Schlagwort: Kundendaten
3. Juli 2023
Vergangene Woche entschied der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsverfahrens (Az. C-579/21) über die Reichweite des Auskunftsanspruchs. Nach Art. 15 Datenschutz-Grundverordnung (DSGVO) habe die betroffene Person auch das Recht zu erfahren, zu welchem Zeitpunkt und aus welchen Gründen die Mitarbeiter eines Verantwortlichen ihre personenbezogenen Daten abfragten.
Sachverhalt
Das Verfahren findet seinen Ursprung bei einem Bankmitarbeiter. Dieser hatte, neben der arbeitsvertraglichen Beziehung auch ein Konto bei der betroffenen Bank. Er erfuhr, dass andere Mitarbeiter der Bank seine Kundendaten mehrmals abgefragt hatten. Daraufhin wollte die betroffene Person wissen, welcher Mitarbeiter seine Kundendaten abgefragt hatten.
Das vorlegende Gericht wollte nun vom EuGH wissen, ob Art. 15 DSGVO den Zugang zu Informationen darüber umfasse, wer die personenbezogenen Daten der betroffenen Person wann und zu welchem Zweck verarbeitet habe.
Weiter Umfang des Art. 15 DSGVO
Ausgangspunkt der Entscheidung über diese Vorlagefrage ist Art. 4 Abs. 1 DSGVO. Die Norm definiert „personenbezogene Daten“ als „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (…)“. Laut des Gerichtshofs habe der Unionsgesetzgeber im Rahmen seiner Definition „personenbezogenen Daten“ eine weite Bedeutung beimessen wollen. Demnach umfasse das Auskunftsrecht nach Art. 15 DSGVO die weite Vielfalt aller Informationen, die ein Verantwortlicher verarbeiten könne. Das Ziel des Auskunftsrechts sei es dabei eine faire und transparente Verarbeitung zu gewährleisten. Die betroffene Person solle sich über den Verarbeitungsvorgang als solchen informieren können. Das Informationsrecht umfasse auch solche Informationen, die notwendig seien, um die transparente Verarbeitung zu gewährleisten.
Der EuGH stellte klar, dass zu den notwendigen Informationen auch der Zeitpunkt der Verarbeitung zähle. Zusätzlich sei es ggf. erforderlich, dass ein Verantwortlicher der betroffenen Personen auch Auszüge aus Dokumenten oder Datenbanken zur Verfügung stelle. Damit könne die betroffene Person auch Informationen über den Kontext der Verarbeitung erhalten, die möglicherwiese erforderlich seien, um die Datenverarbeitung richtig einordnen zu können.
Demnach könne sich aus den zur Verfügung gestellten Dokumenten bereits ergeben, wann und in welchem Umfang Mitarbeiter personenbezogene Daten abfragen würden.
Einschränkungen
Es sei aber wichtig zu erkennen, dass Mitarbeiter eines Verantwortlichen keine Empfänger im Sinne des Art. 15 Abs. 1 lit. c DSGVO seien. Nur auf letztere beziehe sich das Auskunftsrecht einer betroffenen Person. Mitarbeiter dürften personenbezogene Daten nach Art. 29 DSGO gerade nur auf Weisung des Verantworltichen verarbeiten.
Welcher Mitarbeiter konkret personenbezogene Daten verarbeite, sei eine Frage, die nur beantwortet werde könne, wenn die Rechte Anderer nicht beeinträchtigt würden. Einerseits könne die Information über den konkreten Mitarbeiter die Transparenz fördern. Andererseits seien die Rechte und Freiheiten der Mitarbeiter zu beachten. Demnach könne die betroffene Person in der Regel nach Art. 15 DSGVO keine Informationen zur Identität eines Mitarbeiters erhalten, der personenbezogene Daten auf Weisung des Verantwortlichen verarbeite.
