Archive for Juni, 2020

50-Millionen-Euro-DSGVO-Strafe gegen Google

Posted by Erich von Maurnböck

Wegen undurchsichtiger Privatsphäre-Einstellungen sowie Werbung ohne Rechtsgrundlage wurde gegen Google nun in Frankreich vom Conseil d´Etat die bisher höchste DSGVO-Strafe bestätigt, die von der französischen Datenschutzbehörde verhängt worden war.

Fall Google

Bereits Anfang 2019 wurde von der französichen Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) gegen Google die bisher höchste Strafe seit Inkrafttreten der DSGVO verhängt.

Grund dafür war, dass Nutzer des Suchmaschinenbetreibers nicht ausreichend über das Verfahren zur Platzierung von Werbung aufgeklärt wurden. Allgemein sei nach Angaben der CNIL die Aufklärung über die Verarbeitung von Daten sowie auch über andere vielseitige Google-Dienste wie Google Maps oder YouTube nicht ausreichend transparent.

Google legte Berufung ein

Google legte gegen die Entscheidung Berufung ein und argumentierte vor allem damit, dass die französische CNIL nicht zuständig sei, da sich der europäische Hauptsitz des Unternehmens in Irland befinde. Die DSGVO schreibe im sogenannten „One-Stop-Shop-Prinzip“ vor, dass der Fall aus diesem Grund von der irischen Datenschutzbehörde behandelt werden müsse, die allgemein als äußerst konzernfreundlich gilt und so gut wie nie Strafen verhängt.

Der Conseil d`Etat, der französische Staatsrat, bestätigte jedoch die Entscheidung der CNIL in der vergangenen Woche. Die Beschwerde von Google wurde demnach zurückgewiesen und der Suchmaschinenbetreiber muss der bisher höchsten verhängten DSGVO-Strafe im Ausmaß von 50 Millionen Euro in Frankreich entgegensehen. Dabei darf jedoch nicht ungesagt bleiben, dass die potenzielle Höchststrafe bei 3,7 Milliarden € (!) gelegen hätte!

Unser Fazit

Wie dieser Fall zeigt, drohen hohe Strafen bei undurchsichtigen Privatsphäre-Einstellungen und Werbung ohne Rechtsgrundlage. Ob Werbung ohne Einwilligung möglich ist, lesen Sie hier. Vermeiden Sie diese Fehler und holen Sie sich unsere Unterstützung wenn Sie sich unsicher sind. Wir helfen Ihnen gerne bei Unklarheiten und überprüfen Ihre Website und andere Tools.

 

25.000-Euro-Strafe wegen fehlendem Datenschutzbeauftragten

Posted by Birgit von Maurnböck

Gegen das spanische Unternehmen „Glovo“ wurde von der zuständigen Datenschutzbehörde eine DSGVO-Strafe über 25.000,- € verhängt. Dieses hatte trotz umfangreicher Datenverarbeitungen keinen Datenschutzbeauftragten bestellt.

Bei „Glovo“ handelt es sich um einen Zustelldienst, der Kuriere für verschiedene Lieferdienste, vorwiegend Essenszustellung, bereitstellt. Zu den bekanntesten Ketten, die den Dienst beauftragt haben, zählen unter anderem McDonald´s, KFC, Pizza Hut und Starbucks.

Ermittlungen wegen fehlenden Datenschutzbeauftragten

Auf die Beschwerde zweier Betroffener hin, leitete die spanische Datenschutzbehörde Ermittlungen ein, bei denen festgestellt wurde, dass das Unternehmen trotz der zahlreichen und umfangreichen Verarbeitungen von Daten keinen Datenschutzbeauftragten bestellt hatte, wie es die DSGVO vorschreibt. Außerdem verstieß das Unternehmen zusätzlich gegen das nationale spanische Datenschutzgesetz, indem die Datenschutzbehörde nicht innerhalb der festgelegten zehntägigen Frist über die Änderungen bezüglich des Datenschutzbeauftragten informiert wurde.

Aus diesem Grund wurde eine DSGVO-Strafe von stolzen 25.000,- € gegen den Zustelldienst verhängt.

