5,06 Mio. € Bußgeld wegen unzureichender technischer und organisatorischer Maßnahmen

27. Oktober 2022|

Die Datenschutzbehörde ICO hat gegen ein britisches Bauunternehmen wegen einer Datenpanne ein Bußgeld in Millionenhöhe verhangen. Nachdem ein Mitarbeiter eine Phishing-Mail geöffnet hat, konnten Hacker Zugriff auf sensible Daten von 113.000 Beschäftigen erhalten. Das Virenschutzprogramm hatte zwar den Angriff erkannt, es wurden jedoch keine weitergehenden Untersuchungen eingeleitet. Aus diesem Grund erhielten die Hacker unbemerkt weiter Zugriff auf die Daten. Die schließlich eingeleiteten Untersuchungen stellten heraus, dass das Unternehmen keine ausreichenden TOM implementiert hatte, sondern vielmehr ein unsicheres Betriebssystem nebst einem veralteten Virenschutz nutzte. Der Vorfall zeigt, wie wichtig die Implementierung der angemessenen TOM und eine regelmäßige Schulung der Mitarbeiter [...]

Microsoft veröffentlicht aktualisierten AV-Vertrag

28. September 2022|

Der US-Konzern Microsoft hat seinen überarbeiteten Auftragsverarbeitungsvertrag "Microsoft Products and Services Data Protection Addendum" (DPA) (Stand 15. September 2022) seinen Kunden zum Download zur Verfügung gestellt zu haben. Zur Einhaltung der Dokumentationspflichten ist es wichtig, diesen zeitnah herunterzuladen und seinem AV-Verzeichnis beizufügen. Erfreulicherweise folgt Microsoft mit der Anpassung seines AV-Vertrages den mehrfach von den Aufsichtsbehörden geäußerten Kritikpunkten und nähert sich somit den Vorgaben der DSGVO an. Es wurde unter anderem genauer dargestellt, welche Daten zu eigenen Zwecken genutzt werden und ein Verweis auf die neuen Standardvertragsklauseln genommen. Die datenschutzkonforme Nutzung von Microsoft bleibt weiterhin eine Herausforderung, ist aber möglich!

Datenschutzbehörde verhängt Millionen-Bußgeld gegen Instagram

22. September 2022|

Instagram wurde als Teil des Meta-Konzerns ein Bußgeld in Höhe von 405 Mio. Euro auferlegt. Grund dafür sei der unzureichende Schutz von personenbezogenen Daten Minderjähriger. Diesen war es erlaubt, Geschäftskonten zu eröffnen, auf welchen die Kontaktdaten wie Telefonnummer und E-Mail-Adresse veröffentlich werden konnten. Bereits 2020 wurde festgestellt, dass Instagram-Profile Minderjähriger standardmäßig öffentlich sichtbar sind. Diese beiden Verstöße veranlassten die irische Datenschutzbehörde jetzt zur Verhängung einer derartigen Strafe. Der Meta-Konzern hat bereits jetzt angekündigt, gegen die Entscheidung vorzugehen.

Bundesarbeitsgericht: Arbeitgeber müssen Arbeitszeit erfassen

14. September 2022|

Nach einer Entscheidung des BAG (Beschluss vom 13.9.2022, Az.: 1 ABR 22/21) müssen Arbeitgeber ein System einführen, mit dem die von den Arbeitnehmern geleistete Arbeitszeit erfasst werden kann. Das Gericht beruft sich dabei auf eine allgemeine Norm des Arbeitsschutzgesetzes und legt diese im Sinne des sog. „Stechuhren-Urteils“ des Europäischen Gerichtshofs von 2019 aus. Die Vorgabe des EuGH zur Einführung einer objektiven, verlässlichen Arbeitszeiterfassung hat der deutsche Gesetzgeber bisher nicht umgesetzt. Bei Fragen zu den Auswirkungen der Gerichtsentscheidung auf Ihr Unternehmen setzen Sie sich gern mit unserem Team in Verbindung!

Versand von E-Rezept QR-Codes via E-Mail oder SMS ist nicht datenschutzkonform

6. September 2022|

Nach Einführung der Möglichkeit der neuen E-Rezepte mittels QR-Code hat die Datenschutzbehörde in Schleswig-Holstein nun zum Versand via E-Mail und SMS Stellung genommen. Zusammen mit dem QR-Code werden Name der versicherten Person, Geburtsdatum, Kontaktdaten des Arztes, Ausstellungdatum und das verschreibungspflichtige Arzneimittel übermittelt. Die unverschlüsselte Übermittlung dieser Daten erhöhe das Risiko, missbräuchlich mit diesen umzugehen. Nach Auffassung der Datenschutzbehörde verstößt ein solcher Versand gegen Art. 32 DSGVO. Es sind einzelfallabhängig geeignete technische und organisatorische Maßnahmen zu ergreifen, die ein angemessenes Schutzniveau gewährleisten. Eine Einwilligung zum Versand ist nicht ausreichend, da es sich um eine objektive Rechtspflicht handelt. [...]