Fazit
Mit seiner Entscheidung nuanciert der EuGH das Auskunftsrecht der DSGVO und zeigt auf, dass auch die DSGVO keine Gesetzestext ist, der hierarchisch an erster Stelle steht.
27. September 2021
Der (interimsweise) amtierende Hamburger Datenschutzbeauftragte (HmbBfDI) Ulrich Kühn verhängte gegen den Energiekonzern Vattenfall jüngst ein Bußgeld in Höhe von ca. 900.000 Euro. Grund dafür war, dass Vattenfall Kundendaten ohne legitimen Grund gespeichert hatte. Zwar dürfen Energieversorger grundsätzlich bis zu 10 Jahren Kundendaten speichern, dies allerdings nur wenn ein Grund vorliegt, wie etwa dass diese Daten dem Finanzamt vorgelegt werden müssen. Alternativ kann auch eine Einwilligung der Kunden zur Speicherung vorliegen, was hier allerdings nicht der Fall war.
Im vorliegenden Fall hatte Vattenfall die gespeicherten Daten genutzt, um sogenannte “Bonusshopper” als Neukunden abzulehnen. Bonusshoppper sind Kunden, die durch häufiges Wechseln ihrer Strom- und Gasverträge Geld sparen und Boni sammeln. Um solche von vorneherein auszusortieren und keinen Vertrag mit Ihnen einzugehen, hatte Vattenfall zwischen August 2018 und Dezember 2019 die Daten von potenziellen Neukunden mit älteren Kundendaten verglichen. So sollte festgestellt werden, ob die potenziellen Neukunden, die eine Anfrage für einen bestimmten Vertrag gestellt hatten, bereits früher einen Vertrag mit Vattenfall abgeschlossen hatten und dann gewechselt waren. Betroffen waren davon rund 500.000 Kunden.
Die Kunden wussten über diese Praxis nicht Bescheid, sodass HmbBfDI Kühn davon ausging, dass Vattenfall seiner Informationspflicht nicht nachgekommen sei. Das nun verhängte Bußgeld hätte deutlich höher ausfallen können, allerdings kooperierte Vattenfall umfassend mit der Hamburger Datenschutzbehörde. In dieser Zusammenarbeit wurde von Vattenfall ein Verfahren aufgebaut, mit dem sie in Zukunft Daten abgleichen dürfen. Voraussetzung dafür ist dann aber eine Einwilligung der Betroffenen.
30. Juli 2021
Wer einen Mobilfunkvertrag in einem O2-Shop abschließt, dem wird scheinbar eine Einwilligung untergejubelt. Einige Verkäufer und Shop-Inhaber bestätigen nun die Vorwürfe, die jüngst durch Recherchen von Netzpolitik ans Licht kamen. Mehrere Shop-Betreiber sollen ungefragt für die Kunden eingewilligt haben, um Boni zu kassieren.
Telefónica sammle personenbezogene Daten seiner Kunden, um daraus Nutzungsprofile zu erstellen. Die Daten dienen dem internen Marketing, beispielsweise um den Betroffenen weitere Produkte anzubieten. Kommunikationsinhalte sollen dabei nicht gespeichert werden.
Grundsätzlich gilt: Wer einen Vertrag beim Unternehmen Telefónica, zu dem O2 gehört, abschließt oder verlängert, kann der Datenverarbeitung zustimmen oder sie ablehnen. Laut Bericht, geben jedoch mehrere Betreiber von Telefonicá-Ladengeschäften zu, ihren Kunden Pseudo-Einwilligungen unterzujubeln. „Der Verkäufer setzt am Computer einfach alle Einwilligungshäkchen und dreht dem Kunden dann nur noch das Signpad zur Unterschrift rüber“, erklärt ein anonymer Betreiber eines O2-Partnershops gegenüber Netzpolitik.
