Datenschutz-News 12/2019
Lesen Sie in den aktuellen Datenschutz News 12/2019 die Details zu den aktuellen Entwicklungen und kommen Sie gerne auf uns zu, wenn Sie mit uns über Ihre Datenschutzaufgaben sprechen möchten.
BfDI verhängt Geldbußen gegen Telekommunikationsdienstleister
09.12.2019 - Themengebiet: Verstoß gegen Artikel 32 DSGVO „Sicherheit der Verarbeitung“
Pressemitteilung vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
„Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) hat den Telekommunikationsdienstleister 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.
Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können. In einem weiteren Fall sprach der BfDI ein Bußgeld in Höhe von 10.000 Euro gegen die Rapidata GmbH aus.
Dazu sagte der Bundesbeauftragte Ulrich Kelber: >>Datenschutz ist Grundrechtsschutz. Die ausgesprochenen Geldbußen sind ein klares Zeichen, dass wir diesen Grundrechtsschutz durchsetzen werden. Die europäische Datenschutzgrundverordnung (DSGVO) gibt uns die Möglichkeit, die unzureichende Sicherung von personenbezogenen Daten entscheidend zu ahnden. Wir wenden diese Befugnisse unter Berücksichtigung der gebotenen Angemessenheit an.<<
Im Fall von 1&1 Telecom GmbH hatte der BfDI Kenntnis erlangt, dass Anrufer bei der Kundenbetreuung des Unternehmens allein schon durch Angabe des Namens und Geburtsdatums eines Kunden weitreichende Informationen zu weiteren personenbezogenen Kundendaten erhalten konnten. In diesem Authentifizierungsverfahren sieht der BfDI einen Verstoß gegen Artikel 32 DSGVO, nach dem das Unternehmen verpflichtet ist, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Verarbeitung von personenbezogenen Daten systematisch zu schützen.
Nachdem der BfDI den unzureichenden Datenschutz bemängelt hatte, zeigte sich 1&1 Telecom GmbH einsichtig und äußerst kooperativ. In einem ersten Schritt wurde zunächst der Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert. In einem weiteren Schritt wird bei der 1&1 Telecom GmbH derzeit und nach Absprache mit dem BfDI ein neues, technisch und datenschutzrechtlich deutlich verbessertes Authentifizierungsverfahren eingeführt.
Ungeachtet dieser Maßnahmen war die Verhängung einer Geldbuße geboten. So war unter anderem der Verstoß nicht nur auf einen geringen Teil der Kunden begrenzt, sondern stellte ein Risiko für den gesamten Kundenbestand dar. Bei der Festsetzung der Höhe der Geldbuße blieb der BfDI aufgrund des während des gesamten Verfahrens kooperativen Verhaltens von 1&1 Telecom GmbH im unteren Bereich des möglichen Bußgeldrahmens.
Der BfDI untersucht aufgrund von eigenen Erkenntnissen, Hinweisen und auch Kundenbeschwerden zudem derzeit die Authentifizierungsprozesse weiterer Anbieter von Telekommunikationsdienstleistungen.
