Author Archive

DSGVO-Strafe in Italien: Aggressives Telemarketing

Posted by Erich von Maurnböck

Wissen Sie genau darüber Bescheid, wann Sie Kontaktdaten verarbeiten und zu Marketingzwecken verwenden dürfen? In Italien kam es erneut zu einer sehr hohen DSGVO-Strafe von 4,5 Millionen Euro aufgrund von unrechtmäßigem Telemarketing, von dem ganze 7,5 Millionen Personen betroffen waren.

Telemarketing ohne Rechtsgrundlage

Gegen den italienischen Festnetzbetreiber „Fastweb“ gingen bei der Datenschutzbehörde hunderte Beschwerden ein. Betroffene beklagten sich über aggressives Telemarketing. Die italienische Datenschutzbehörde leitete Ermittlungen gegen den Kommunikationsbetreiber ein und stellte dabei fest, dass die verwendeten Telefonnummern nicht im Register des Unternehmens eingetragen waren. Die Kontaktdaten wurden von externen Partnern ohne Einwilligung der Betroffenen bezogen. Insgesamt waren von der Verarbeitung 7,5 Millionen Personen betroffen.

Folgen des aggressiven Telemarketings

Die durchgeführten Werbeanrufe ohne Rechtsgrundlage stellen einen klaren Verstoß gegen die DSGVO dar. Bei der Prüfung des Festnetzbetreibers durch die italienische Datenschutzbehörde stellte diese zudem weitere Verstöße fest: Zum einen wurde keine ordnungsgemäße Ausübung der Betroffenenrechte, insbesondere des Widerspruchs, ermöglicht, zum anderen waren auch die technischen und organisatorischen Maßnahmen zum Datenschutz mangelhaft.

Daraufhin wurde eine Strafe von 4,5 Millionen Euro gegen „Fastweb“ verhängt. Zudem wurde der Betreiber angewiesen, seine Sicherheitsmaßnahmen zu verstärken und seine Werbepraxis rechtmäßig zu gestalten.

Unsere Praxistipps

Praxisleitfaden: Datentransfer in die USA und andere Drittländer

Posted by Erich von Maurnböck

In diesem Praxisleitfaden haben wir eine Schritt für Schritt Anleitung für Sie verfasst, um Ihnen zu zeigen, was europäische Unternehmen zum Datentransfer in die USA und in andere Drittländer ohne Angemessenheitsbeschluss umsetzen müssen. So bleiben Sie und Ihr Unternehmen rechtskonform.

Schritt 1: Überprüfung des externen Datentransfers

Zuerst müssen Sie Ihre Datenflüsse genauestens dahingehend überprüfen, ob Daten überhaupt in Drittländer übermittelt werden. Als solche gelten alle Staaten, in denen die DSGVO keine Gültigkeit hat – also alle außerhalb des Europäischen Wirtschaftsraums (EWR). Achtung, unter anderem gehört auch die Schweiz nicht zum EWR! Ein Datenaustausch innerhalb des EWR sollte unbedenklich sein.
Vergessen Sie nicht darauf, auch bei Datenflüssen an vermeintliche EU-Unternehmen genau hinzusehen, denn diese könnten Daten schließlich an Drittländer weiterübermitteln. Beispiele hierfür wären Mailchimp, Salesforce, HubSpot und Facebook. Praxistipp dazu: Checken Sie die Verträge, die Sie mit Ihren Dienstleistern abgeschlossen haben.

Schritt 2: Relevante Grundlage des Datentransfers bestimmen

Um Daten an Unternehmen in Drittländern übermitteln zu dürfen, ist eine geeignete Grundlage notwendig. Folgende Grundlagen gibt es hierfür:

Ohne Rechtsgrundlage keine Datenverarbeitung, das muss ohnehin immer der Grundsatz sein!