Nichtbestellung eines Datenschutzbeauftragten

Für die Nichtbestellung eines Datenschutzbeauftragten sieht die DSGVO Geldbußen von bis zu 10.000.000 Euro oder 2% des Jahresumsatzes des gesamten Konzerns vor – je nachdem, welcher Betrag höher ist. Nach dem Kohärenzprinzip stehen die unterschiedlichen nationalen Datenschutzbehörden in ständigem Austausch. Das bedeutet auch, dass bei ähnlich gelagerterten Fällen europaweit ähnlich hohe Strafen verhängt werden. Demnach kann beispielsweise davon ausgegangen werden, dass ein österreichisches Unternehmen in derselben Größe bei fehlendem Datenschutzbeauftragten mit einer ähnlich hohen Strafe zu rechnen hat.

Zum Vergleich: Glovo hat derzeit 1500 Angestellte. Der Jahresumsatz betrug im Jahr 2018 in etwa 90 Millionen Euro.

Unser Praxistipp

5.000 Euro Schadenersatz für verspätete Auskunft

Posted by Birgit von Maurnböck

Das Arbeitsgericht Düsseldorf hat einer betroffenen Person in erster Instanz einen Schadenersatz von 5.000,- € zugesprochen. Grund dafür ist, dass die erfragte Auskunft vom ehemaligen Arbeitgebenden weder fristgerecht noch vollständig erteilt wurde.

Schadenersatz für ehemaligen Mitarbeitenden

Die betroffene Person verlangte bereits im Sommer 2018 Auskunft über die Verarbeitung der persönlichen Daten beim ehemaligen Arbeitgeber. Somit machte die Person von ihrem Recht Gebrauch, das durch die DSGVO (und auch lokale Datenschutzgesetze) jeder betroffenen Person zusteht – dem Recht auf Auskunft.

Monate später – fernab von der in der DSGVO festgelegten Monatsfrist – erhielt die Person eine Auskunft, die jedoch die Fragestellung keineswegs beantwortete. Aus diesem Grund reichte der ehemalige Mitarbeitende Klage wegen Nichterteilung der Auskunft ein. Und verlangte 140.000,- € als Wiedergutmachung für den erlittenen Schaden!

Schadenersatz freigegeben

Das Arbeitsgericht Düsseldorf gab dieser Klage nun teilweise statt. Das Vorgehen des ehemaligen Arbeitgebenden stellt eine Verletzung des Auskunftsrechts dar und behindert somit eine Ausübung der Rechte im Sinne der DSGVO. Diese Beeinträchtigung ist als immaterieller Schaden anzusehen. Das Gericht spracht in erster Instanz „nur“ 5.000,- € als Schadenersatz zu. 

Unser Praxistipp

Der Auftragsverarbeiter: Vertrag & Kontrolle

Posted by Birgit von Maurnböck

Es ist gesetzlich vorgeschrieben, dass man mit jedem Auftragsverarbeiter (AV) einen schriftlichen Vertrag über die Datenverarbeitung abschließen muss.

Die verantwortliche Person muss den Vertrag entweder beim AV anfordern, oder selbst eine Vorlage übermitteln.
Bitte beachten Sie unbedingt: Als verantwortliche Person sind Sie im wahrsten Sinne des Wortes „verantwortlich! Eben auch für den Abschluss dieses Vertrages.

Bestandteile einer Auftragsverarbeiter-Vertrags (AVV)

Wieviel Sie ein fehlender AVV kosten kann, können Sie in diesem Beitrag nachlesen.

Welche Möglichkeiten zur Kontrolle Ihrer Auftragsverarbeiter bestehen?

Unsere Praxistipps

DSGVO-Strafe: Fehlender Auftragsverarbeiter-Vertrag

Posted by Birgit von Maurnböck

Gegen das deutsche Versandunternehmen Kolibri Image wurde eine DSGVO-Strafe über 5000,- € verhängt. Der Grund dafür war, dass kein Auftragsverarbeiter-Vertrag mit einem von ihm beauftragten Dienstleister abgeschlossen wurde.

Auftragsverarbeiter-Vertrag für jeden Dienstleister

Dieser Dienstleister verarbeitete im Auftrag des verantwortlichen Kleinstunternehmens Kundendaten, ein Auftragsverarbeiter-Vertrag, der gemäß DSGVO verpflichtend ist, war jedoch nicht vorhanden.

Das Fehlen eines solches Vertrages rechtfertigte Kolibri Image damit, dass die internen Prozesse des Dienstleisters nicht bekannt waren. Außerdem wäre die Übersetzung für den spanischen Anbieter zu teuer gewesen. Diese Rechtfertigung wurde von der zuständigen Datenschutzbehörde jedoch nicht akzeptiert. Schließlich liegt die Verantwortung zum Vertragsabschluss sowie zur Kontrolle des Dienstleisters IMMER beim auftraggebenden Unternehmen.