Ein weiteres Verfahren gegen den Telekommunikationsanbieter Rapidata GmbH wurde erforderlich, da das Unternehmen seiner gesetzlichen Auflage nach Artikel 37 DSGVO zur Benennung des betrieblichen Datenschutzbeauftragten trotz mehrmaliger Aufforderung nicht nachgekommen ist. Bei der Höhe der Geldbuße von 10.000 Euro wurde berücksichtigt, dass es sich hierbei um ein Unternehmen aus der Kategorie der Kleinstunternehmen handelt.“
Personenbezogenes Webtracking nur mit Einwilligung
14.11.2019 - Themengebiet: Cookies/Tracking, Art. 07 DSGVO „Bedingungen für die Einwilligung“
Pressemitteilung u.a. vom Bundesbeauftragten für den Datenschutz und die Informationsfreiheit
Am 14.11.2019 haben insgesamt 13 Pressemitteilungen von Aufsichtsbehörden aus den Bundesländern sowie des Bundesdatenschutzbeauftragten die Unternehmen und auch öffentliche Stellen in einer Art „konzertierten Aktion“ völlig überraschend aufgefordert, „Google Analytics“ und andere „Tracking“-Angebote NICHT ohne eine Einwilligung einzusetzen. Zum Teil wird direkt gegen den Einsatz von „Google Analytics“ argumentiert; teilweise wird aber auch allgemein von „Tracking“-Angeboten gesprochen. Nachfolgend die Pressemitteilung des BfDI:
„Wenn Anbieter von in Websites eingebundenen Dritt-Diensten die dort erhobenen Daten auch für eigene Zwecke nutzen, muss hierfür vom Websitebetreiber eine explizite Einwilligung der Nutzerinnen und Nutzer eingeholt werden.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Ulrich Kelber, fordert daher Website-Betreiber auf, ihre Websites umgehend auf entsprechende Dritt-Inhalte und Tracking-Mechanismen zu überprüfen: >>Wer Angebote einbindet, die wie zum Beispiel Google Analytics rechtlich zwingend eine Einwilligung erfordern, muss dafür sorgen, von seinen Websitenutzern eine datenschutzkonforme Einwilligung einzuholen. Dass dies nicht mit einfachen Informationen über sogenannte Cookie-Banner oder voraktivierte Kästchen bei Einwilligungserklärungen funktioniert, sollte hoffentlich mittlerweile jedem klar sein. Jeder Websitebetreiber sollte sich daher genau damit auseinandersetzen, welche Dienste bei ihm eingebunden sind und diese notfalls deaktivieren, bis er sichergestellt hat, dass ein datenschutzkonformer Einsatz gewährleistet werden kann.<<“
U.a. hat auch der Hessische Beauftragte für Datenschutz und Informationsfreiheit am 14.11.2019 einen Hinweis zur Einbindung von Drittanbieter-Diensten in Webseiten und Apps veröffentlicht. Dort heißt es: „Vielmehr sind solche Produkte und Dienste nur auf Grundlage einer wirksamen Einwilligung der Nutzer datenschutzkonform einsetzbar.“ Nachfolgend die Pressemitteilung des HBDI:
Es muss davon ausgegangen werden, dass nun vermehrt auf korrekte Datenschutzhinweise in Webseiten geschaut wird. Die bisherigen Ausführungen der jeweiligen Aufsichtsbehörden sind damit Gegenstandslos geworden. Hierbei unterstützen kann die bereits im Frühjahr von den Datenschutz-Aufsichtsbehörden des Bundes und der Länder veröffentlichte „Orientierungshilfe für Anbieter von Telemedien“. In dieser wird im Einzelnen herausgearbeitet, unter welchen Bedingungen ein Tracking von Website-Besucherinnen und -Besuchern zulässig ist. Ältere Veröffentlichungen der Aufsichtsbehörden, beispielsweise zum Thema Google Analytics, gelten nicht mehr, da sich die Rechtslage und die Verarbeitungsprozesse mitunter stark verändert haben:
https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf
Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft
05.11.2019 - Themengebiet: Verstoß gegen Artikel 25 Abs. 1 DSGVO sowie Artikel 5 DSGVO
Pressemitteilung von der Berliner Beauftragten für Datenschutz und die Informationsfreiheit
„Am 30. Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.
Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen Deutsche Wohnen SE für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits- und Ausbildungsverträgen, Steuer-, Sozial- und Krankenversicherungsdaten sowie Kontoauszüge. […]
Die Verhängung eines Bußgeldes wegen eines Verstoßes gegen Artikel 25 Abs. 1 DS-GVO sowie Artikel 5 DS-GVO für den Zeitraum zwischen Mai 2018 und März 2019 war daher zwingend. […]
Neben der Sanktionierung dieses strukturellen Verstoßes verhängte die Berliner Datenschutzbeauftragte gegen das Unternehmen noch weitere Bußgelder zwischen 6.000 - 17.000 Euro wegen der unzulässigen Speicherung personenbezogener Daten von Mieterinnen und Mietern in 15 konkreten Einzelfällen. […]
Maja Smoltczyk: >>Datenfriedhöfe, wie wir sie bei der Deutsche Wohnen SE vorgefunden haben, begegnen uns in der Aufsichtspraxis leider häufig. Die Brisanz solcher Missstände wird uns leider immer erst dann deutlich vor Augen geführt, wenn es, etwa durch Cyberangriffe, zu missbräuchlichen Zugriffen auf die massenhaft gehorteten Daten gekommen ist. Aber auch ohne solch schwerwiegende Folgen haben wir es hierbei mit einem eklatanten Verstoß gegen die Grundsätze des Datenschutzes zu tun, die die Betroffenen genau vor solchen Risiken schützen sollen. Es ist erfreulich, dass der Gesetzgeber mit der Datenschutz-Grundverordnung die Möglichkeit eingeführt hat, solche strukturellen Mängel zu sanktionieren, bevor es zum Daten-GAU kommt. Ich empfehle allen datenverarbeitenden Stellen, ihre Datenarchivierung auf Vereinbarkeit mit der DS-GVO zu überprüfen.<<“ Nachfolgend die Pressemitteilung hierzu:
Mit der Bemessung des Bußgeld hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit auch erstmals auf der Berechnungsgrundlage der Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) ein Bußgeld ermittelt. Eine Pressemitteilung des HBDI vom 16.10.2019 gibt eine kurze Information zum Thema „Bußgeldzumessung“:
Was kosten „vermasselte“ Auskunftsersuchen in der Praxis
04.11.2019 - Themengebiet: Art. 15 DSGVO „Auskunftsrecht der betroffenen Person“
Rechtsanwalt Stephan Hansen-Oest; Fachanwalt für Informationstechnologierecht (IT-Recht)
„Da ich jetzt schon in der Kanzlei zwei Fälle in den letzten Wochen auf dem Tisch hatte, möchte ich die Gelegenheit nutzen, noch einmal sehr deutlich darauf hinzuweisen, dass es sehr, sehr wichtig ist, dass in Unternehmen und öffentlichen Stellen ein Prozess etabliert ist, der sicherstellt, dass wirklich jede Mitarbeiterin und jeder Mitarbeiter weiß, dass ein Auskunftsersuchen einer Betroffenen bzgl. einer Verarbeitung seiner personenbezogenen Daten an die Personen in der Organisation weitergegeben wird, die sich um die Beantwortung dieser Auskunftsersuchen kümmern.
Das kann die oder der Datenschutzbeauftragte sein. Das kann aber auch z.B. der Kundenservice oder wer auch immer sein. Entscheidend ist, dass es Richtlinien im Unternehmen gibt, die sicherstellen, dass es Personen im Unternehmen gibt, die sich genau um diese Fälle kümmern.
Was ist denn eigentlich das Problem?
Das Problem bei Auskunftsersuchen (oder auch Löschbegehren von Betroffenen) ist, dass diese Anfragen nach Art. 12 Abs. 3 DSGVO innerhalb eines Monats nach Eingang des Antrags zu beantworten sind.
Diese Frist kann zwar nach Art. 12 Abs. 3 DSGVO um weitere zwei Monate verlängert werden. Hierauf muss die Betroffene aber ebenfalls binnen eines Monats nach Eingang des Antrags informiert werden.
Und natürlich kommt es in vielen Unternehmen und öffentlichen Stellen dazu, dass so ein Auskunftsersuchen mal „untergeht“ und einfach nicht beantwortet wird.
Das finden Betroffene natürlich zurecht nicht „witzig“ und wenden sich dann schon gerne einmal an die Aufsichtsbehörde. Das kann natürlich Ärger geben, weil Aufsichtsbehörden dann doch mal nachfragen, was da los ist und wieso nicht das beantwortet wurde.
Es läuft aber auch immer häufiger praktisch so ab, dass Betroffene sich nach Ablauf der Monatsfrist an eine Anwältin oder einen Anwalt wenden und dann das Auskunftsersuchen anwaltlich geltend machen.