Das Unternehmen weise alle Vorwürfe ab und behauptet: „In unseren Betreiberinformationen, Prozessdokumentationen sowie Arbeitsanweisungen weisen wir unsere Vertriebspartner stets auf diese datenschutzrechtlichen Vorgaben hin.“
Wie bei einem Franchise-System werden zahlreiche O2-Geschäfte als Partnershops betrieben. Die Betreiber arbeiten nicht direkt für Telefónica, sondern führen ihre Geschäfte unabhängig. Doch scheinbar fühlen sich einige von ihnen von dem Unternehmen dazu gedrängt, möglichst viele Einwilligungen von ihren Kunden einzuholen. Nur wenn sie eine Quote von mehr als 75 Prozent Einwilligungen erreichen, würden sie von Telefónica einen sogenannten Qualitätsbonus erhalten.
Der Fall hat inzwischen auch den Bundesdatenschutzbeauftragten erreicht. „Wir kennen die Vorwürfe gegen den Mobilfunkanbieter und prüfen den Fall derzeit“, erklärte eine Sprecherin. Zu den Vorwürfen könne man sich aufgrund des laufenden Verfahrens aktuell nicht weiter äußern.
16. Dezember 2019
Am Montag, den 9.12.19, hat sich bei der Miles & More GmbH, der 100- prozentigen Tochtergesellschaft der Lufthansa, eine Datenpanne ereignet. 40 Minuten lang konnten die Kunden die personenbezogenen Daten der anderen Miles & More-Nutzer einsehen, die zu diesem Zeitpunkt gleichzeitig auf der Website eingeloggt waren.
Laut Stellungnahme der Lufthansa sind maximal 9.885 Miles & More-Kunden von dem Vorfall betroffen, die am 9.12.19 zwischen 16:00 und 16:40 Uhr eingeloggt waren. Zu dem Zeitpunkt waren 4100 User aktiv, denen die fremden Daten unfreiwillig angezeigt worden sind. Hinzu kamen die 5785 Nutzer, die dauerhaft angemeldet waren.
Einsehbar waren: Name, Adresse, E-Mail, Telefonnummer, Geburtsdatum, Benutzername, Servicekartennummer, Meilenstand, Transaktionsdaten, Reisepräferenzen, Einwilligungen zur werblichen Ansprache sowie die bevorzugte Spracheinstellung. Zusätzlich konnten die Kunden sogar die Flugmeilen der anderen User einlösen.
Die Ursache war wohl kein Hackerangriff, sondern ein technisches Problem.
Die Lufthansa hatte E-Mails an ihre Kunden versandt, in denen sie versicherte, dass die Bonusmeilen, die widerrechtlich eingelöst worden sind selbstverständlich wieder gutgeschrieben werden.
Nach Aussage der Pressesprecherin hat die Lufthansa die Aufsichtsbehörde bereits informiert, sodass eine datenschutzrechtliche Bewertung noch aussteht.
25. November 2019
Der chinesische Smartphone-Hersteller OnePlus räumt zum zweiten Mal innerhalb von zwei Jahren eine Datenpanne ein. Das Sicherheitsteam des Unternehmens hat im OnePlus-Forum veröffentlicht, dass Unbefugte über einen unbekannten Zeitraum auf Kundendaten zugreifen konnten. Auch Käufer aus Deutschland sollen betroffen sein.
OnePlus teilt mit, dass der Name, die Kontaktnummer, die E-Mail-Adresse
und die Lieferadresse bestimmter Benutzer möglicherweise offengelegt wurden. Das
Unternehmen versichert jedoch, dass Zahlungsinformationen, Passwörter und
Accounts sicher seien. Die Betroffenen seien per E-Mail über den Vorfall
informiert worden. OnePlus schreibt im Online-Forum, dass als Folge dieses
Sicherheitsvorfalls Betroffene möglicherweise Spam- und Phishing-E-Mails
erhalten. Es bleibt noch unbekannt,
wie viele Kunden betroffen sind und wie
lange Unbefugte die Daten abgreifen konnten.