Schritt 3: Spezialfall USA – Datentransfer gegen Geheimdienste sichern

Identifizieren Sie unbedingt Electronic Communication Service Provider in den USA und überprüfen Sie jeden Datentransfern in die USA daraufhin, ob ein Abhören durch die NSA möglich ist. Daten bei all jenen Unternehmen, die ein Electronic Communication Service Provider sind und dem sogenannten FISA 702 unterliegen, können jederzeit von den Geheimdiensten ausgelesen werden. Genau davor soll aber die DSGVO schützen! Von solchen Unternehmen dürfen auf keinen Fall Daten von EU-Bürgern verarbeitet werden.

Folgen bei unrechtmäßigem Datentransfer in Drittländer

Verantwortliche müssen Datenübermittlungen überprüfen und diese unterlassen, sollte es keine geeignete geeignete Rechtsgrundlage geben. Wird dies verabsäumt, wird das höhere Strafmaß gemäß DSGVO herangezogen: Bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes des Gesamtkonzerns! Die Datenschutzbehörden dürfen Verarbeitungen solcher Art auch jederzeit untersagen. Und, ganz übel: Betroffene könnten Schadenersatz geltend machen. Eine Schon- oder Übergangsfrist gibt es dazu nicht, das hat der EuGH bereits im Juli 2020 so verkündet.

Handeln Sie sofort und prüfen Sie Ihre ausländischen Dienstleister, speziell jene Dienstleister mit Bezug zu den USA.

Wir unterstützen Sie sehr gerne dabei, Ihre Datenflüsse nach den beschriebenen Kriterien zu überprüfen. Bleiben Sie auf der sicheren Seite, meist wird die auf der europäischen Seite des Atlantiks liegen. Kontaktieren Sie uns jederzeit, wenn Sie Fragen zum Thema Datentransfer haben.

Achtung: Mailchimp und Co. – Datenübermittlung in die USA

Posted by Erich von Maurnböck

Eine aktuelle Entscheidung der bayrischen Datenschutzbehörde sorgt dafür, dass der datenschutzkonforme Einsatz vieler US-Dienste überdacht werden muss. Datenschützer haben entschieden, dass die Nutzung des Newsletter-Anbieters Mailchimp nicht rechtmäßig ist. In diesem Beitrag erfahren Sie mehr über die Mailchimp & Co. Problematik.

Mailchimp-Beschwerde in Deutschland

Ein bayrisches Unternehmen nutzte für den Versand von Newslettern Mailchimp, einen beliebten amerikanischen Email-Marketing Dienst. Darüber hat sich ein Empfänger bei der Datenschutzbehörde beschwert. Die Behörde prüfte daraufhin, ob in diesem Fall der Einsatz von Mailchimp zulässig war. Das Ergebnis der Untersuchungen: Nein, die Verwendung entspricht nicht der DSGVO! Die Datenschützer kontaktierten das Unternehmen und wiesen darauf hin, dass Mailchimp nicht datenschutzkonform ist. Mailchimp bietet zwar EU-Standardvertragsklauseln für Kunden an, welche für die Übertragung der Mailadressen der Empfänger in die USA notwendig sind. Allerdings fehlte die zusätzlich notwendige Überprüfung durch das Unternehmen. Deshalb stellt sich weiterhin die Frage, ob für die Übermittlung an Mailchimp zu den EU-Standarddatenschutzklauseln noch „zusätzliche Maßnahmen“ erfolgt sind, damit diese auch tatsächlich rechtskonform gestaltet werden können. Daraufhin entschied sich das Unternehmen dafür, auf den Einsatz dieses US-Dienstes unmittelbar zu verzichten, um einer etwaigen Strafe zu entgehen.

Den genauen Ablauf des Datenschutzverfahrens können Sie hier nachlesen.

