Archive for Mai, 2020

DSGVO-Strafe: „Oma, bitte Fotos löschen!“

Posted by Birgit von Maurnböck
In Holland stellte eine Großmutter Fotos ihrer Enkelkinder auf Facebook und Pinterest und weigerte sich, diese auf Aufforderung der Mutter wieder aus dem Netz zu entfernen. Diese zeigte sie daraufhin mit Verweis auf die DSGVO an.

Strafe wegen Fotos auf Social Media

Die Großmutter hatte ein Foto ihres Enkels auf Facebook und ein weiteres der anderen beiden Enkelkinder auf Pinterest veröffentlicht. Ihre Tochter forderte sie daraufhin mehrmals auf, die Fotos der Kinder aus dem Internet zu löschen – ihre Mutter kam der Aufforderung jedoch nicht nach. Daraufhin brachte die dreifache Mutter den Fall vor Gericht und forderte dort mit Bezug auf die DSGVO die sofortige Löschung der veröffentlichten Fotos der fünf- bis vierzehnjährigen Kinder. Das Gericht gab ihr Recht und verhängte gegen die Großmutter eine Geldstrafe von 50,- € (bis hin zu einer Höchstestrafe von 1.000,- €) für jeden weiteren Tag, an dem sie die Fotos nicht löschte. Die Entscheidung wurde damit begründet, dass es sich um einen Verstoß gegen die DSGVO handle. Das Sorgerecht lag nicht bei der Oma und es handle sich dabei um keine private Aktivität, die Fotos auf Social-Media-Plattformen zu veröffentlichen und somit unter Umständen auch über Suchmaschinen wie Google auffindbar zu machen. Achtung: Das Posten von Fotos anderer Personen im Internet ist aus zweierlei Gründen heikel: Erstens wird dadurch das „Recht am eigenen Bild“ eventuell verletzt. Zweitens kann es sich um einen Datenschutzverstoß handeln, wenn man keine Einwilligung dazu hat. Besonders interessant in diesem Fall aus Holland ist noch: Die DSGVO kommt im privaten Bereich eigentlich gar nicht zur Anwendung. Trotzdem hat sich das Gericht darauf bezogen. Eine Verletzung des Rechts am eigenen Bild (ein weiteres Menschenrecht) stellt der Vorgang aber in jedem Fall dar.

Fotos der Mitarbeitenden

Sollten Sie beispielsweise Fotos Ihrer Mitarbeitenden auf Ihrer Website oder in Social-Media-Kanälen posten, müssen diese das vor dem Posting erlauben. Für solche Muster-Einwilligungen können Sie uns gerne kontaktieren.

Unsere Praxistipps

11.000 Euro DSGVO-Strafe in Schweden

Posted by Birgit von Maurnböck

Aufgrund einer Veröffentlichung von sensiblen Gesundheitsdaten verhängte die schwedische Aufsichtsbehörde „Datainspektionen“ eine DSGVO-Strafe in der Höhe von 11.000,- € gegen die Gesundheitsbehörde „Health & Medical Care“.

Strafe wegen Offenlegung von Gesundheitsdaten

Die Daten wurden im Internet veröffentlicht und somit über die Website Unbefugten zugänglich gemacht. Bei der betroffenen Person handelte es sich um einen Patienten, der in eine forensisch-psychiatrische Klinik eingewiesen wurden. Offengelegt wurden Identifikationsinformationen, wie unter anderem die persönliche Identifikationsnummer, Kontaktdaten, Informationen zum forensisch-psychiatrischen Gesundheitszustand sowie zu einer Urinprobe des Betroffenen!

Für die Veröffentlichung dieser besonders schutzbedürftigen Gesundheitsdaten gab es weder eine Rechtsgrundlage noch einen anderen Grund, menschliches Versagen führte zu der unbeabsichtigten Offenlegung.

