Schlagwort: Verstoß DSGVO
20. April 2022
In seinem Tätigkeitsbericht für das Jahr 2021 informierte das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) über den Missbrauch von Kundendaten zu privaten Zwecken.
Hintergrund waren die Beschwerden mehrerer Kunden, die sich an das ULD gewendet hatten. Sie wiesen darauf hin, dass verschiedene Unternehmen ihre personenbezogenen Daten nicht nur zu den vorgesehenen geschäftlichen Zwecken verwendeten. So kam es vor, dass ein Kunde beispielsweise in einem Kontaktformular seine Handynummer angab, um leichter erreichbar zu sein. Einige Mitarbeiter nutzten die angegebenen Handynummern allerdings nicht ausschließlich für geschäftliche Zwecke. Stattdessen kontaktierten sie die Kunden, um ein persönliches Kennenlernen oder privates Treffen zu arrangieren.
Beim Umgang mit Kundendaten sind die datenschutzrechtlichen Vorgaben der DSGVO zu beachten. Insbesondere sind die Grundsätze der „Integrität und Vertraulichkeit“ nach Art. 5 Abs. 1 lit. f DSGVO beachtet. Demzufolge müssen personenbezogene Daten in einer Weise verarbeitet werden, „(…) die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich [dem] Schutz vor unbefugter oder unrechtmäßiger Verarbeitung (…)“. Laut dem ULD hat das Unternehmen die Aufgabe geeignete technische und organisatorische Maßnahmen zu ergreifen, um diesen Grundsatz bei der Datenverarbeitung zu garantieren. Dazu zählt es Mitarbeiterschulungen durchzuführen, die über den datenschutzkonformen Umgang mit Kundendaten informieren.
Das ULD stellte fest, dass in den zur Beschwerde gebrachten Fällen eine unrechtmäßige Verarbeitung personenbezogener Daten stattfand. Daraufhin erteilte sie den Verantwortlichen einen Hinweis nach Art. 58 Abs. 1 lit. d DSGVO. Obwohl die betroffenen Unternehmen ihre Mitarbeiter bereits vor den Missbräuchen im Datenschutzrecht geschult hatten, fand eine erneute Sensibilisierung der Mitarbeiter statt. Als weitere Sanktion verhängten einige Unternehmen arbeitsrechtliche Konsequenzen.
24. August 2021
Medienberichten zufolge sieht sich der Digitalkonzern Amazon mit dem höchsten Bußgeld in der Geschichte der Datenschutzgrundverordnung konfrontiert. Wie die Nachrichtenagentur Bloomberg berichtete, hat die Luxemburger Datenschutzbehörde Commission nationale pour la protection des données (CNPD) dem Konzern ein Bußgeld in Höhe von 746 Millionen Euro auferlegt. Dies geht auch aus dem Quartalsbericht des Unternehmens hervor.
Dem Beschluss vorangegangen war eine Beschwerde der französischen Bürgerrechtsorganisation La Quadrature du Net und mehr als zehntausend Unterstützerinnen und Unterstützern aus Mai 2018. In dieser beanstandet die Organisation, dass Nutzerinnen und Nutzer den Einsatz personalisierter Werbung auf der Webseite des Online-Marktplatzes nicht ablehnen könnten. Dabei sähe die Datenschutzgrundverordnung eine freie Wahl diesbezüglich vor. Auch die Luxemburger Datenschutzbehörde sah den freien Willen der Nutzerinnen und Nutzer und damit das Recht auf informationelle Selbstbestimmung derer verletzt. Durch das von der Einverständniserklärung der Nutzerinnen und Nutzer losgelöste Werbe-Targeting durch den Konzern könnten Grundprinzipien der Datenschutzgrundverordnung verletzt worden sein.
Amazon hingegen wies den Vorwurf zurück und kündigte Berufung an. Laut einem Sprecher des Unternehmens gab es “keine Verletzung des Schutzes personenbezogener Daten, und es wurden keine Kundendaten an Dritte preisgegeben“. Weiterhin führte er aus, dass es im Hinblick darauf, wie Amazon Kundinnen und Kunden relevante Werbung anzeige, die Entscheidung der CNDP auf subjektiven und ungeprüften Auslegungen des europäischen Datenschutzes beruhe und die beabsichtigte Geldbuße selbst bei dieser Auslegung in keinem Verhältnis stünde. Als Reaktion auf diese Stellungnahme konterte La Quadrature de Net in seinem Beitrag über den Beschluss, dass Amazon insofern Recht habe, als dass die Entscheidung nicht Datenpannen zum Gegenstand hatte. Vielmehr ginge es um das Target-Advertising selbst und damit um ein Herzstück der Big-Tech-Unternehmen.
Nach der angekündigten Berufung werden die Gerichte entscheiden. Diese hatten in der Vergangenheit bei hohen Bußgeldern zumeist zugunsten der angeklagten Unternehmen mildere Strafen erlassen, als die Datenschutzbehörden. So musste die Fluggesellschaft British Airways wegen einer Datenschutzpanne 22 Millionen Euro Bußgeld bezahlen – statt zunächst verhängten 204 Millionen Euro. Diese Herabsetzung war jedoch insbesondere mit den wirtschaftlichen Einbußen des Unternehmens in der Corona-Pandemie begründet. Eine ähnliche Begründung würde aufgrund des enormen Zuwachses des Online-Händlers, insbesondere zu Beginn der Corona-Pandemie, jedoch nicht zu erwarten sein.
3. Juli 2020
Das Bundeskartellamt hat schwere Verstöße beim Datenschutz und der IT-Sicherheit bei Smart-TVs festgestellt und fordert von den Herstellern umfangreiche Nachbesserungen. Zu diesem Schluss kommt das Bundeskartellamt im Abschlussbericht seiner Sektoruntersuchung zu Smart-TVs.