Bundeskabinett beschließt Hinweisgeberschutzgesetz

12. August 2022|

Nachdem im Januar ein entsprechendes Vertragsverletzungsverfahren eingeleitet worden ist, hat das Bundeskabinett am 27.07.2022 den Entwurf des Hinweisgeberschutzgesetzes beschlossen. Kernstück des Gesetzes ist die Einrichtung der interne und externe Meldestelle von Verstößen. Das Gesetz tangiert sowohl die Privatwirtschaft als auch den gesamtöffentlichen Sektor mit mindestens 50 Beschäftigen. Unternehmen mit mehr als 250 Beschäftigten müssen diese Regelung sofort ab Inkrafttreten des Gesetzes umsetzen. Bis zum 17.12.2023 muss die Beschwerdestelle in Unternehmen mit 50 bis 249 Mitarbeitern eingerichtet, bzw. die Vorgaben des Gesetzes umgesetzt, werden. Das Gesetz tritt drei Monate nach Verkündung (geplant noch 2022) im Bundesgesetzblatt in Kraft.  [...]

Geschäftsführer sind verpflichtet Compliance Management System einzurichten

1. August 2022|

Geschäftsführer sind zur Einrichtung eines Compliance Management Systems verpflichtet, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern. Dies hat das OLG Nürnberg in seiner Entscheidung vom 30.03.2022 ausdrücklich bestätigt (Az. 12 U 1520/19). Nach dem Gericht liegt eine Pflichtverletzung schon dann vor, wenn durch unzureichende Organisation, Anleitung bzw. Kontrolle Mitarbeitern der Gesellschaft Straftaten oder sonstige Fehlhandlungen ermöglicht oder auch nur erleichtert werden. Dabei haftet der Geschäftsführer nicht nur gegenüber seiner eigenen GmbH, sondern kann im Falle einer GmbH und Co. KG u.U. auch unmittelbar von der Kommanditgesellschaft in Anspruch genommen werden.

Kein Auskunftsanspruch zur Verbesserung der Beweislage

27. Juli 2022|

Das LG Frankenthal hat in einem aktuellen Urteil die Grenzen des Auskunftsanspruchs gem. Art. 15 DSGVO aufgezeigt. Im vorliegenden Fall (1 HK O 4/19) stellte ein ehemaliges Vorstandsmitglied Widerklage und beantragte einen Auskunftsanspruch gegen die klägerische Aktiengesellschaft. Das Gericht ging allerdings davon aus, dass dieser nicht dem eigentlichen Zweck des Auskunftsanspruchs – die Überprüfung der Verarbeitung seiner personenbezogenen Daten – verfolge, sondern lediglich seine Verteidigungsposition durch den Erhalt etwaiger Informationen verbessern wolle. Das Gericht lehnte den Anspruch ab.

OLG Dresden: Recht auf informationelle Selbstbestimmung geht gesetzlichen Aufbewahrungspflichten vor

20. Mai 2022|

In seiner Entscheidung vom 14.12.2021 stellt das OLG Dresden nun klar, dass, auch wenn gesetzliche Aufbewahrungspflichten vorliegen, trotzdem eine berechtigte DSGVO-Löschung der Daten Vorrang habe. Gegenstand der Klage war ein außergerichtliches Aufforderungsschreiben eines Inkassounternehmens gegen einen vermeintlichen Schuldner, der den gleichen Namen wie der eigentliche Schuldner trägt. Dieser forderte, nachdem das Versehen aufgedeckt worden war, die Löschung seiner Daten. Das beklagte Inkassounternehmen lehnte dies mit Verweis auf die Aufbewahrungspflichten gem. § 148 AO ab. Das OLG Dresden gab nun dem Kläger in diesem Punkt Recht und verurteilte die Beklagte zur Löschung und Unterlassung der Verarbeitung der Daten des Klägers. 