Unter Vorlage einer Originalvollmacht (so jedenfalls nach einem Urteil des AG Berlin-Mitte vom 29.07.2019, Az.: 7 C 185/18) kann die Auskunft übrigens auch anwaltlich geltend machen.
Spätestens dann werden viele Unternehmen doch endlich Auskunft erteilen bzw. vielmehr das erste Mal bemerken, dass es wohl ein Auskunftsersuchen gegeben hat, das im Unternehmen versunken ist.
Oder – was auch gerne einmal vorkommt – man hat das Auskunftsersuchen zwar „wahrgenommen“, kannte aber die oder den Betroffenen nicht und hat einfach nicht geantwortet, weil dieses Auskunftsersuchen irgendwie „komisch“ erschien und vielleicht „so eine Betrugsmasche“ sein könnte, auf die man besser nicht reagieren sollte.
Tja…und dann geht das Ganze eben einfach mal in die Hose. Denn aufgrund der nicht fristgerechten Auskunft hat die Betroffene einen Anspruch auf Ersatz der entstandenen Anwaltskosten. […]“
Neues EuGH-Urteil - Cookie-Einwilligung-Banner und Detailinformationen sind nun endgültig Pflicht!
01.10.2019 - Themengebiet: Cookies/Tracking, Art. 07 DSGVO „Bedingungen für die Einwilligung“
Rechtsanwaltskanzlei Dr. jur. Thomas Schwenke; LL.M. (University of Auckland), Dipl.FinWirt(FH), Datenschutzbeauftragter TÜV Süd / Zertifikat-Nr.: 1346#311657914
„Der Europäische Gerichtshof (EuGH) hat sich am 1. Oktober 2019 klar für ausdrücklich eingeholte Cookie-Einwilligungen (alt. >>Cookie-Opt-Ins<<) ausgesprochen. Sie sollten also spätestens ab heute keine (nicht unbedingt erforderlichen) Cookies einsetzen, ohne dass Ihre Nutzer sich mit ihnen ausdrücklich einverstanden erklärt haben (EuGH, 1.10.2019 – C-673/17 “planet49”).
Damit haben sich die Datenschutzbehörden mit der Opt-In-Lösung durchgesetzt. Allerdings bleiben noch viele Punkte offen. Insbesondere ist nicht geklärt, ob Nutzer auch einzelnen Cookie-Anbietern oder zumindest Cookie-Gruppen (z.B. “Onlinemarketing”) aktiv zustimmen müssen. […]
Der EuGH urteilte, dass eine Einwilligung klar, für den konkreten Fall aktiv und ohne jeden Zweifel erteilt werden muss (Art. 4 Nr. 11 DSGVO). Das passive, nicht erfolgende Weghaken eines Kontrollkästchens stellt keine wirksame Einwilligungshandlung dar. […]
Übertragen auf Webseiten entschied der EuGH, dass die bis dato häufig verwendeten Einwilligungsbanner >>Wir nutzen Cookies – wenn Sie unsere Webseite weiterhin nutzen, erklären Sie sich mit der Cookie-Nutzung einverstanden<< nicht ausreichend sind.
Die Weiternutzung einer Webseite stellt keine klare und zweifelsfreie Einwilligung für den konkreten Fall der Cookie-Nutzung dar. Cookies dürfen daher erst nach einer ausdrücklichen und informierten Einwilligung auf den Geräten der Nutzer verarbeitet werden, es sei denn, sie sind unbedingt erforderlich. […]
Derzeit kann eine Cookie-Einwilligung praktisch nur mit sogenannten >>Cookie-(Einwilligung/Opt-In) –Bannern<< eingeholt werden (oder im Rahmen einer Registrierung).