Die Datenschutzbehörde kam zu dem Schluss, dass das Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen (TOMs) getroffen hatte, die eine versehentliche Veröffentlichung verhindert hätten. Zudem wurden Anweisungen bezüglich einer rechtmäßigen Vorgehensweise beim Veröffentlichen auf der Website nur mündlich, jedoch nicht schriftlich erteilt.

Die verantwortliche Gesundheitsbehörde wurde angewiesen, schriftliche Konzepte zur Veröffentlichung auf der Website zu erstellen und sicherzustellen, dass Informationen künftig nur unter Einhaltung dieser Maßnahmen veröffentlicht werden. Zudem wurde sie zur Begleichung einer Geldstrafe von 120.000 Schwedischen Kronen – umgerechnet 11.000,- € verurteilt.

Unsere Praxistipps

CC im Newsletter verletzt DSGVO

Posted by Erich von Maurnböck

Achtung: Wer Newsletter versendet, muss einige Dinge unbedingt beachten. Unter anderem, dass im offenen Verteiler (CC) keine Email Adressen anderer Empfänger sichtbar sind. Sollte dies der Fall sein, handelt es sich bereits um eine Datenpanne.

Newsletter und das Recht auf Geheimhaltung

Bereits vor einem Jahr war der Datenschutzbehörde ein Fall gemeldet worden, in dem für mehr als 400 Empfänger eines Newsletters sämtliche Email Adressen der anderen Abonennten in der CC-Zeile offengelegt wurden. Dadurch wurde das Recht auf Geheimhaltung verletzt, das gemäß DSGVO jede Person von einer Datenverarbeitung zukommt – ein sogenanntes Betroffenenrecht. Dazu zählen unter anderen das Recht auf Information, auf Auskunft, auf Berichtigung oder Löschung und eben das Recht auf Geheimhaltung. Letzteres wurde in diesem Fall verletzt, da personenbezogene Daten – die Email Adresse – offengelegt und Unberechtigten somit zugänglich gemacht wurden.

Versenden von Newslettern und mögliche Konsequenzen

Nicht nur ein Newsletter auch ein Email, das an die falsche Person geschickt wird, kann negative Konsequenzen mit sich bringen. Dank modernster Funktionen in den Email Programmen geht das Verursachen einer Datenpanne in diesem Zusammenhang sehr schnell! Denken Sie daran, dass beim Auswählen eines Empfängers immer Vorschläge eingeblendet werden. Mit einem unabsichtlichen Klick kann es so sehr einfach passieren, dass eine Person hinzugefügt wird, für den die Inhalte keineswegs bestimmt sind.

Dieser Fehler kann schon eine Datenpanne auslösen, die für Betroffene enorme Nachteile und für Sie eine hohe Strafe, einen Reputationsschaden oder Schadenersatzforderungen mit sich bringen kann. So ein Versehen ist auch als Datenpanne der Behörde zu melden – binnen 72 Stunden!

Unsere Praxistipps

„Falscher“ Datenschutzbeauftragter: 50.000 Euro Strafe

Posted by Birgit von Maurnböck

Von der belgischen Datenschutzbehörde wurde eine Geldstrafe von rund 50.000 Euro gegen ein Unternehmen verhängt. Grund dafür war, dass der zuständige Datenschutzbeauftragte gleichzeitig verantwortlich für Audits, Risikomanagement und Compliance war und somit nicht „neutral“ genug.

Datenschutzbeauftragter im Interessenskonflikt

Die belgische Datenschutzbehörde „Data Protection Authority (DPA)“ hat in der Tatsache, dass der Datenschutzbeauftragte eines Unternehmens zusätzlich als Verantwortlicher für interne Audits sowie für die Bereiche Compliance und Risikomanagement fungierte, einen Interessenskonflikt gesehen.

In der DSGVO sind die Bestimmungen rund um den Datenschutzbeauftragten ziemlich genau geregelt. So wird darin unter anderem definiert, dass dieser anderen Aufgaben und Pflichten nachkommen darf, solange diese zu keinem Interessenkonflikt führen (für all jene, die genau nachlesen möchten: Artikel 38 DSGVO).