EuGH macht Weg für Verbandsklagen wegen Datenschutzverstößen frei

2. Mai 2022|

Der EuGH hat am 28.04.2022 entschieden, dass Klagen von Verbänden gegen Datenschutzverstöße auch dann zulässig sind, wenn eine Verletzung von Rechten konkreter Personen nicht festgestellt wurde und auch kein Auftrag zur Klageerhebung vorliegt. Es reicht demnach also aus, dass lediglich abstrakt gegen geltende Datenschutzregelungen verstoßen wird, ohne dass eine Person individuell in ihren Rechten verletzt ist. Der BGH hatte daran Zweifel und hielt eine ausschließliche Zuständigkeit der Aufsichtsbehörden für möglich. Der EuGH hat nun ausdrücklich klargestellt, dass die Klagebefugnis von Verbänden keine konkrete Verletzung eines Betroffenen voraussetzt und insoweit bereits das öffentliche Interesse an einer Ahndung von Datenschutzverstößen genügt.

Erste Maßnahme zur Umsetzung der “Schrems II”-Entscheidung wegen Datenschutzverstößen gegen das Europäische Parlament

29. März 2022|

Der Europäische Datenschutzbeauftragte (EDSB) hat eine Unterlassungsanordnung gegen das Europäische Parlament wegen des Betreibens einer COVID-Testseite erlassen. Im Januar 2021 wurde von 6 Mitgliedern des Europäischen Parlaments Beschwerde gegen die o.g. Seite wegen diverser Datenschutzverstöße, wie etwa einem irreführendem Cookie-Banner und illegaler Datenübermittlung in die USA, erhoben. Die Datenübermittlung aus der EU in die USA ist nach der Schrems II-Entscheidung des EuGH an strenge Schutzmaßnahmen geknüpft. Im vorliegenden Fall waren diese nicht gegeben. Der EDSB sprach deshalb eine Verwarnung und eine Unterlassungsanordnung gegen die Nutzung der Website mit einer Frist von einem Monat aus. 

8 Mio. € Bußgeld wegen diverser Verstöße gegen die DSGVO

21. März 2022|

Der REWE International AG werden diverse Verstöße nach der DSGVO vorgeworfen. Aus diesem Grund verhängte nun die österreichische Datenschutzbehörde ein Bußgeld in Höhe von 8 Mio. € gegen den Konzern. Grund sind von der Behörde festgestellte Datenschutzverstöße bei Jö-Bonus Club, dem gemeinsamen Kundenbindungsprogramm von REWE und weiteren Partnern. Zentrale Frage ist, wer im vorliegenden Fall Verantwortlicher i.S.d. Art. 83 DSGVO ist. Einzelheiten des Bußgeldbescheides sind bislang noch nicht bekannt. Es bleibt abzuwarten, ob REWE – wie angekündigt - gegen den Bescheid Rechtsmittel einlegen wird. 

Schadensersatz nach dynamischer Nutzung von Google Fonts ohne Einwilligung

1. März 2022|

Bei der dynamischen Nutzung von Google Fonts (Auswahl an Schriftarten bereitgestellt von Google) wird bei jedem Aufruf der Website eine Verbindung zum Google-Server aufgebaut, um die ausgewählte Schriftart zu laden. Dabei wird mindestens die IP-Adresse des Webseitenbesuchers an Google gesendet. Fehlt es an einer Einwilligung zur Übersendung der IP-Adresse des Webseitenbesuchers (z.B. über einen Consent-Banner), liegt eine Verletzung des allgemeinen Persönlichkeitsrechts in Form des informationellen Selbstbestimmungsrechts vor. Dies führte in einem aktuellen Fall vor dem Landgericht München I zu einem Unterlassungsanspruch nebst Schadensersatz. Eine Berufung auf das berechtigte Interesse des Webseitenbesitzers blieb erfolglos.

Unsichere Datenverarbeitung führt zu 400.000,00 € DSGVO-Bußgeld

27. Januar 2022|

Eine niederländische Fluggesellschaft ist Opfer eines Hackerangriffs geworden, bei dem personenbezogene Daten von rund 83.000 Fluggästen heruntergeladen worden. Die Fluggesellschaft machte es den Hackern leicht, da sie lediglich ein Passwort für ihr System verwendete, welches dazu noch einfach zu knacken war. Die niederländische Datenschutzbehörde verhängte aus diesem Grund gegen die Fluggesellschaft ein Bußgeld in Höhe von 400.000,00 € und stützt sich dabei auf Art. 32 DSGVO. Jedes Unternehmen ist verpflichtet, unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. 

