News - DatenschutzProfi24.de

Bußgeld über 30.000 € in Spanien wegen Cookie-Banner

Aufgrund eines Verstoßes gegen das spanische Datenschutzrecht hat die Datenschutzaufsichtsbehörde der Fluggesellschaft Vueling Airlines ein Bußgeld in Höhe von 30.000 Euro ausgesprochen. Ein System zur Auswahl von Cookies auf der Seite bietet die Airline nicht an, wo man per Opt-In eine Cookie-Auswahl treffen kann. Statt dessen sollen die Webseiten-Besucher selber durch Installation von Tools im Browser dafür sorgen, dass Cookies abgelehnt oder akzeptiert werden.

Die spanische Datenschutzaufsichtsbehörde sieht darin einen Verstoß, dass keine technischen Möglichkeiten bereit gestellt werden, dass Cookies beim Besuch der Webseite abgelehnt oder akzeptiert werden.

Das Geschäftsgeheimnisgesetz (GeschGehG) und die Einbindung Externer

Gastbeitrag von Dr. Charlotte Lauser, Rechtsanwältin

Der Schutz personenbezogener Daten bzw. der Schutz der eigenen Unternehmens- und Geschäftsgeheimnisse erlangt dann eine erhöhte Relevanz, wenn Dritten / Externen / freien Mitarbeitern Zugriff auf Daten oder Systeme des eigenen Unternehmens gewährt wird.

Handlungsempfehlung: Einbindung freier Mitarbeiter und anderer externer Dienstleister in das eigene Datenschutz- und Geschäftsgeheimnismanagement

Seit dem 25.05.2018 gilt die DSGVO unmittelbar im deutschen Recht und regelt im Wesentlichen (flankiert durch die Landesdatenschutzgesetze und das BDSG) den Schutz personenbezogener Daten. Während die E-Privacy-Richtlinie immer noch auf sich warten lässt, wurde daneben mit Datum vom 18.04.2019 das neue Geschäftsgeheimnisgesetz (GeschGehG) ausgefertigt. Das Gesetz dient der Umsetzung der Richtlinie EU (2016/943) zum Schutz vertraulichen Know-hows und vertraulicher Geschäftsinformationen vor rechtswidrigen Erwerb sowie rechtswidriger Nutzung bzw. Offenlegung.

Bereits am Namen der Richtlinie (die der Umsetzung des Schutzes von Geschäftsgeheimnisses dient), wird klar ersichtlich, dass die DSGVO (die ja bekanntlich den Schutz personenbezogener Daten zum Ziel hat), und dem neuen Geschäftsgeheimnisgesetz, der gleiche Grundgedanke inne wohnt – nämlich den Schutz von Daten vor der unbefugten Kenntnisnahme und Verarbeitung.

Während das Geheimhaltungsinteresse bzgl. der Geschäftsgeheimnisse im ureigensten Interesse der Unternehmen liegt, dient das Schutzziel der DSGVO dem Zweck, den Betroffenen durch die unbefugte Nutzung Daten durch das Nehmen bzw. durch mangelnde Sicherungsvorkehrungen seiner Daten durch das Unternehmen zu schützen. Entsprechend stellt die DSGVO an die verantwortlichen Stellen ganz bestimmte, zum Teil mit hohen Bußgeldern bewährte Anforderungen. Das GeschGehG sieht auf der anderen Seite unter bestimmten Voraussetzungen Ansprüche auf Schadenersatz des Unternehmens vor.

GeschGehG und externe Dienstleister – das sollten Sie wissen

Für Unternehmen ist es angesichts drohender Bußgelder auf der einen und möglicher Schadenersatzanspruche auf der anderen Seite von großem Interesse, beide Regelungsbereiche in Einklang miteinander in einem unternehmenseigenen Datenschutz- und Geschäftsgeheimnismanagementsystem zu organisieren. Gerade auch unter dem Gesichtspunkt, dass in vielen Geschäftsfeldern verstärkt mit Freelancern oder freien Mitarbeitern gearbeitet wird.

1. Der Zugriff freier Mitarbeiter / externer Dienstleister auf unternehmenseigene Systeme

Häufig werden in der modernen Arbeitswelt freie Mitarbeiter oder externe Dienstleister dergestalt eingegliedert, dass ihnen Zugriff auf die unternehmenseigenen Systeme, z. B. das Intranet etc., entweder von außen oder hausintern gewährleistet wird. In diesem Zusammenhang bestehen für die Unternehmen zwei Problemkreise, nämlich der mögliche Zugriff des freien Mitarbeiters / externen Dienstleisters zum einen auf personenbezogene Daten und zum anderen auf Geschäftsgeheimnisse. Beide Datensätze müssen davor geschützt werden, dass ein unbefugter Dritter von ihnen Kenntnis erlangt.Sinnvollerweise wird dies durch vertragliche Regelungen sowie durch technische und organisatorische Maßnahmen gewährleistet.

2. Vereinbarungen zum Schutz von Unternehmens- und Geschäftsgeheimnissen

Geschäftsgeheimnisse werden seit jeher durch Vertraulichkeitsvereinbarungen (sog. Non-Disclosure-Agreements, (NDAs)), die die Rechte und Pflichten der Parteien bzgl. der vertraulichen Unternehmensinformationen regeln, sichergestellt. Dem Grunde nach ändert sich an diesem Regelungsbedürfnis nichts, allerdings sind bestehende Vertraulichkeitsvereinbarungen auf Ihre Vereinbarkeit mit den Anforderungen des GeschGehG zu überprüfen und ggf. Anpassungen vorzunehmen.