Die Einwilligung muss ausdrücklich per Klick, am besten auf eine Schaltfläche oder sonst eine Checkbox, erklärt werden. Nicht zulässig ist laut dem EuGH eine Opt-Out-Lösung, in deren Falle die Cookies beim Betreten der Webseite bereits aktiv sind und Nutzer sie deaktivieren müssen. […]
Nicht zu vergessen sind die weiteren Informationspflichten aus Art. 13-14 DSGVO, wie z.B. zum Verantwortlichen der Webseite, Betroffenenrechten (Recht auf Auskunft, Löschung. etc.). […]
Eine für die Gestaltung von Cookie-Einwilligungen wichtige Frage, ist deren Detailgrad. Ginge man nach den Datenschutzbehörden, dann müssten nicht nur alle einzelnen Cookieanbieter separat genannt, sondern sie müssten auch separat bestätigt werden. Dies solle sich bereits aus der Vorgabe >>datenschutzfreundlicher Voreinstellungen<< im Artikel 25 Abs. 2 DSGVO ergeben. D.h. Einwilligung-Banner, in denen die Cookies bereits vorangehakt sind und Nutzer mit nur einem Click auf “Bestätigen” die Banner ausblenden können, nicht ausreichend.“
Berliner Datenschutzbehörde verhängt bisher höchstes DSGVO-Bußgeld gegen Lieferdienst
19.09.2019 - Themengebiet: Art. 15 DSGVO „Auskunftsrecht der betroffenen Person“
Ingo Dachwitz; Medien- und Kommunikationswissenschaftler, Redakteur bei netzpolitik.org und Mitglied beim Verein Digitale Gesellschaft
„Werbemails trotz Widerspruch, mangelhafte Datenauskunft, nicht gelöschte Daten: Wegen Verstößen gegen die DSGVO straft die Berliner Datenschutzbehörde die Lieferfirma Delivery Hero ab. Das Unternehmen betrieb lange Zeit die Marken pizza.de, Lieferheld und Foodora.
Das Lieferdienstunternehmen Delivery Hero Germany GmbH muss wegen Datenschutzverstößen ein Bußgeld in Höhe von 195.000 Euro zahlen. Unter anderem hatte die Firma Auskunfts-, Lösch- und Widerspruchsrechte von Kund:innen missachtet. Das teilt die Berliner Datenschutzbehörde heute in einer Pressemitteilung [PDF] mit. Die Entscheidung ist rechtskräftig. […]
Ausgangspunkt des Verfahrens gegen Delivery Hero waren Beschwerden von Kundinnen und Kunden. Die Datenschutzbehörde berichtet, dass das Unternehmen rechtswidrig Daten von Kund:innen weitergespeichert hat, obwohl diese den Dienst seit Jahren nicht mehr genutzt haben. Kunden hatten sich zudem darüber beschwert, dass Delivery Hero ihren Auskunftsersuchen nicht nachgekommen sei. Ein anderer Kunde soll mehrere Werbemails erhalten haben, obwohl er der Nutzung seiner Daten für Werbezwecke widersprochen hatte.
Die Betroffenenrechte sind ein zentrales Element der Datenschutzgrundverordnung. Wenn Unternehmen nicht in der gegebenen Frist Auskunft geben oder Daten auf Wunsch löschen, können Menschen sich bei Datenschutzbehörden beschweren. Diese prüfen die Fälle und verhängen im Zweifelsfall Strafen oder ordnen Löschungen an. […]
In ihrer Pressemitteilung empfiehlt die Berliner Datenschutzbeauftragte Maja Smoltczyk […] sich rechtzeitig mit Datenschutz auseinanderzusetzen: >>Ich hoffe, dass diese Bußgelder auch auf andere Unternehmen eine mahnende Wirkung entfalten. Wer mit personenbezogenen Daten arbeitet, braucht ein funktionierendes Datenschutzmanagement. Das hilft nicht nur, Bußgelder zu vermeiden, sondern stärkt auch das Vertrauen und die Zufriedenheit der Kundschaft.<< […]
Erst vergangene Woche hatte der Bundesdatenschutzbeauftragte Ulrich Kelber auf der Netzpolitik-Konferenz die Erwartung geäußert, dass auch hierzulange bald Bußgelder in Millionenhöhe zu erwarten seien.“
Die vollständige News inkl. Quellenangaben sowie weiteren Informationen zu den vorgenannten Bussgeldern können Sie als PDF hier herunterladen.