In seiner Bekanntmachung bittet das Unternehmen um Entschuldigung und verspricht,
dass OnePlus weitere Maßnahmen ergreifen will, um den Schutz der Kundendaten zu
verbessern. Dabei wird das Unternehmen im nächsten Monat mit einer Sicherheitsplattform zusammenarbeiten, um
die Datensicherheit zu verbessern.
19. November 2019
Hackern war es möglich, sich durch eine Sicherheitslücke des Servers des Versandunternehmens Conrad Electronics Zugang auf ca. 14 Millionen Kundendatensätze in einer Elasticsearch-Datenbank zu verschaffen.
Kreditkarteninformationen oder Kundenpasswörter seien zwar nicht davon betroffen, jedoch Postadressen, E-Mail Adressen, Telefonnummern sowie bei einem Fünftel der Datensätze Bankverbindungen (IBANs). Die Conrad Electronics-Gruppe habe bereits Strafanzeige beim Landeskriminalamt erstattet sowie das Bayerische Landesamt für Datenschutzaufsicht informiert.
Einen Hinweis, dass die Daten zu einem Missbrauch führten gäbe es bislang nicht, teilte die Conrad Electronic SE mit, jedoch bittet das Unternehmen um Vorsicht, falls Kunden E-Mails mit unsauberen Anhängen erhalten sollten. Um den Kunden entgegen kommen zu können wurde eine Seite eingerichtet auf der Informationen zum Vorfall bereitstehen und Fragen gestellt werden können.
3. Juli 2019
Am 24.05.2019 hat sich die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder auf einen Katalog von Fallgruppen verständigt, die im Rahmen der Interessenabwägung nach Art. 6 Abs. 1 lit. f i.V.m. Abs. 4 DSGVO bei einem Unternehmensverkauf zu berücksichtigen sind.
Ein Asset Deal ist eine Unterart des Unternehmenskaufs, bei dem Wirtschaftsgüter (engl. Assets) eines Unternehmens, wie Grundstücke, Gebäude, Maschinen, Patente etc., im Rahmen der Singularsukzession übertragen werden.
Bisher war es umstritten, ob und in welchem Umfang in einem solchen Fall auch Daten von Kunden verkauft werden dürfen.
Folgende Fallgruppen wurden von der DSK nun beschlossen:
- Kundendaten bei laufenden Verträgen
- Bestandskunden ohne laufende Verträge und letzter Vertragsbeziehung älter als 3 Jahre
- Daten von Kundinnen und Kunden bei fortgeschrittener Vertragsanbahnung; Bestandskundinnen und -kunden ohne laufende Verträge und letzte Vertragsbeziehung jünger als 3 Jahre
- Kundendaten im Falle offener Forderungen
- Kundendaten besonderer Kategorie nach Art. 9 Abs. 1 DS-GVO
21. Januar 2019
Es werden zurzeit E-Mails im Namen der Deutschen Bank mit dem Betreff “Informationen zu Ihrem Bankkonto” versendet. In dieser E-Mail wird darauf verwiesen, dass aufgrund der Datenschutzgrundverordnung (DSGVO) das TAN-Verfahren annulliert werden müsste. Dabei soll der Betroffene das angehängte Formular benutzen um die Änderung des TAN-Systems kostenfrei durchzuführen. Tut er dies nicht, würde die Deutsche Bank dies manuell durchführen und eine Gebühr dafür verlangen.
Hierbei handelt es sich um keine E-Mail von der Deutschen Bank. Als Absender der E-Mail wird “info@db.com” angezeigt. In der Email befindet sich in der Anlage eine Datei mit dem Namen “Formular.html”. Das ist die eigentliche Phishing-Seite, über die die Daten der Betroffenen gestohlen werden.