3. Vereinbarung zur Wahrung der Vertraulichkeit personenbezogener Daten

Bzgl. der vertraglichen Regelungen zum Schutz personenbezogener Daten stellt sich die Situation etwas komplizierter dar. Bei den eigenen Mitarbeitern wird, wie vor der Geltung der DSGVO, mit Verpflichtungserklärungen gearbeitet. Dies ist ausreichend, dass der eigene Mitarbeiter ja automatisch ein Teil der verantwortlichen Stelle ist. Dies kann bei externen/freien Mitarbeitern oder Dienstleistern nicht ohne weiteres gesagt werden. Während zum Teil die Frage gestellt wird, ob freie Mitarbeiter als Einzelpersonen Teil der verantwortlichen Stelle sind bzw. sein können, stellt sich diese Frage bei einer externen Firma nicht. Unabhängig davon allerdings, ob man den freien Mitarbeiter als Teil der verantwortlichen Stelle sieht oder nicht, muss der Dritte, der Zugriff auf personenbezogene Daten der verantwortlichen Stelle erhält, zumindest wie ein Mitarbeiter der verantwortlichen Stelle auf die Vertraulichkeit der personenbezogenen Daten verpflichtet werden.

a) Problem der Scheinselbständigkeit

Die Verpflichtung Externer (Dienstleister)/ freier Mitarbeiter auf die Vertraulichkeit kann nur durch vertragliche Regelungen sichergestellt werden, die im Ergebnis bzgl. der Verarbeitung personenbezogener Daten zu einer strikten Weisungsgebundenheit führen. Hierdurch entsteht allerdings bei selbständig tätigen freien Mitarbeitern die Problematik der Scheinselbstständigkeit aufgrund der durch die Verpflichtung entstehenden Weisungsgebundenheit. In der Regel wird diesbezüglich vertreten, dass in der entsprechenden vertraglichen Regelung sicherzustellen ist, dass die Weisungsgebundenheit allein auf die Verarbeitung von personenbezogenen Daten beschränkt ist, und dass der freie Mitarbeiter im Übrigen weisungsunabhängig ist – Rechtsprechung zu diesem Themenkreis steht allerdings noch aus.

b) Problem der gemeinsamen Verantwortlichkeit

Soweit externe Dienstleister Zugriff auf die Systeme der verantwortlichen Stelle erhalten, stellt sich darüber hinaus die Frage, ob hierdurch eine gemeinsame Verantwortlichkeit begründet werden könnte. Je nach Konstellation, z. B. bei Handelsvertretern, kommt eine derartige gemeinsame Verantwortlichkeit durchaus in Betracht, da die Dritten dann ja auch jeweils in eigenem Interesse die Daten verarbeiten. Hier besteht in besonderem Maße Regelungsbedarf für die Unternehmen. Wenn nicht gewünscht ist, dass eine solche gemeinsame Verantwortlichkeit mit der Folge der gesamtschuldnerischen Haftung und den entsprechenden vertraglichen Regelungen entsteht, muss durch vertragliche Vereinbarungen sichergestellt werden, dass die Firma, die als Externer auf die internen Datensysteme Zugriff hat, nicht Herr der Daten wird, sondern am Ende von den Anordnungen der verantwortlichen Stelle abhängig ist. Ganz ähnlich also wie der Auftragsverarbeiter, der der externe Dienstleister ja nicht ist. Diese muss also über Zwecke, Mittel und Dauer der Speicherung am Ende bestimmen können, und zwar ganz unabhängig vom externen Dienstleister.

4. Technische und organisatorische Maßnahmen

Die Vertraulichkeit personenbezogener Daten und von Unternehmens- und Geschäftsgeheimnissen muss ergänzend zu den vertraglichen Regelungen durch technische und organisatorische Maßnahmen sichergestellt werden. Das neue Geschäftsgeheimnisgesetz bildet in diesem Zusammenhang mit seiner neuen Regelungssystematik im Ergebnis eine wertvolle Ergänzung zu Art. 32 DSGVO.

Grund hierfür ist, dass nach der neuen Systematik des GeschGehG ein Geschäftsgeheimnis davon abhängig ist, dass es als solches gekennzeichnet ist. Darüber hinaus ist ein Unternehmen verpflichtet, für Geschäftsgeheimnisse besondere technische und organisatorische Sicherungsmaßnahmen zu ergreifen – eine Terminologie, die aus Art. 32 DSGVO nur zu gut bekannt ist.

Für Unternehmen ist es daher empfehlenswert, ihre Sicherungsmaßnahmen bzgl. personenbezogener Daten mit den Sicherungsmaßnahmen im Zusammenhang mit ihren Geschäftsgeheimnissen korreliert, so dass ein einheitlicher Unternehmenssicherheitsstandard geschaffen wird.

FAZIT

Im Ergebnis kann festgehalten werden, dass sowohl in Bezug auf die Vertraulichkeit von Geschäftsgeheimnissen als auch in Bezug auf die Vertraulichkeit von Datenverarbeitungen, die durch freie Mitarbeiter oder externe Dienstleister vorgenommen werden, ein erhöhtes Maß an Regelungsbedarf besteht, um sowohl den Anforderungen der DSGVO als auch denen des Geschäftsgeheimnisgesetz Rechnung zu tragen. Ergänzend sind die Unternehmen aufgerufen zu prüfen, welchen Stand ihre jeweiligen technischen und organisatorischen Maßnahmen in diesem Zusammenhang aufweisen und ggf. angehalten, hier ein einheitlichen Sicherheitsmanagement zu entwickeln.