Smart-TVs gehören zu den am weitesten verbreiteten Geräten des Internet der Dinge (Internet of Things, IoT). Mutmaßliche Verbraucherschutzverstöße betreffen daher viele Menschen aller Bevölkerungsgruppen. Vor diesem Hintergrund hat das Bundeskartellamt auf der Basis seiner verbraucherrechtlichen Kompetenzen im Dezember 2017 eine Sektoruntersuchung zu Smart-TVs eingeleitet und veröffentlichte nun seinen Abschlussbericht mit Stand vom Juli 2020.
Schwerwiegende Transparenzmängel bei der Privatsphäre der Verbraucher
Das Bundeskartelamt rügte gleich eine Vielzahl von Mängeln. Insbesondere ergab die Untersuchung, dass die Hersteller intime Nutzungsdaten der Verbraucher sammeln. Dazu gehören etwa das generelle Sehverhalten eines Verbrauchers, die App-Nutzung, das Surf- und Klickverhalten oder auch biometrische Daten wie Stimme oder Cursorbewegungen sowie die im Einzelnen über den Fernseher abgespielten Inhalte. Diese Daten würden dann für personalisierte Werbung verwendet werden.
Das kann der Verbraucher allerdings erst dann stoppen, wenn er die betreffenden Einstellungen an seinem Fernsehgerät ändert und sich dazu durch vielschichtige Menüs klickt. Sich über die Datenschutzbestimmungen bereits vor dem Kauf zu informieren, sei oft nicht oder nur mit großem Aufwand möglich. Bei der Ersteinrichtung – dies kann wahrscheinlich jeder Leser aus eigener Erfahrung bestätigen – willigten die meisten Verbraucher in die angezeigten Bedingungen ein, da dies alternativlos sei.
Selbst wenn sich der Verbraucher die Datenschutzbestimmungen aufmerksam durchlesen würde, wäre er danach in den meisten Fällen kein Deut schlauer als vorher. Denn diese enthielten in vielen Fällen keine Angaben, mit denen der Verbraucher in der Praxis etwas anfangen kann. Insbesondere Pauschalierungen würden dazu führen, dass die Datenschutzbestimmungen erheblich an Informationsgehalt einbüßen. “Dies führt sehr häufig zu Verstößen gegen die DSGVO”, teilte das Bundeskartellamt mit.
Mangelnde IT-Sicherheit
Zahlreiche Hersteller gewährleisten zudem nicht, dass der Standard der Fernsehgeräte für IT-Sicherheit auch in den Jahren nach des Erwerbs durch Software-Updates aufrechterhalten wird. Verbindliche Angaben der Unternehmen hierzu existieren nicht. Für die Verbraucher sei diese Information aber unerlässlich, “um einschätzen zu können, wie lange sie das Gerät uneingeschränkt gefahrlos verwenden können”.
Methodik
Für die nun veröffentlichte Sektoruntersuchung zu Smart-TVs befragte das Bundeskartellamt im vergangenen Jahr 32 Unternehmen sowie mehrere Marktteilnehmer und Experten. Die Ermittlungen betrafen rund 20 Anbieter, die in Deutschland internetfähige Fernsehgeräte unter eigenen Marken absetzen. Der komplette Bericht ist unter diesem Link abrufbar.
5. November 2019
Die Berliner Beauftragte für Datenschutz und Informationsfreiheit hat am 30.10.2019 den deutschlandweit bisher höchsten Bußgeldbescheid in Höhe von 14,5 Millionen Euro gegen die Deutsche Wohnen SE erlassen. Der Verstoß gegen die DSGVO bestand in der Verwendung eines rechtswidrigen Archivsystems. Dieses verhinderte das Entfernen von nicht mehr erforderlichen personenbezogenen Daten von Mieterinnen und Mietern. Dadurch wurden die personenbezogenen Daten ohne Überprüfung der Rechtmäßigkeit der Verarbeitung fortwährend gespeichert. Obwohl der Zweck zur Datenerhebung bereits entfallen war, konnten die Daten zu persönlichen und finanziellen Verhältnissen der Betroffenen noch jahrelang eingesehen werden. Nachdem die Aufsichtsbehörde bereits im Juni 2017 auf die Missstände hingewiesen hatte, waren die rechtswidrigen Speichermethoden bei erneuter Kontrolle im März 2019 noch nicht beseitigt. Es konnte weder eine Bereinigung des Archivs nachgewiesen, noch Rechtsgründe für die weitere Speicherung der Daten vorgebracht werden.
Die Aufsichtsbehörde stützt ihren Bußgelderlass auf einen Verstoß gegen Art. 25 I und Art. 5 DSGVO im Zeitraum von März 2018 bis März 2019. Der gesetzliche Bußgeldrahmen, bemessen an dem Jahresumsatz der Deutsche Wohnen SE von über einer Milliarde Euro, lag bei 28 Millionen Euro. Zur Bestimmung des Bußgeldbetrages wurde der Verantwortlichen das bewusste Anlegen des Archivsystems und der lange Zeitraum des Verstoßes zulasten gelegt. Positiv wurden die Mitwirkungsbereitschaft gegenüber der Aufsichtsbehörde und die Vorbereitungsmaßnahmen zur Verbesserung des Systems berücksichtigt. Zusätzlich konnte kein missbräuchlicher Zugriff auf die personenbezogenen Daten nachgewiesen werden. Aus einer Gesamtabwägung ergab sich der Mittelwert von 14,5 Millionen Euro Bußgeld. Der Bußgeldbescheid ist noch nicht rechtskräftig.