Die Deutsche Bank hat auf ihrer Seite einen Sicherheitshinweis veröffentlicht, in der sie vor den Phishing-Mails warnt. Die Empfänger der E-Mails sollen nicht auf enthaltene Buttons oder Links in der E-Mail klicken. Wurde bereits auf den Button oder Link geklickt, dürfen in keinem Fall persönlichen Daten eingegeben werden, da diese sonst unverschlüsselt bei den Cyberkriminellen landen.
12. Oktober 2018
Das LG Frankfurt a. M. hat in seinem Urteil vom 13.09.2018 (Az.: 2-03 O 283/18) das Veröffentlichen eines Videos von einer Kundin aus einem Frisör-Salon auf seiner Facebook-Seite für rechtswidrig erklärt.
Der Entscheidung lag ein Fall zugrunde, in dem ein Frisör ein Video und Fotos von einer Kundin in seinem Salon auf seiner Facebook-Seite veröffentlicht hatte. Die Kundin beschwerte sich, worauf der Frisör nur die Fotos entfernte aber nicht das Video. Darauf hin klagte die Kundin auf Unterlassung.
Das Gericht prüfte, ob der Frisör die Datenverarbeitung auf eine Rechtsgrundlage stützen kann. In Betracht kamen §§ 22, 23 KUG, Art. 6 Abs. 1 lit a und lit. f. DSGVO in Betracht. Laut Gericht konnte der Frisör nicht glaubhaft darlegen, dass die Kundin eingewilligt hatte. Da auch keine Ausnahmen vom Einwilligungserfordernis nach § 23 KUG einschlägig sind, ist die Veröffentlichung des Videos nicht von §§ 22, 23 KUG gedeckt ist. Mangels Einwilligung scheidet auch Art. 6 Abs. 1 lit. a DSGVO als taugliche Rechtsgrundlage aus. In der weiteren Prüfung verneinte das Gericht ein berechtigtes Interesse des Frisörs an der Veröffentlichung des Videos. Das LG zog hierfür die Grundsätze der §§ 22, 23 KUG und der dazugehörigen Rechtsprechung für die Abwägung heran. Demnach überwiegt bei einem Frisörbesuch das Interesse der Kundin an der Unterlassung gegenüber dem Werbeinteresse des Frisör-Salonbetreibers.
Da sich die Veröffentlichung des Videos auf keine Rechtsgrundlage stützen ließ, muss der Frisör nun das Video von seiner Facebook-Seite entfernen. Diese Entscheidung bestätigt nochmals die Bedeutung der Dokumentationspflichten im Zusammenhang mit der Einwilligung nach Art. 7 Abs. 1 DSGVO.
23. Februar 2018
Laut Andreas Wiegenstein sind Kundenportale von Energieversorgern nicht ausreichend geschützt.
Ebenso wie andere Unternehmen sind auch Energieversorger verpflichtet den Anforderungen an Datenschutz und Datensicherheit nachzukommen. Nach einem Artikel von Andreas Wiegenstein kommen sie diesen Anforderungen jedoch in nur unzureichendem Maße nach.
Gerade bei Kundenportalen soll ein nicht ausreichender Schutz von Kundenkonten gegen Angreifer bestehen, obwohl die Kunden dort sensitive Daten eingeben. Die Angreifer benötigen zwar einige Informationen für einen Zugriff, jedoch ließen sich diese laut Wiegenstein zu leicht beschaffen. So sollen sich speziell die scheinbar sicheren Kundennummern und Zählernummern ohne erhebliche Probleme herausfinden lassen.
Neben einer unzureichenden Absicherung der Kundenkonten bemängelt Wiegenstein zusätzlich die Absicherung beim Transport der Daten.
Im Ergebnis fordert er für die Zukunft zusätzliche Sicherheitsmaßnahmen, um einen ausreichenden Schutz zu gewährleisten. Andernfalls seien für die Zukunft erhebliche Probleme bei der Einhaltung der DSGVO absehbar.