 

365 Tage DSGVO – und wir sind noch nicht wirklich viel weiser!

Ein_Jahr_DSGVO

Am 25. Mai feierte die EU-DSGVO ihren 1. Wirk-Geburtstag. Offiziel trat sie ja bereits 2016 in Kraft, entfaltete aber wegen gezogener Schonfrist-Option erst im Mai 2018 ihre volle Wirkung. Es ist daher Zeit für einen Rück- und Ausblick: Was hat sie für den Datenschutz in Deutschland und Europa in dieser Zeit bewirkt, wo geht die weitere Reise hin?

Sagen wir es frei heraus: Trotz vieler Aufbau- und Aktualisierungs-Projekte, zahlreicher Neu- & Erst-Mandatierungen für (externe) Datenschutzbeauftragte, jeder Menge durchgeführter Datenschutz-Schulungen und Kongresse und innerbetrieblicher Abstimmungen und Dokumentationen stehen wir (erwartungsgemäß) immer noch am Anfang. Eine Schätzung für einen wie auch immer gemessenen „Umsetzungsgrad des Datenschutzes“ ist kaum möglich, ein solcher Wert wird aber sicherlich im sehr niedrigen zweistelligen Bereich liegen. Die große Mehrzahl der mittleren und kleineren Unternehmen hat bislang nur wenige bis keine Aspekte des Datenschutzmanagements bei sich implementiert. Auch bei den Großen tun sich die Fachabteilungen nachweislich schwer mit einer effektiven Umsetzung der Vorgaben aus den Datenschutz-Stabsstellen.

Wo ist das Problem?

Die Schuld für diese anscheinend „schleppende“ Umsetzung ist nicht bei der DSGVO selbst zu suchen sondern hat unseres Erachtens andere wesentliche Ursachen:

  • Das Thema Datenschutz ist eigentlich bereits seit mehreren Jahrzehnten gesetzlich bei uns verankert und die inhaltlichen Abweichungen der DSGVO zum bisherigen Datenschutz-Recht in Deutschland sind offensichtlich auch nicht allzu groß (im Wesentlichen mehr Informationspflichten, leicht ausgeweitete Betroffenenrechte und natürlich höhere potenzielle Bußgelder). Das Problem ist, dass diese Regelungen in der Vergangenheit nie wirklich verinnerlicht und implementiert wurden, da bis zur DSGVO kein echtes (Kosten-)Risiko drohte. Daher war und ist das Aufsetzen einer DSGVO-konformen Struktur auch für deutsche Unternehmen eine echte Herkulesaufgabe – und die benötigt eben Zeit.
  • Gerade unterstützende Wirtschafts-Organisationen im Markt – allen voran Verbände und berufsständische Vertretungen – haben nicht oder erst recht spät dafür gesorgt, die in Teilen durchaus komplizierten Regelungen der DSGVO branchengerecht für ihre Mitglieder zu „übersetzen“ und konkrete Handlungsempfehlungen darzustellen. Viele Unternehmen haben dann nach einer als nicht hilfreich empfundenen ersten Anfrage das Thema für sich wieder herunterpriorisiert (sprich: fallengelassen).
  • Die gesetzgebenden Stellen und deren „verlängerter Arm“ (Datenschutzbehörden, Ministerien usw.) haben bisweilen unglücklich kommuniziert: „Verschärfung“, „erhöhte Bußgelder“, „Prüfungen“, „Rechts-Verfahren“ – das verwendete Vokabular hat häufig auf die negativen Aspekte einer gesetzlichen Neuregelung abgehoben, weniger auf die Chancen, die sich aus der Reform ergeben (erhöhte Transparenz im Markt, Angleichung von Wettbewerbsbedingungen innerhalb der EU, besseres Verständnis der eigenen Prozesslandschaft für viele Unternehmen – um nur einige mögliche zu nennen).

Neutrale Berichterstattung zur DSGVO – Fehlanzeige

Die DSGVO hat somit einen durchaus belasteten Start gehabt, da ist es nicht fair zu erwarten, dass man nach einem Jahr „glanzvoll“ dasteht (welche gesetzliche Regelung kann das generell von sich behaupten?).

In die mediale Öffentlichkeit gelangten daneben meist nur überzogene Informationen als Auswirkung der neuen Verordnung:

  • Vereinsvorstände traten gesammelt zurück ob des „unabwägbaren Risikos“ einer persönlichen Haftung
  • Die österreichische „Klingelschild-Posse“ hat für fast schon panische Reaktionen in der Wohnungswirtschaft gesorgt
  • Massenhafte E-Mail-Fluten mit der Bitte um diverse Einwilligungen überschwemmten im Frühjahr 2018 die Postfächer der Kunden (und derjenigen die schon lange keine mehr waren) – viele davon waren selbst nicht Datenschutz-konform, unnötig und im Ergebnis eher kontraproduktiv, da sie den Weg für andere Rechtsgrundlagen verbaut haben

Eine neutrale Berichtserstattung mit fachlich fundierten Aussagen ist leider auch heute noch oft  Mangelware.

Und die ausgesprochenen Bußgelder?

Als ein greifbares Ergebnis sind die bisher ausgesprochenen Bußgelder der zuständigen Landes-Datenschutz-Aufsichtsbehörden zu nennen. In etwa 75 Fällen wurden Zahlungsaufforderungen verschickt, in einer Gesamthöhe von knapp 450.000 EUR – das sind 6.000 EUR im Schnitt. Vor dem Hintergrund der im Vorfeld des Mai 2018 in allen Medien gern zitierten „bis zu 20 Mio. EUR und mehr pro Vorfall“ sind diese faktischen Beträge durchaus als nicht existenzbedrohend zu nennen, auch wenn einzelne betroffene Unternehmen angesichts einer Einzelstrafe von bis zu 80.000 EUR sicher nicht begeistert sein waren. Anzumerken ist hier, dass nur sechs der 16 Aufsichtsbehörden überhaupt solche Strafen ausgesprochen haben, und dies auch durchaus mit ungleicher Häufigkeit (allein 36 Bußgelder in NRW).