Da diese Vorschrift nach Ansicht der DPA verletzt wurde, kam es zu der beachtlich hohen Geldstrafe von 50.000 Euro.

Wer ist also ungeeignet als Datenschutzbeauftragter?

Die Personen im Unternehmen, die Kontrollfunktionen ausüben und/oder Führungskräfte sind (IT-Verantwortliche, Personal-Verantwortliche, Produktentwickler für IT-Produkte). Achtung: Auch Ihr externer IT-Dienstleister ist kein geeigneter Datenschutzbeauftrager!

Unsere Praxistipps

Millionenschaden durch Phishing in Österreich

Posted by Erich von Maurnböck

Was bedeutet Phishing eigentlich?

Immer wieder hört und liest man diesen Begriff, besonders in Zusammenhang mit der Sicherheit im Online-Banking. Bei Phishing handelt es sich um den Daten- und/oder Identitätsdiebstahl eines Internet-Benutzers, der über gefälschte Emails, Webseiten oder andere Wege veranlasst wird.

Bankbezogenes Phishing

In diesem aktuellen Fall wurden gefälschte Emails versendet, der Empfänger hatte beim Erhalt den Eindruck, die Bank schickt der Person diese elektronische Nachricht.

Die so betroffenen Personen gaben dann direkt in das Formular des Emails die Zugangsdaten zum Online-Banking ein. Da es aber natürlich nicht die Bank, sondern Verbrecher waren, erhielten diese Täter auf diesem Weg die Zugangsdaten zu den Bankkonten der betroffenen Personen. Die Emails sahen täuschend echt aus – richtiger Ansprechname und sehr vertrauenswürdig.

Die insgesamt 103 Opfer sind in Österreich wohnhaft. Der Schaden verläuft sich auf rund eine Million Euro!

Unsere Praxistipps

Taxifahrer fotografiert Führerschein und versendet ihn über WhatsApp

Posted by Erich von Maurnböck

Ein Fahrgast eines österreichischen Taxi-Unternehmens verfügte nicht über genug Bargeld, um die Fahrt zu bezahlen. Daraufhin fertigte der Taxifahrer ohne Einwilligung Fotos von dessen Führerschein sowie Bankomatkarte an und leitete diese über WhatsApp an eine dritte Person weiter.

Durch diese Handlung verletzte der Taxifahrer massiv das Recht auf Geheimhaltung der betroffenen Person. Weder die durchgeführte Datenerhebung, also das Fotografieren, noch das Weiterleiten war rechtmäßig. Der Taxifahrer bzw. das Unternehmen, bei dem er beschäftigt war, konnte sich bei dieser Handlung rechtlich weder auf ein lebenswichtiges Interesse des Betroffenen (= Fahrgast), noch auf eine Einwilligung stützen. Selbst auf den Rechtfertigungsgrund des überwiegenden berechtigten Interesses des Taxiunternehmens konnte man diese Vorgehensweise nicht stützen.

Verwendung von WhatsApp

Erschwerend hinzu kommt noch die Verwendung von WhatsApp, von der wir immer wieder dringend abraten. WhatsApp hat im beruflichen Umfeld nichts verloren, verbannen Sie es daher von firmeneigenen Endgeräten. Verwendet man WhatsApp, werden Daten automatisch in die USA weitergeleitet (mit Facebook geteilt) – und dafür wird kein Kunde freiwillig seine Einwilligung erteilen. Warum Sie noch WhatsApp nicht nutzen sollten, erfahren Sie hier.

Beschwerde bei Datenschutzbehörde

Die bei der Datenschutzbehörde eingebrachte Beschwerde war insofern erfolgreich, als die Behörde eine Verletzung der Geheimhaltung und einen Verstoß gegen den Grundsatz der Datenminimierung feststellte.

Achtung: Undurchdachte Handlungen sämtlicher Mitarbeitenden können schwerwiegende datenschutzrechtliche Folgen mit sich bringen, die ein Unternehmen in eine äußerst missliche Lage versetzen können.

Unsere Praxistipps