Grenze des DSGVO-Auskunftsbegehrens bei Rechtsmissbrauch

19. Januar 2022|

Das LG Krefeld setzte in seiner Entscheidung vom 06. Oktober 2021 klare Grenzen für den Auskunftsanspruch gem. Art. 15 DSGVO. Der Auskunftsanspruch dient dem Anspruch auf Berichtigung (Art. 16 DSGVO), Löschung und Einschränkung der Verarbeitung gem. Art. 17 DSGVO. Im vorliegenden Fall stellte der Kläger das Auskunftsersuchen, um die Rechtmäßigkeit der Beitragserhöhungen seiner Versicherung zu überprüfen. Dies stellt allerdings keinen Zweck nach dem Erwägungsgrund Nr. 63 dar, welcher das Auskunftsersuchen zum Zwecke des Ermittelns von Art und Umfang der über ihn gespeicherten Daten, beschreibt. Das Auskunftsbegehren, um Beitragserhöhungen zu überprüfen, ist nach Ansicht des Gerichts rechtsmissbräuchlich. Die Klage wurde abgewiesen. 

DSK lehnt ausdrücklichen Verzicht der Anwendung von technischen und organisatorischen Maßnahmen weitestgehend ab

13. Januar 2022|

Mit Beschluss vom 24.11.2021 hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen möglichen Verzicht auf die Anwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO der betroffenen Person selbst weitestgehend abgelehnt. Es handelt sich dabei um objektive Rechtspflichten, die nicht zur Disposition stehen. Eine Absenkung der gesetzlichen Standards nach Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO ist nicht zulässig. Eine Ausnahme kann in dokumentierten Einzelfällen nur auf ausdrücklichen, eigeninitiativen Wunsch der betroffenen Person aufgrund des Selbstbestimmungsrechts möglich sein. Kapitel V der DSGVO bleibt hiervon unberührt. 

Überschreiten einer Erheblichkeitsschwelle nicht erforderlich für Begründung eines Schadensersatzes

2. Dezember 2021|

Ein Arbeitnehmer klagte wegen einer verspäteten bzw. unvollständigen Auskunft nach Art 15 DSGVO gegen seinen ehemaligen Arbeitgeber auf Schadensersatz nach Art. 82 DSGVO. Das LAG Hannover bejahte den Anspruch in seiner Entscheidung am 22.10.2021 (16 Sa 761/20). Zur Begründung des Schadensersatzes bedürfe es keines Überschreitens einer Erheblichkeitsschwelle. Nach dem Erwägungsgrund 146 Satz 3 sei gerade eine weite Auslegung geboten. Sollte nur bei erhebliche Rechtsverstößen ein Schadenersatzanspruch bejaht werden, würden viele Betroffene trotz Verstößen keine Kompensation erhalten.

Verarbeitung von Anrede und Geburtstagsdatum nicht in jedem Fall beim Bestellvorgang ohne Registrierung erlaubt

30. November 2021|

Eine Online-Versandapotheke klagte gegen eine datenschutzrechtliche Anordnung hinsichtlich der Unterlassung der Erhebung und Verarbeitung bestimmter Daten im Bestellprozess auf der Website ohne vorherige Registrierung. Zwingend erforderlich waren die Angaben des Geschlechts sowie des Geburtsdatums. Eine Verbraucherin hatte sich beim BayLDA beschwert, diese Datenerhebung verstoße gegen das Prinzip der Rechtmäßigkeit und Datensparsamkeit. Eine Altersangabe sei nur bei Medikamenten mit altersspezifischer Dosierung und die Anrede nur bei geschlechtsspezifischen Medikamenten erforderlich. Das VG Hannover folgte den Ausführungen der Beklagten in seiner Entscheidung am 09.11.2021 (10 A 502/19). Es dürfen nur Angaben erhoben werden, die relevant für die Dosierung der Medikamente seien.

Finnische Aufsichtsbehörde – Protokoll- und Logdaten nicht von einem Auskunftsanspruch umfasst

26. November 2021|

Die finnische Aufsichtsbehörde hatte sich mit der Frage zu befassen, ob Protokoll- bzw. Logdaten von einem Auskunftsanspruch gem. Art. 15 DSGVO erfasst sind und dies abgelehnt. Dieses Ergebnis wurde damit begründet, dass diese Daten nicht die betroffene Person selbst betreffen, sondern im Zusammenhang mit der Zugriffsverwaltung auf die personenbezogenen Daten der betroffenen Person stehen. Vielmehr könnten sich die Protokolldaten auf die Mitarbeiter beziehen, die die Daten der betroffenen Person verarbeitet haben. Der Auskunftsanspruch gem. Art. 15 DSGVO besteht aber nur hinsichtlich der personenbezogenen Daten, die den Auskunftssuchenden betreffen.