Mailchimp und die Datenspeicherung in den USA

Grundsätzlich wurde im Urteil bezüglich der Ungültigkeit des Privacy-Shields ein Datenaustausch mit den USA nicht verboten. Die USA sind zwar ein unsicherer Drittstaat, doch durch sogenannte Standardvertragsklauseln sowie zusätzliche Vereinbarungen weiterer Sicherheiten, ist eine Datenweitergabe und eine Speicherung in den USA jedoch weiterhin möglich. Zusätzliche Sicherheiten oder Garantien, dass zum Beispiel Geheimdienste nicht auf die Daten zugreifen können, werden von Mailchimp nicht angeboten. Wichtig ist jedoch, dass das Vorhandensein zusätzlicher Sicherheiten bei jedem einzelnen „Dienst“, den man in den USA zukauft, geprüft werden muss. Hierbei ist eine sogenannte „Case by Case“ Untersuchung erforderlich. Wie im obigen Beschwerdefall beschrieben, wurde diese „Case by Case“ Untersuchung vom Unternehmen verabsäumt.

Wenn Sie also kein rechtliches Risiko eingehen wollen, müssen Sie eine Case by Case Prüfung bei Mailchimp und anderen Tools von US-Anbietern vornehmen.

Bei folgenden US-Diensten bedarf es einer detaillierten Prüfung der angebotenen Sicherheiten

Unsere Praxistipps

Passwortmanagement: Der Vergesslichkeit trotzen

Posted by Erich von Maurnböck

Wie viele Passwörter müssen Sie sich merken, um auf all Ihre Geräte, Accounts und Programme zugreifen zu können? Zu viele, werden die meisten Personen sicherlich antworten. Um diese sicher zu speichern und dennoch den Überblick nicht zu verlieren, gibt es Passwortmanager. Wie diese genau funktionieren und welche die besten sind, erfahren Sie in diesem Beitrag.

Passwortmanager – Wieso?

Passwortmanager dienen dazu, Usernamen, Kennwörter und gegebenenfalls weitere Details für den Zugang zu Hardware/Software oder Diensten sicher an einem Ort zu speichern.

Nahezu jeder hat zig verschiedene Geräte, Accounts, Programme und andere Zugänge in Verwendung. Sowohl für den privaten, als auch für den beruflichen Gebrauch. Das bedeutet, dass die Vielzahl der zu merkenden Passwörter die Speicherkapazitäten des Gedächtnisses ganz schön herausfordert, vor allem für jene Zugänge, die man selber benötigt, denn es ist sehr wichtig, für jeden Account ein eigenes Passwort zu haben. Verwenden Sie eines für all Ihre Dienste, so könnte im Falle einer Offenlegung Ihrer Zugangsdaten im schlimmsten Fall auf all Ihre Accounts zugegriffen werden.

Nun denken sich viele: Ach, nehmen wir eben überall Passwörter wie „123456“, immer ein wenig abgewandelt, das ist einfach und man vergisst es nicht. Jährlich wird die Zahlenfolge rund um „123456“ (mit oder ohne 7, 8 und 9) am häufigsten als Passwort gewählt. Dass dies jedoch den Weg für Hacker perfekt aufbereitet, versteht sich wohl von selbst. Um den immer häufigeren Hackerangriffen zu entgehen, muss also auf jeden Fall ein sicheres Passwort gewählt werden.

Ein sicheres Passwort hat eine Kombination aus: Groß-/Kleinschreibung, Zahlen und Sonderzeichen und eine bestimmte Mindestlänge. Doch die Mindestlänge stellt beim Merken von Zugangsdaten das zweite Problem dar: Passwörter, die diesen Vorgaben entsprechen, sind besonders schwer zu merken. Um also sichere Passwörter für alle Dienste zu wählen und diese auch nicht sofort wieder zu vergessen, ist ein strukturierter Umgang mit Passwörtern notwendig. Genau aus diesem Grund stellen wir Ihnen in diesem Beitrag einige Passwortmanager vor.

Passwortmanager – Wie sieht das aus?