Thematisch ist aus den ausgesprochenen Strafen ein Fokus auf die zentralen Datenschutz-Aspekte herauszulesen: Technische Schutzmaßnahmen waren unzureichend, Vereinbarungen zur Auftragsverarbeitung fehlten, Verarbeitungsverzeichnisse waren nicht vorhanden – also durchaus eine erwartbare Ausrichtung. Derartiges kann in der Datenschutzpraxis durchaus bestätigt werden: Sobald es in komplexere Sachverhalte geht oder Detailfragen gestellt sind, wird seitens der Behörden primär beraten oder zuweilen auch auf Grund einer noch unklaren auslegenden Rechtssprechung auf einen späteren Zeitpunkt verwiesen. Die Strafe ist (noch) nicht das erste Mittel bei Lücken.

Ein Grund die Anstrengungen im Datenschutz nun einzustellen?

Mitnichten. Denn zum einen muss es grundsätzlich Ziel des unternehmerischen Risikomanagements sein, offene Flanken je nach Schadenspotenzial so schnell wie möglich zu schließen (die neuen Datenschutz-Regelungen und -Sanktionen gelten ja nun auch schon ein Jahr). Zum zweiten wird die künftige Rechtssprechung eher nicht für eine starke Abmilderung der Anforderungen sorgen, sondern vielmehr für eine Konkretisierung in der Auslegung – aufgeschoben wir definitiv nicht aufgehoben sein.

Wohin sollte aber nun der Fokus gelegt werden?

Natürlich kann es hier keine abschließende „Shortlist“ an ToDos geben, mit denen man sich maximale Sicherheit verschaffen kann, jedoch sollten unseres Erachtens die folgenden Themen kurz- bis mittelfristig in Ihrem Unternehmen eine Rolle spielen:

  • Umfassende Aktivitäten nach Plan: Setzen Sie sich Umsetzungsziele für die Kern-Felder des Datenschutzes und stellen Sie einen Aktions-Plan auf – fehlende Strukturierung ist eine der größten Hürden für effektiven Datenschutz
  • Saubere Datenschutzerklärung auf der Website: Ihre digitale Präsenz ist das erste Einfallstor für etwaige Abmahnungsaktivitäten. Hier lohnt sich demnach eine Investition in eine textliche Darstellung, die die individuellen technischen Module der Website genauso abdeckt wie die Datenschutz-rechtlichen Formal-Erfordernisse. Einfaches Copy-Paste ist keine Option.
  • Möglichst vollständiges und aktuelles Verzeichnis der Verarbeitungen: In dieser Übersicht dürfen keine zentralen Geschäftsprozesse und Systeme mit Bezug zu personenbezogenen Daten fehlen. Sollten einzelne Angaben jedoch noch ausstehen oder die eigenen Bewertungen nicht 100%ig den Vorstellungen einer prüfenden Behörde entsprechen, ist das direkte Strafpotenzial minimal: Durch Nachbesserung wird in den allermeisten Fällen Abhilfe geschaffen werden können. Wenn das Verzeichnis gänzlich fehlt, sind Bußgelder jedoch programmiert.
  • Löschkonzepte entwickeln: Für die zentralen Verarbeitungsprozesse und -systeme muss nicht nur dokumentiert sein, wie personenbezogene Daten darin verarbeitet werden, sondern auch mit welchen Regeln und technischen Prozessen diese daraus wieder entfernt (sprich: gelöscht) werden. Bei einer detaillierten Analyse fallen häufig „Regelungs-Schlupflöcher“ auf, die dann gezielt geschlossen werden können.
  • Betroffenenrechte-Prozess etablieren: Um Datenschutz-konform zu arbeiten, ist die angemessene Beantwortung von Betroffenen-Anfragen unabdingbar. Und damit die Organisation nicht bei jeder Anfrage aufs Neue in Aktivismus verfällt, sollten die Abläufe und Zuständigkeiten im Vorfeld klar festgelegt werden. Dann weiß jeder, was er wann zu tun hat, wodurch wiederum die Reaktionszeiten kurz gehalten werden können.
  • Auftragsverarbeitungen stabil regeln: Dort wo sie nötig sind (Hinweis: sie sind es nicht überall!), müssen saubere Vereinbarungen zur Auftragsverarbeitung abgeschlossen werden. Seien Sie streng zu sich selbst: Wenn eine solche Vereinbarung mit Ihrem Dienstleister nicht in angemessener Zeit erfolgt (weil dieser sich bspw. weigert), dann suchen Sie sich eine Alternative! Eine solche konsequente Haltung hat schon manchen zur Einsicht gebracht…
  • Technische & organisatorische Maßnahmen (TOMs) auf den aktuellen Stand bringen: Sie speichern Kundenkennworte noch unverschlüsselt ab? Sie haben keine schriftlichen internen Regelungen zur IT-Nutzung? E-Mail-Verschlüsselung ist für Sie generell ein Fremdwort? Dann sollten Sie schleunigst nachjustieren. Stellen Sie die zentralen Systeme auf den Prüfstand und passen Sie sie dort an, wo sie den Stand der Technik nicht erfüllen.

