Antrag zum Thema Wohnungsbau vermitteln.
Der damalige Juso-Landesvorsitzende habe dabei verkannt, dass die Delegiertenliste nur für die organisatorische Abwicklung des Parteitages bestimmt sei. Die Verwendung der Liste zur innerparteilichen Meinungsbildung sei deshalb zweckwidrig und unzulässig. Der frühere Juso-Landesvorsitzende habe mit dem Versenden der Liste gegen das BDSG a. F. verstoßen und in fahrlässiger Weise unbefugt personenbezogene Daten verarbeitet. Das BDSG a. F. und nicht die DSGVO sei anwendbar, weil die Versendung der Liste am 27.04.2018 und damit vor Wirksamwerden der DSGVO erfolgt sei.
Im Rahmen der Festlegung der Höhe des Bußgeldes wurde zu Gunsten des früheren Juso-Landesvorsitzenden seine aktive Mitwirkung an der Aufklärung des Sachverhalts berücksichtigt. Der früher Juso-Landesvorsitzende hatte sich selbst frühzeitig an die Aufsichtsbehörde gewandt und die Abläufe umfassend erläutert. Auch der Umstand, dass der Verstoß im Zusammenhang mit einer ehrenamtlich ausgeübten Tätigkeit und lediglich fahrlässig begangen worden sei, wurde zu seinen Gunsten berücksichtigt. Zu seinem Nachteil wurde berücksichtigt, “dass er sich und seinen Vertrauten einen politischen Vorteil gegenüber den sonstigen Beteiligten am Landesparteitag verschaffte (…)”. Weitere dem früheren Juso-Landesvorsitzenden angelastete Verstöße haben keinen Anlass für weitere Sanktionierungen geboten.
Der LfDI Baden-Württemberg Herr Dr. Stefan Brink äußerte sich zu dem Fall abschließend: “Bei der Organisation von innerparteilichen Abläufen haben die politischen Parteien Gestaltungsräume. Die interne Parteiarbeit kann jedoch kein “blinder Fleck” für den Datenschutz sein. Auch zwischen Parteimitgliedern wirkt das Datenschutzrecht, auch parteiintern sind die Rechte und Pflichten des Datenschutzes zu beachten”. Weitere Klärungs- und Schulungsmaßnahmen hinsichtlich des Umgangs von Parteien mit Mitgliederdaten wurden vom LfDI Baden-Württemberg Dr. Brink angekündigt. Parteien sollten daher ihre bisherige Datenschutzpraxis auf etwaige Schwachstellen überprüfen, insbesondere da aktuell sowohl hinsichtlich älterer Sachverhalte nach BDSG a. F. als auch für Verstöße nach DSGVO nicht unerhebliche Bußgelder drohen, welche auch gegen Einzelpersonen verhängt werden können.
20. Februar 2019
Fast 95 Prozent der Unternehmen betreiben E-Mail- und Newsletter-Marketing. Die aktuelle Benchmark-Studie der Unternehmensberatung absolit hat über 5000 Top-Unternehmen im deutschsprachigen Raum untersucht und kommt zu dem Ergebnis, dass jedem 5. Unternehmen ein Bußgeld droht, weil das E-Mail- und Newsletter-Marketing nicht rechtskonform ausgestaltet ist. Besonders nachholbedürftig in Sachen Datenschutz sei der Newsletter-Versand im B2B-Bereich. Als größte Schwachstelle stellt sich dabei ein nicht DSGVO-konformer Eintragungsprozess in den Newsletter-Verteiler heraus.
Folgende Fakten lassen sich der Studie entnehmen:
- 38 Prozent der Unternehmen fragen zu viele Daten ab und ignorieren den Grundsatz der Datensparsamkeit
- mehr als 75 Prozent informieren unzureichend oder gar nicht über die Datenverarbeitung
- 20 Prozent der Unternehmen verzichten auf die Bestätigung einer Formulareintragung mittels Double-Opt-In
- knapp die Hälfte der B2B-Unternehmen (57 Prozent) haben eine rechtskonforme Anmeldung zum Newsletter
Wegen einer nicht rechtskonformen Umsetzung können gegen die Unternehmen hohe Bußgelder verhängt werden (Art. 83 DSGVO). Im schlimmsten Fall von bis zu 20 Millionen oder von bis zu vier Prozent seines gesamten weltweiten erzielten Jahresumsatzes verhängt werden.
Aus diesem Grund sollten Unternehmen folgende Punkte beim Thema Newsletter-Versand beachten:
- ausdrückliche und nachweisliche Einwilligung des Empfängers erforderlich
- idealerweise Nutzung eines Double-Opt-In-Verfahrens
- vorherige Aufklärung des Empfängers über alle Datenverarbeitungsvorgänge – Implementierung einer Checkbox mit Einwilligungserklärung im direkten Umfeld des Anmeldeformulars
- Grundsatz der Datensparsamkeit beachten – nur so viele Daten wie notwendig erheben
- umfangreiche Datenschutzhinweise mit Hinweis zum Widerrufsrecht – müssen durch einen jederzeit abrufbaren und von allen Seiten zugänglicher Link erreichbar sein
- Impressum aktuell halten
- Verzeichnis für Verarbeitungstätigkeiten anlegen
- Abschluss eines Auftragsverarbeitungsvertrages, wenn ein externer Dienstleister eingesetzt wird
In einer Handelsblatt-Umfrage, in der sich die Datenschutzbeauftragten der Länder zu diesem Thema äußerten, heißt es, dass bereits zahlreiche Bußgeldverfahren eingeleitet worden sind und zudem etliche Verwarnungen ausgesprochen wurden. Aus diesem Grund gilt nach wie vor, dass die Vorgaben der DSGVO schnellsmöglichst umgesetzt werden müssen, um Bußgelder zu vermeiden.
15. Februar 2019
Ein Mann aus Merseburg hat wiederholt hunderte von Mails mit personenbezogenen E-Mailadressen im offenen Verteiler geschickt. Aus diesem Grund hat der Landesdatenschutzbeauftragte von Sachsen-Anhalt, Harald von Bose, hohe Bußgelder gegen diesen Mann verhängt. Die Mails beinhalten Verunglimpfungen, Stellungnahmen, Beschwerden aber auch Strafanzeigen gegen Vertreter aus Wirtschaft, Presse, Kommunal- und Landespolitik.
Die verschiedenen Bußgelder summieren sich auf 2.628,50 Euro. Jedoch könnte es weitere Verfahren geben, da der Mann nach den Bußgelbescheiden weitere Datenschutzverstöße begangen haben könnte.
Die DSGVO findet gemäß Artikel 2 Abs. 2 lit. c nicht auf die Verarbeitung von Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Das heißt im privaten Bereich ist ein offener Emailverteiler durchaus erlaubt. In diesem Fall kann man jedoch nicht mehr von einem privaten Bereich sprechen, da Mails an zum Teil bis zu 1600 Personen verschickt wurden. Aus diesem Grund gilt der Artikel 2 Abs. 2 lit. c unter diesen Umständen nicht.