Ein Passwortmanager ist ein System, in das eine Vielzahl von Passwörtern zu den dazugehörigen Diensten eingetragen werden kann. Diese werden dort unter strengen und geprüften IT-Security-Richtlinien sicher verwaltet und können (hoffentlich) nur vom „Eigentümer der Passwörter“ jederzeit abgerufen werden. Somit haben Sie all Ihre Kennwörter quer über alle Geräte, Dienste, Programme und andere Konten sicher verwahrt.

Passwortmanager im Vergleich*

Wir haben uns einige Passwortmanager genauer angesehen und verglichen:

Abschließend: Bei jedem Passwortmanager besteht ein Restrisiko. Je mehr das Tool in die Online-Welt integriert ist, desto höher ist das Risiko.

Unser Fazit

Legen Sie sich unbedingt einen Passwortmanager zu, um Ihre Passwörter sicher zu verwalten! Unsere Empfehlung: KeePass/XC und lokale Backups. Wer unbedingt eine online Version benötigt – der greift am besten zu 1Password. Unser IT-Sicherheitsexperte und zertifizierter CISO.Prof Erich von Maurnböck unterstützt Sie gerne bei der Einführung. Kontaktieren Sie uns dazu sehr gerne!

* Diese Liste erhebt keinen Anspruch auf Vollständigkeit.

Achtung: Cyberangriff auf Microsoft Exchange Server

Posted by Erich von Maurnböck

Haben Sie einen Microsoft Exchange Server in Verwendung? Falls ja – dann sind Sie möglicherweise von einem schweren Hackerangriff betroffen! Wir haben für Sie in diesem Beitrag die wichtigsten Facts und Tipps zur Sofortumsetzung zusammengefasst.

Sicherheitslücken im Microsoft Exchange Server

Schwerwiegende IT-Sicherheitslücken im Microsoft Exchange Server haben dazu geführt, dass der Dienst für Cyberkriminelle besonders attraktiv geworden ist. Microsoft stellte zwar vor Kurzem Updates, in der IT-Sprache als Patches bezeichnet, zur Verfügung, mit denen die Lücken geschlossen werden können, der Exchange Server war jedoch bereits zuvor im hohen Maß zur Zielscheibe von Hackern geworden. Drei der Sicherheitslücken wurden mit dem Bedrohungsgrad „kritisch“ bewertet.

Betroffene der Angriffe auf den Microsoft Exchange Server

Microsoft bietet Administratoren die Möglichkeit, anhand eines PowerShell-Skripts zu überprüfen, ob es bereits zu einem Angriff auf einen Exchange Server gekommen ist. Das Skript sucht dabei nach typischen Angriffsmerkmalen.
Zu den Opfern des Cyberangriffs zählt neben einigen Organisationen weltweit auch die europäische Bankenaufsichtsbehörde „European Banking Authority (EBA)“.
Eine genau Anzahl an Opfern kann kaum festgestellt werden, fest steht jedoch, dass die Zahlen laufend steigen. Alleine in Deutschland sind bereits zehntausende Systeme betroffen.

Mögliche Schäden durch die Angriffe auf den Microsoft Exchange Server

Da der Microsoft Exchange Server der zentralen Ablage, Verwaltung und Organisation von Emails, Kontakten, Aufgaben, Terminen sowie anderen Diensten dient, wird für Hacker eine große Angriffsfläche aufbereitet, die durch die Großzahl an dort gespeicherten Daten schwere Schäden für Betroffene mit sich bringen kann. Schließlich können anhand der gehackten Dienste personenbezogene Daten Dritten zugänglich gemacht und missbraucht werden.

Microsoft Exchange Server Patchen

Um sicher zu stellen, dass Ihr Microsoft Exchange Server nicht (mehr) angegriffen werden kann, und falls Sie dies noch nicht erledigt haben, sollten Sie unbedingt sofort patchen! Das bedeutet, die wichtigen Sicherheitsupdates von Microsoft downzuloaden und umzusetzen. Mit der Installationen der Updates bzw. Patches können Administratoren die Server vor (weiteren) Cyberangriffen schützen.