Fazit

Vieles ist noch ungewiss und obliegt der eigenen Einschätzung und Risikoorientierung. Mit der EU-DSGVO wird es aber ein bisschen wie mit den eigenen Kindern sein: Je „reifer“ sie in den nächsten Jahren wird, desto planbarer wird auch der Umgang mit ihr werden. Bleiben Sie dran!

 



Florian Padberg - ext. Datenschutzbeauftragter

Florian Padberg –  Datenschutzauditor

Sie möchten endlich Klarheit beim Thema Datenschutz für Ihr Unternehmen? Wir beraten Sie gerne zu Ihren individuellen Problemstellungen. Kontaktieren Sie uns!

Zum Kontaktformular

 

 


ituso Beratertag – konkrete Lösungen für konkrete Herausforderungen

Unternehmer möchten konkrete Lösungen für IHR Unternehmen und IHR Problem.
Nicht welche, die für alle Unternehmen gelten.

Beim Beratertag gehen wir zu 100 % auf Ihren Datenschutz in Ihrem Unternehmen ein. Wir sichten Ihre Dokumente, analysieren Ihren Datenschutz und die Lücken, schulen Ihre Mitarbeiter, erarbeiteten einen konkreten Maßnahmenplan und vieles mehr.

Jetzt informieren >>>

DSGVO-Bußgelder: Schonfrist ist vorbei

Bussgelder_DSGVO

Als am 25.Mai 2018 die EU-DSGVO endgültig in Kraft trat, waren die Befürchtungen seitens der Unternehmen groß, dass von nun an selbst bei kleinsten Verstößen gegen den Datenschutz Abmahnungen erfolgen und Bußgelder verhängt werden. Die befürchtete große Abmahn- und Bußgeldwelle ist bisher ausgeblieben, so der Anschein. Kommt Sie 2019 auf uns zu? Einige Aussagen der Aufsichtsbehörden deuten ganz darauf hin, dass die Schonfrist entgültig vorbei ist.

Erhöhte Abmahnaktivität und Bußgeldwelle

Die befürchtete große Abmahnwelle ist zumindest bisher nicht eingetreten. Allerdings war eine erhöhte Abmahnaktivität seit Mai 2018 feststellbar. Diese bezog sich jedoch in den allermeisten Fällen auf den UWG-Tatbestand von fehlenden oder mangelhaften Datenschutzerklärungen auf den Websites der abgemahnten Unternehmen und nicht auf interne Datenschutz-Prozesse wie Technisch-organisatorische Maßnahmen, Verzeichnisse von Verarbeitungstätigkeiten oder Verträge zur Auftragsverarbeitung. Mitverantwortlich für diese Situation war sicher auch, dass in Datenschutzkreisen intensiv diskutiert wurde, ob Abmahnungen basierend auf der DSGVO aktuell überhaupt zulässig seien.

Die Behörden haben alle Hände voll zu tun, Beschwerden zu bearbeiten. So sind beispielsweise in Baden Württemberg die Beschwerden im letzten Jahr von 2.500 auf 5.000 hochgegangen. Die Behörden recherchieren nach Datenschutzverstößen im Internet oder kontrollieren vor Ort. Es melden sich aber auch viele Menschen wie Kunden, Arbeitnehmer, Geschäftspartner oder Wettbewerber aktiv mit Beschwerden, denen nachgegangen wird. Die Behörden brauchen dabei ein bisschen Zeit und sind personell unterschiedlich aufgestellt. Ein Bußgeldverfahren ist unter drei bis vier Monaten nicht abzuwickeln, was aktuell die geringe Quote von Überprüfungen zu Bußgeldbescheiden darstellt.

Bisher verhängte Bußgelder wegen DSGVO Verstößen in Deutschland

Es wurden bisher bundesweit 41 Bußgelder auf Grund Verstößen gegen die DSGVO, so das Handelsblatt. Demnach entfallen auf das Land Nordrhein-Westfalen mit 33 Bußgeld-Bescheiden zwar quantitativ die meisten Bußgeld-Auflagen, aber mit einer Gesamthöhe von knapp 15.000 € fallen sie eher gering aus. Danach kommt die Hansestadt Hamburg mit bisher drei verhängten Bußgeldern, wobei der ein Fall ein Unternehmen betrifft, welches wegen eines fehlenden Auftragsverarbeitungsvertrag (AVV) ein Bußgeld in Höhe von 5.000 € bezahlen musste.

Es folgen Baden-Württemberg und Berlin mit jeweils zwei verhängten Bußgeldern und das Saarland mit einem verhängten Bußgeld. Die höchsten Bußgeld-Bescheide kommen dabei aus Baden-Württemberg, wo Strafen in Höhe von 20.000 € und 80.000 € – das bisher höchste in Deutschland – verhängt wurden. Bei letzteren Fall landeten besonders schützenswerte Gesundheitsdaten aufgrund unzureichender interner Kontrollmechanismen im Internet.

Bekannt geworden ist vor kurzem zudem, dass in Frankreich über Google ein Bußgeld in Höhe von 50 Millionen € verhängt wurde. Der Grund: Google halte sich nicht an die Datenschutzgrundverordnung, wenn Android-Nutzer neue Smartphones einrichten, heißt es in der Erklärung der französischen Datenschutzbehörde CNIL. Ein Krankenhaus in Portugal musste 400.000 € Strafe zahlen, weil nicht autorisierte Personen Zugriff auf Patientendaten hatten.