Strafverschärfend kam außerdem hinzu, dass die Geschäftsbeziehung weiterhin ohne Vertrag aufrecht erhalten wurde.

Mehr Informationen finden Sie in diesem Beiträge. Hier widmen wir uns voll und ganz dem Thema Auftragskontrolle und den dazugehörigen Maßnahmen, wie unter anderem der Verpflichtung zur Abschließung eines Auftragsverarbeiter-Vertags.

Unsere Praxistipps

Bühnenliebe – Unterstützung heimischer Kulturbetriebe

Posted by Birgit von Maurnböck

Das Jahr 2020 war für viele Branchen sehr herausfordernd. Besonders auch für den Kunst- und Kultursektor, der seinen Betrieb weitgehend einstellen musste und speziell in der aktuellen Situation nicht aufnehmen kann. In diesem Beitrag erfahren Sie, wie Sie Kulturbetriebe Ihrer Wahl unterstützen können.

Erst wenn alle Maßnahmen zur Verhinderung der Verbreitung von COVID-19 komplett ausgesetzt werden, können Kulturbetriebe den gewohnten Betrieb wieder durchführen.

Bühnenliebe Gutschein

Die Kultur-Initiative bühnenliebe.at, die es bereits seit dem Frühjahr 2020 gibt, hat das Ziel Besucher und Kulturbetriebe auch in dieser Krisenzeit zu verbinden, was mittels eines Gutscheinkaufs ermöglicht wird. Gutscheine werden bei unseren geliebten Kulturbetrieben jetzt gekauft und später eingelöst und somit ermöglicht die Plattform Vorfreude auf kulturelle Ereignisse von morgen.

Weder für Kulturbetriebe noch für Gutscheinkäufer fallen auf der Plattform Gebühren an. Der Erlös des Gutscheins kommt den Kulturbetrieben direkt, sofort und zur Gänze zugute, „denn vom kleinen Puppentheater bis zum großen Bühnenhaus, vom kleinen Festspiel bis zum großen Festival brauchen alle JETZT Hilfe“, sind die Initiatoren überzeugt. Die Zahlung läuft nicht über bühnenliebe.at, sondern direkt über den Kulturbetrieb.

Unterstützung für Bühnenliebe

bühnenliebe.at wird als Kulturinitiative auch von uns unterstützt. Die Initiative wächst weiter und einigen Kulturbetrieben konnte mit dem Kauf von Gutscheinen bereits finanziell geholfen werden. Viele Medien wie auch der ORF haben im Mai bereits über bühnenliebe.at mehrmals berichtet und auch Opernstar Daniela Fally unterstützt die Kulturinitiative. Zu den Kooperationspartner von bühnenliebe.at zählen bereits die ORF Plattform myfidelio.at, Universal Music, mica-music austria, Habegger Austria, das Wiener KammerOrchester, Gharieni, MeineBerater, und viele mehr.  

Auch auf Facebook ist bühnenliebe.at  prominent vertreten: https://www.facebook.com/buehnenliebe/. 

Bitte empfehlen Sie diese Kultur-Initiative an Ihr Netzwerk weiter, damit die Plattform in ganz Österreich noch bekannter wird und sofortige Unterstützung für unsere geliebten Kulturbetriebe weiterhin erfolgen kann.

Soziale Distanzierung Heute. Kultur verbindet Morgen.

Die Initiative bühnenliebe.at

15.000 Euro DSGVO-Strafe für rumänisches Hotel

Posted by Birgit von Maurnböck

In einem rumänischen Hotel wurde eine Liste mit 46 Frühstücksgästen von unbefugten Personen abfotografiert und anschließend im Internet veröffentlicht. Das Hotel selbst meldete die Datenpanne vorschriftsmäßig an die Datenschutzbehörde.

Dieser Fall „kann“ jedem Veranstalter, jedem Hotel/Restaurant, jedem Fortbildungsinstitut passieren.

Strafe wegen Datenschutzverletzung

Die Datenschutzbehörde verhängte eine Geldstrafe von 15.000,- € aufgrund der Datenschutzverletzung. Die Begründung war, dass der Hotelbetreiber nicht ausreichend sichergestellt hatte, dass jene Mitarbeitenden, die Zugang zu personenbezogenen Daten haben, diese ausschließlich rechtmäßig verarbeiten. Die Aufsichtsbehörde sah demnach einen erheblichen Mangel in den technischen und organisatorischen Maßnahmen (TOMs) des Hotels.

Unser Praxistipp