Datenpannen-Meldepflicht nach Microsoft Exchange Server Hack?

Zu den Meldepflichten in Bezug auf Datenpannen haben wir in unserem Blog schon mehrmals berichtet, zum Beispiel in diesem Beitrag. In diesem Fall herrscht jedoch bei den Datenschutzbehörden Unklarheit darüber, ob die Vorfälle gemeldet werden müssen. Aus einigen Entscheidungen in den letzten Jahren seit Inkrafttreten der DSGVO verstehen wir aber, dass die Voraussetzungen für eine verpflichtende Meldung einer Datenpanne recht gering sind. So kann bereits ein einziges, falsch adressiertes Email zu einer Datenschutzverletzung werden, die der zuständigen Datenschutzbehörde gemeldet werden muss.
Die Datenschutzbehörden appellieren an die Nutzer von Exchange Servern, anhand des beschriebenen PowerShell-Skripts zu überprüfen, ob sie von den Angriffen betroffen sind, und die zur Verfügung gestellten Sicherheitsupdates unverzüglich zu installieren.
Kann bereits ein eindeutiger, nachweisbarer Angriff bzw. Zugriff auf personenbezogenen Daten nachgewiesen werden, so muss dieser gemäß Artikel 33 DSGVO gemeldet werden.

Unsere Praxistipps

 

ePrivacy-Verordnung: Land in Sicht?

Posted by Erich von Maurnböck

Bereits seit vier Jahren wird an der ePrivacy-Verordnung, die eigentlich gleichzeitig mit der DSGVO in Kraft treten sollte, gefeilt. Nun soll nach langem Hin und Her endlich eine Lösung in Aussicht sein, die allerdings schon jetzt heftig kritisiert wird. In diesem Beitrag haben wir für Sie die wichtigsten Informationen dazu zusammengefasst.

Problematik der ePrivacy-Verordnung

Wieso hat es so lange gedauert, bis nun schließlich eine Einigung über die ePrivacy-Verordnung in Aussicht ist?
Einen besonderen Diskussionspunkt stellten einige praxisbezogene Punkte zum Thema Cookies dar. Aus diesem Grund konnte in den vergangene Jahren keine Mehrheit für diverse Entwürfe erzielt werden. Nun ist dies aufgrund einer Kombination mehrerer Vorschläge endlich gelungen.

Der Entwurf der neuen ePrivacy-Verordnung

Im vorgelegten Entwurf wird beschrieben, dass eine Speicherung von Daten zur Verteidigung der öffentlichen Sicherheit sinnvoll sein kann. Dies entspricht einer aktuellen Entscheidung des EuGH.

Ebenso achtet die Verordnung darauf, Kommunikationsdaten und gespeicherte Endnutzer-Informationen rechtskonform und datenschutzsicher – also im Sinne der DSGVO – zu verarbeiten und weiterzugeben.

Der aktuelle Entwurf sieht vor, dass Daten unter bestimmten Voraussetzungen auch zu anderen als den vorgesehenen Zwecken verarbeitet werden dürfen. Davon sind jedoch alle Verarbeitungen ausgeschlossen, die auf Einwilligungen basieren. Auch dieser Punkt der neuen Verordnung steht in Einklang mit der DSGVO.

Die Möglichkeit, Cookie-Paywalls zu implementieren, wird ebenso in der ePrivacy-Verordnung festgehalten. Hierbei ist jedoch zu beachten, dass Usern die Wahl ermöglicht wird, den gewünschten Dienst auch ohne Cookies zu beziehen. Ebenso müssen am Markt auch Alternativen zu dem jeweiligen Dienst zur Verfügung stehen.