Vorsicht bei der Auftragsverarbeitung

Bei jeder Verarbeitung von personenbezogenen Daten durch einen Dritten muss zwingend ein zusätzlicher Vertrag zum Datenschutz (Auftragsverarbeitungsvertrag) geschlossen werden. Dieser regelt unter anderem Details zu den technischen und organisatorischen Maßnahmen, also wie und durch welche Maßnahmen die personenbezogenen Daten beim Unternehmen geschützt werden. In dem Fall wurden schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt, was zu dem genannten Bußgeld von 5.000€ geführt hat.

DSGVO Sanktionen: Was erwartet uns 2019?

Es ist zu erwarten, dass die bisher eher zurückhaltend verhängten Bußgelder in Zukunft merklich ansteigen werden. Beispielsweise hat das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) bisher keinerlei Bußgelder verhängt. Es sollen sich aber 85 Verfahren in Bearbeitung befinden, wobei davon ausgegangen werden kann, dass einige dieser Verfahren zu einer Bußgeld-Anordnung führen werden.

Baden-Württembergs Datenschutzbeauftragter Stefan Brink erklärt in einem Interview mit dem Spiegel, dass Fehler jetzt teuer werden. Es ist eine ausführliche Beratung betrieben worden, es gibt kein Unternehmen mehr, das nicht von der DSGVO gehört hätte. Unternehmen, die noch immer auf Lücke setzen, begeben sich auf ein sehr dünnes Eis. “2019 wird das Jahr der Kontrolle”, betont Stefan Brink in einem weiteren Interview weiter. Seine Behörde werde angekündigte und unangekündigte Kontrollen vornehmen. Im Visier stehen dabei vor allem Social-Media-Unternehmen und Unternehmen, die große Mengen an sensiblen Daten verwalten.

Kann man die Höhe der Bußgelder beeinflussen?

Nicht wirklich, dennoch wird ein kooperatives oder vorsätzliches Handeln berücksichtigt. So musste das Unternehmen Knuddels.de beispielsweise nach einem Hackerangriff „nur“ 20.000 € Strafe zahlen, da sie sich sehr kooperativ zeigten und aktiv an die Behörde wandten. Bei der Höhe des Bußgeldes wurde außerdem berücksichtigt, dass das Unternehmen einen sechsstelligen Betrag in die Verbesserung der Sicherheit investierte. Ein anderes Unternehmen musste 80.000 € bezahlen, weil der Fall insgesamt gravierender war und sensibelste Daten (Gesundheit, Krankheiten etc.) öffentlich abrufbar waren.

 

Zusammenfassend lässt sich sagen, dass die scheinbar bisher angewandte Schonfrist für Unternehmen vorbei ist und diese nun bei Verstößen gegen die DSGVO und das BDSG-neu teilweise kräftig zur Kasse gebeten werden. Wer sich bisher immer noch nicht um den Aufbau seines Datenschutzmanagements gekümmert hat, sollte nun definitiv aktiv werden – das Risiko wächst.


Wenn Sie nicht sicher sind, ob Ihr Unternehmen alle Datenschutz-Anforderungen erfüllt kontaktieren Sie uns einfach. Wir helfen Ihnen gern!

Zum Kontaktformular

 

Japan ist nun ein sicheres Drittland

Japan-Sicheres_Drittland

Japan hat am 23.01.2019 durch Erlass eines Angemessenheitsbeschlusses der europäischen Kommission den Status eines sicheren Drittlandes bekommen. Dadurch ist der Abschluss von Standardvertragklauseln oder Corporate Binding Rules mit japanischen Unternehmen für den Datentransfer von personenbezogenen Daten nicht mehr notwendig.

Ulrich Kelber neuer Bundesdatenschutzbeauftrager auf Januar 2019

Ulrich Kelber wird im Januar 2019 die Nachfolge von Andrea Voßhoff als Bundesdatenschutzbeauftragter antreten. Die Amtszeit beträgt dabei 5 Jahre. Ulrich Kelber ist seit 18 jahren Abgeordneter für die SPD. Von 2013 bis März 2018 war Herr Kelber parlamentarischer Staatssekretär im Bundesverbraucherministerium. Wir wünschen ihm viel Glück bei der schweren Aufgabe.

erstes Bußgeld nach EU-DSGVO verhängt

Nun ist es passiert. Das erste Bußgeld nach der EU-DSGVO wurde in Deutschland verhängt, nachdem die EU-Datenschutzgrundverordnung bereits am 25.05.2018 ihre Wirkung entfaltet hat. Dabei hat es die Chatplattform knuddels.de getroffen. Das Online-Portal wurde im Sommer gehackt, weil lt. Berichten die Kundenpasswörter im Klartext gespeichert wurden. Durch diesen Hack wurden dann hundertausende Email-Adressen mit Passwörtern ins Internet gestellt.

Der Landesdatenschutzbeauftragte für den Datenschutz und die Informationsfreiheit in Baden-Württemberg verhängte nun gegen den Betreiber ein Bußgeld on Höhe von 20.000,- € wegen des Verstoßes gegen die vorgeschriebene Datensicherheit in Art.32 EU-DSGVO. Das Bußgeld ist dabei sicher auch so gering ausgefallen, da sich das Unternehmen an die entsprechenden Meldefristen gehalten hat und mit der Aufsichtsbehörde in vollen Umfang zusammen gearbeitet hat statt den Vorfall oder Einzelheiten zu vertuschen.

Das neue Datenschutzrecht am Beispiel IoT (Internet of Things)

IoT und der Datenschutz: Am 16. Juli 2018 trafen sich etwa 25 Mitglieder des Vereins Deutscher Ingenieure (VDI) des Arbeitskreises „Technischer Vertrieb & Produktmanagement“ am Standort Garching der TUM, um sich über die neuen Datenschutz-Regelungen am Beispiel einer echten Zukunftsbranche: dem „Internet of Things“ zu informieren.