OLG Düsseldorf: Ersatzanspruch nur bei konkretem Schaden

24. November 2021|

Das OLG Düsseldorf hat in einem Beschluss vom 16.02.2021 entschieden, dass ein Schadensersatz für einen Datenschutzverstoß nur dann in Betracht kommt, wenn dem Geschädigten dadurch auch ein konkreter Schaden entstanden ist und verweist dazu auf den Wortlaut des Art. 82 Abs. 1 DSGVO. Es bedürfe eines materiellen oder immateriellen Schadens. Der Schadensersatzanspruch besteht nur, wenn der geltend gemachte Schaden unter den Schutzzweck der Norm fällt. Dies sei bei Art. 82 DSGVO das Recht auf informationelle Selbstbestimmung. Im zu entscheidenden Fall erkannte das Gericht aber primär einen Verstoß gegen das Allgemeine Persönlichkeitsrecht und lehnte einen Ersatzanspruch nach Art. 82 DSGVO ab.

Dänische Aufsichtsbehörde zur Frage, ab wann ein Antrag gem. Art. 15 DSGVO auf vollständige Auskunft vorliegt.

18. November 2021|

Ein Newsletter-Empfänger stellte die Anfrage beim Versender, wie dieser an seine E-Mailadresse gekommen sei, ohne einen Newsletter abonniert zu haben. Als das Unternehmen erst auf erneute Nachfrage antwortete, es sehe alles nach einer manuellen Registrierung des Empfängers aus, behauptete dieser weiterhin, keinen Newsletter abonniert zu haben. Er rügte bei der Datenschutzbehörde zwei DSGVO-Verstöße: wie sind die Daten zum Versender gekommen / Verletzung seines Auskunftsrechts nach Art. 15 DSGVO. Die Behörde entschied, dass die Anfrage des Betroffenen nur einen begrenzten Auskunftsanspruch beinhalte (laut Wortlaut der Frage). Durch Verweis auf den eigenen Kenntnisstand sei die Auskunftspflicht bereits erfüllt.

Betroffenenanfragen via Tweets auf Twitter?

15. November 2021|

Auch wenn die DSGVO keinen formellen Weg für Betroffenenanfragen vorsieht, zeigt nun ein aktuelles Verfahren der schwedischen Datenschutzbehörde im Rahmen eines Kohärenzverfahrens, dass die Tendenz dahin geht, dass solche Anfragen nicht als Betroffenenanfragen i.S.d. DSGVO zu verstehen sind.   Die Behörde ging in ihrer Entscheidung davon aus, dass andere -formellere- Wege (z.B. die Anfrage via E-Mail) für den Betroffenen möglich gewesen wären.

LG Essen: Keine Einwände gegen den einfachen Postversand eines USB-Sticks mit sensiblen Daten

27. Oktober 2021|

Das LG Essen hat mit Urteil vom 23.09.2021 (6 O 190/21) klargestellt, dass ein USB-Stick mit sensiblen Daten mit einfachem Postversand versandt werden kann. Das Gericht wies darauf hin, dass auch diverse unverschlüsselte Dokumente – wie  in etwa Steuerunterlagen – ebenfalls mit der Post versandt würden. Das Gericht folgte zudem den Ausführungen des Klägers und stellte fest, dass der immaterielle Schadenersatzanspruch aus Art. 82 Abs. 1 DSGVO gem. § 398 BGB abgetreten werde könne, soweit kein Abtretungsverbot gem. §§ 399, 400 BGB bestehe.

OLG-München: Auskunftsanspruch nach Art. 15 Abs. 3 DSGVO umfasst nicht nur sensible oder private Informationen

20. Oktober 2021|

Mit Urteil des OLG München vom 04. Oktober 2021 (3 U 2906/20) stellt das Gericht klar: nicht nur sensible oder private Informationen sind vom Auskunftsanspruch nach Art. 15 Abs. 3 DSGVO umfasst. Sobald in einem Dokument Informationen enthalten sind, die als personenbezogene Daten einzuordnen sind oder lediglich ersichtlich ist, dass sich ein Betroffener entsprechend geäußert hat, gilt dieses Dokument als personenbezogene Information und ist vom Auskunftsanspruch umfasst. Somit fallen laut des Gerichts auch Aktenvermerke, Telefonnotizen und Ähnliches unter das Betroffenenrecht.