Kritik an der neuen ePrivacy-Verordnung

Eines ist jedoch sicher – wo etwas Neues verkündet wird, lässt Kritik nicht lange auf sich warten.

Besonders Datenschützer sehen im vorgelegten ePrivacy-Entwurf eine Verringerung der durch die DSGVO gewährleisteten Datensicherheit. Diese Besorgnis bezieht sich zum einen auf die Wiedereinführung der Vorratsdatenspeicherung und zum anderen auf die Überlegungen bezüglich der Überwachung von Plattformen. Vor dem Begriff der Vorratsdatenspeicherung fürchten sich viele, obwohl eine solche grundsätzlich harmlos ist. Im Grunde geht es dabei bloß darum, dass Strafverfolgungsbehörden auf Internet- und Telefonkommunikations(meta)daten zugreifen können, die private Anbieter zu diesem Zweck auf Vorrat bereithalten müssen. Beispiele dafür wären, die Bekämpfung von Terrorismus oder Kinderpornographie.

Auch die erwähnte Überwachung von Plattformen bezieht sich lediglich, beispielsweise, auf Uploadfilter im Sinne des Schutzes von Personen. 

Ebenso kritisiert wird die Erlaubnis der Pay or OK“-Cookie-Paywalls.

Hierzu muss allerdings erwähnt werden, dass einige Kritikpunkte häufig aus dem Kontext gerissen wurden und dass der Entwurf sämtliche Entscheidungen und Richtlinien der europäischen Datenschutzbehörden respektiert.

Unser Fazit

Mit der ePrivacy-Verordnung kann endlich ein sinnvoller rechtlicher Rahmen für den Einsatz von Cookies sowie für die Verarbeitung von elektronischen Kommunikationsdaten geschaffen werden. Bis der Entwurf endgültig abgesegnet wird und die Verordnung tatsächlich in Kraft treten kann, liegt wohl noch ein langer Weg vor uns, der vor allem viele rechtliche Schritte beinhaltet.

Wann wir uns also schlussendlich auf die ePrivacy-Verordnung verlassen können, bleibt offen. Wir halten Sie jedoch selbstverständlich am Laufenden.

IT-Sicherheit im Homeoffice

Posted by Erich von Maurnböck

Die Arbeit im Homeoffice stellt meist eine gute Möglichkeit dar, den Beruf weiter auszuüben und dabei zur Eindämmung der Coronavirus-Verbreitung beizutragen. Wobei natürlich die Kombination Homeoffice mit anwesenden Kindern ein besonderer Balanceakt ist – Hut ab vor allen, die das nervlich gut durchhalten! Studien haben schon gezeigt: Im Homeoffice arbeitet man produktiver, die Arbeitgebenden müssen nur Vertrauen aufbringen.

Herausforderungen für die Arbeitgebenden im Homeoffice

Für Arbeitgebende stellt das Arbeiten lassen im Homeoffice jedoch auch eine Herausforderung dar, die einige technische und datenschutzrechtliche Risiken birgt. Wird zuhause gearbeitet, verlieren die Arbeitgebenden die unmittelbare Kontrolle über Daten und IT. Zudem haben unberechtigte Personen, auch Mitbewohner oder Familienmitglieder genannt, leichter Zugriff auf vertrauliche Dokumente und Informationen. Was muss also besonders beachtet werden, um im Homeoffice Sicherheit gewährleisten zu können?

Häufig werden die Endgeräte vom Arbeitgebenden zur Verfügung gestellt. Auf diese Weise können zumindest einige technische Vorkehrungen getroffen werden, um technischen Datenschutz zu gewährleisten. Die Mitarbeitenden müssen sicherstellen, dass die Mitbewohner das Gerät nicht benützen und auch nicht auf Firmendaten zugreifen.