Der Referent Florian G. Padberg, seines Zeichens Diplom-Kaufmann, Vertriebs-Consultant und Datenschutz-Experte der ituso GmbH, schuf zunächst die nötigen Grundlagen, um das Thema „Datenschutz“ richtig einordnen und von anderen Disziplinen wie etwa der IT-Sicherheit sauber abgrenzen zu können. Denn im Datenschutz geht es um die Missbrauchsvermeidung bzgl. sog. „Personenbezogener Daten“ (pbD) wie etwa Namen, Adress- und Kontaktdaten, aber auch Gesundheitsdaten oder Daten zur politischen Gesinnung. Im Sinne des Datenschutzrechts dürfen diese Daten durch Unternehmen nur auf Basis definierter Rechtsgrundlagen und unter Einhaltung bestimmter technischer und organisatorischer Maßnahmen verarbeitet werden – wobei die „Verarbeitung“ bereits bei der Erfassung anfängt und erst mit der Vernichtung der Daten endet.

Die neue EU-Datenschutzgrundverordnung (EU-DSGVO), die seit 25. Mai 2018 ihre Wirkung entfaltet, schafft einen stärker vereinheitlichten Datenschutz-Rechtsraum. Dieser gilt – und das ist eine der Kern-Neuerungen – nach dem „Marktortprinzip“ auch für Nicht-EU-Konzerne, sobald sie in Europa aktiv sind. Die EU-DSGVO bringt insbesondere höhere Transparenz- und Informationspflichten sowie einen verschärften Strafkatalog mit sich. Saubere Einwilligungen zur Verarbeitung personenbezogener Daten einholen, die Dienstleister vertraglich einbinden sowie die Geschäftsprozesse (insbesondere den Akquise- & Vertriebsprozess) auf Datenschutz-relevante Aspekte prüfen sind die Hauptaufgaben, die ein Unternehmen nun priorisiert angehen muss.

IoT Definition: Was bedeutet “Internet of Things”?

Das „Internet of Things“ oder kurz IoT genannt (übersetzt “Internet der Dinge”) ermöglicht durch Vernetzung und Anbindung von Geräten und Gegenständen an das World Wide Web einen intensiven Datenaustausch. Alltagsgeräte wie beispielsweise Fernseher, die Waschmaschine oder Kühlschränke werden damit zunehmend zu “intelligenten Gegenständen”. Smarte Anwendungen rund um zeitlich und/oder lokal abgestimmte, individualisierte Dienste werden effizient machbar. Der Anwendungsbereich ist vielfältig: es können Informationen eingeholt werden, automatische Bestellungen ausgelöst werden bis hin zu definierten Notfallfunktionen. In einer immer technisierteren und nach Individualität strebenden Welt ist IoT damit einer DER potenzialstärksten Märkte überhaupt.

“Internet of Things” und der Datenschutz

Dass Datenschutz auch und gerade im hochvernetzten und dynamisch wachsenden IoT-Markt immer relevanter wird, zeigen nicht nur die Bedenken der Konsumenten, bei denen die Gefährdung der Privatsphäre weit oben rangiert. Auch die immanenten Komplexitätstreiber des Geschäftsmodells wie zahlreiche Marktbeteiligte, die Menge an möglichen Datenquellen, -transportwegen und –zielen, oder (noch) nicht vollständig geklärte Verantwortlichkeiten zeugen davon, dass in diesem Markt die eine oder andere „Stolperfalle“ droht.

Beim Smart Car beispielsweise müssen die unterschiedlichen Interessen der beteiligten Player (Autohersteller, Versicherungen, Location-based-Services-Anbieter usw.) in Einklang gebracht werden mit den Transparenz- und Schutzanforderungen der Konsumenten: Was wird mit MEINEN Daten angestellt, wo werden sie verarbeitet, wer bekommt welchen Teil davon? Hier ist bspw. ein klares, umfassendes und dennoch einfach handhabbares Einwilligungs-Management nötig. Im Smart Home hängt es davon ab, wie genau die Verbrauchsinformationen der schlauen Zähler auf einzelne Personen zurückführbar sind. Die damit möglichen Ableitungen aus den erhobenen Daten sieht man als Verbraucher ggf. nicht gerne.

Der Abend wurde nach intensiver Diskussion mit dem Fazit geschlossen, dass gerade der Vertrieb durch einen offensiven und transparenten Umgang mit dem Thema Vertrauen aufbauen und so langfristige Kundenbeziehungen und damit auch Umsatzpotenziale schaffen kann.

Das Magazin “Technik in Bayern8” veröffentlichte dazu in der Ausgabe 06/2018 einen Bericht. Zum Auszug des Magazins hier klicken.

Weitere Informationen zum Referenten Florian Padberg über LinkedIn, Xing

Datenschutz im Online-Marketing: Erste Auswirkungen der neuen Datenschutzgrundverordnung

Am 24.05.2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft getreten. Schon im Vorfeld hat sie für viel Wirbel und Unsicherheit bei Website-Betreibern gesorgt. Tatsächlich wurden bereits erste Abmahnungen verschickt, eine große Abmahnwelle ist bisher jedoch ausgeblieben. Ob die aktuellen Abmahnungen berechtigt sind, lässt sich derzeit noch nicht in Gänze beurteilen, da die DSGVO noch neu ist und es noch keine Urteile existieren.

Abgemahnt wurde bisher aus folgenden Gründen:

Website verfügt über keine Datenschutzerklärung

Die Datenschutzerklärung auf der Website war schon vor der DSGVO Pflicht. Sie muss nun an die Vorgaben dieser Verordnung angepasst werden. Die neuen Informationspflichten sind in Art. 13 DSGVO festgelegt. Sie gelten, sobald personenbezogene Daten natürlicher Personen verarbeitet werden. Außerdem wird gefordert, dass die Datenschutzerklärung verständlich, also in einer klaren, einfachen Sprache verfasst und leicht zugänglich ist.

Fehlerhafte Einbindung von Google Analytics

Bei einer Abmahnung in Zusammenhang mit dem Nutzeranalyse-Tool Google Analytics werden z. B. die fehlende IP-Anonymisierung, fehlende Opt-Out-Möglichkeiten moniert und dass die Nutzung von Google Analytics in der Datenschutzerklärung nicht erwähnt wird.

Seitenbetreiber müssen auf eine rechts- und datenschutzkonforme Einbindung von Tools und Plugins achten. Hierbei sind beispielsweise folgende Punkte zu beachten: Wer als Betreiber einer Webseite Google Analytics datenschutzkonform nutzen will, muss mit Google einen schriftlichen Vertrag über die „Auftragsdatenverarbeitung“ abschließen. Des Weiteren ist eine Anonymisierung der IP-Adressen aller Nutzer erforderlich. Vergessen Sie bitte nicht, Ihre Datenschutzerklärung auf der Website entsprechend anzupassen und darin über die Speicherung und Verarbeitung von Nutzer-Daten via Google Analytics hinzuweisen.

Einbindung von Facebook-Like- und Share-Buttons

Ein weiterer heikler Punkt ist die Einbindung z. B. von Facebook-Buttons zum Liken oder Teilen von Inhalten und Seiten. Plugins von Unternehmen, die sofort bei Seitenaufruf Daten übertragen, sollten daher vermieden werden. Stattdessen bietet sich eine Verlinkung auf die entsprechende Social Media Plattform oder die Nutzung datenschutzkonformer Tools wie shariff an.

Fazit

Noch sind viele Fragen zur neuen DSGVO nicht abschließend geklärt. Auch bleibt abzuwarten, wie sich die Rechtsprechung zu Einzelfragen positioniert. Hiervon und auch von den jeweiligen Umständen hängt es ab, ob Seitenbetreiber eine Abmahnung bezahlen müssen oder nicht. Bis dahin gilt es, Ruhe zu bewahren. Unterschreiben Sie eine Unterlassungserklärung nicht voreilig. Vielmehr ist im Falle einer Abmahnung eine juristische Beratung durch einen Spezialisten empfehlenswert.

Weitere Informationen zum Datenschutz im Onliner-Marketing finden Sie im folgenden Ratgeber: https://www.datenschutz.org/online-marketing/

Ein Textbeitrag des Berufsverbands der Rechtsjournalisten e.V.

Die Informationspflichten nach EU-DSGVO

Die Informationspflichten nach EU-DSGVO Art. 13 und 14 sehen erweiterte, teilweise über die bisherigen Pflichten des BDSG erheblich hinausgehende Auskunftspflichten vor.

Was sich im Wesentlichen ändert betrifft vorwiegend die folgenden Punkte.

Es reicht nicht mehr lediglich die reine Angabe der Identität der verantwortlichen Stelle aus, es müssen künftig sowohl Kontaktdaten des für die Verarbeitung Verantwortlichen und ggf. seines Vertreters, sondern auch die Kontaktdaten des Datenschutzbeauftragten angegeben werden, insofern ein solcher bestellt wurde.

Eine Benennung der Rechtsgrundlage, auf der die Datenerhebung basiert und das berechtigte Interesse der verantwortlichen Stelle muss dem Betroffenen bekannt gemacht werden, ebenso die Kategorien von Empfängern der personenbezogenen Daten. Völlig neu ist die Informationspflicht bezüglich der Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation.

Darüber hinaus werden in der Grundverordnung die Bekanntmachung weiterer Informationen vorgeschrieben. Der für die Verarbeitung Verantwortliche hat hiernach neuerdings über die Dauer der Speicherung oder falls dies nicht möglich ist, über die Kriterien der Festlegung der Dauer zu informieren. Zu informieren ist zudem über Betroffenenrechte wie Auskunfts-, Berichtigungs-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht auf Datenübertragbarkeit.

Der Betroffene muss darauf hingewiesen werden, dass er bei Erteilung einer Einwilligung diese jederzeit widerrufen kann, ohne dass die Rechtmäßigkeit der bis dahin vorgenommenen Verarbeitung entfällt. Er ist zudem über seine Beschwerderechte bei der Aufsichtsbehörde und über die möglichen Folgen der Nichtbereitstellung in Kenntnis zu setzen.

Sollte eine automatisierte Entscheidungsfindung einschließlich dem sog. Profiling stattfinden, müssen dem Betroffenen aussagekräftigte Informationen über die verwendete Logik, die Tragweite und angestrebten Auswirkungen einer derartigen Verarbeitung mitgeteilt werden und möchte der für die Verarbeitung Verantwortliche Daten für einen anderen Zweck weiterverarbeiten, als er die Daten ursprünglich erhoben hat, so muss er ab Geltung der Verordnung die betroffenen Personen vor der Weiterverarbeitung über diesen anderen Zweck informieren.

Es handelt sich hier um eine große Bandbreite an Verpflichtungen die der Gesetzgeber der verantwortlichen Stelle auferlegt hat. Vielen wird die Tragweite jetzt erst klar, je mehr sie sich mit der Thematik Datenschutz befassen. Aber auch bei diesem Thema wird Sie Ihr Datenschutzbeauftragter gerne informieren.