Etwas komplizierter ist es, wenn eigene Endgeräte benutzt werden. Hier helfen nur Vorgaben wie beispielsweise, dass nur über VPN auf die Firmennetzwerke zugegriffen werden darf und die Mitbewohner KEINESFALLS die Passwörter erfahren dürfen.

Homeoffice-Vereinbarungen

Einen wichtigen Baustein zur Homeoffice-Arbeit stellen dafür entworfene Vereinbarungen dar. Dadurch werden die Beschäftigten zur Einhaltung spezieller technischer und organisatorischer Maßnahmen verpflichtet – dies schützt den Dienstgebenden einerseits, aber auch den Dienstnehmenden. Nur wenn ich weiß, wie ich mich verhalten soll, kann ich entspannt zuhause arbeiten.

Unsere Praxistipps

 

Grindr: 10 Millionen Euro DSGVO-Strafe gegen Dating-App

Posted by Erich von Maurnböck

Sensible Daten und illegale Datenweitergabe sind zwei Begriffe, die sich wohl kaum miteinander vereinbaren lassen. Das muss nun auch die Dating-App Grindr in Norwegen lernen, die einer DSGVO-Strafe von rund 10 Millionen Euro entgegenzusehen hat. Wie genau es zu dieser enorm hohen Summe kommt, erfahren Sie in diesem Beitrag.

Fall Gringr

Die Dating-App Grindr, die sich auf Vermittlung von Dates für nicht-hetero Männer spezialisiert hat, muss in Norwegen einer DSGVO-Strafe von 100 Mio.  norwegischen Kronen – umgerechnet rund 10 Mio. Euro – entgegensehen. Dem Unternehmen wird vorgeworfen, personenbezogene Nutzerdaten wie Standort- und Profildaten ohne jegliche rechtliche Grundlage zu Marketingzwecken an mehrere Drittparteien weitergegeben zu haben. Besonders heikel ist noch zu ergänzen, dass die bloße Tatsache, dass Personen auf Grindr registriert sind, Auskunft über sensible Daten gibt – nämlich über die sexuelle Orientierung der registrierten Männer. Informationen darüber sind besonders schützenswert, was den Verstoß gegen die DSGVO weiters verschärft.

Wie kommt es zu einer so hohen Strafe für Gringr?

Grundsätzlich gibt es zwei Arten, nach denen DSGVO-Bußgelder berechnet werden. Bei „kleineren“ Verstößen liegt der Betrag bei höchstens 10 Mio. Euro oder 2 % des Jahresumsatzes während die Höchststrafe bei den schweren Verstößen bei 20 Mio. Euro oder 4 % des Jahresumsatzes liegt – hierbei wird stets der höhere Betrag herangezogen.

In diesem Fall wurde das höhere Strafmaß gewählt, da es sich um eine ungesetzmäßige Weitergabe sensibler Daten handelte. Bei einem Jahresumsatz des Konzerns von rund 100 Mio. Euro würden die 4 % demnach 4 Mio. Euro betragen. Die Datenschutzbehörde hat sich hierbei auf den Höchstrahmen von bis zu 20 Mio. Euro berufen und die Strafe auf 10 Mio. Euro festgelegt.

Wie Sie also sehen können, erlaubt die DSGVO enorme Strafen aufgrund von Datenschutzverletzungen.

Unsere Praxistipps

Videoüberwachung: 10,4 Millionen Euro DSGVO-Strafe

Posted by Erich von Maurnböck

Wissen Sie, wann und wo Sie videoüberwachen dürfen und wie Sie mit den Aufnahmen umzugehen haben? Die Antwort darauf sowie eine Warnung, was bei einem Verstoß passieren kann, erhalten Sie in diesem Beitrag.

Fall Videoüberwachung der Mitarbeitenden

Das Unternehmen „notebooksbilliger.de“ hat über einen Zeitraum von mindestens zwei Jahren Mitarbeitende sowie Kunden am Arbeitsplatz, im Verkaufsraum, im Lager sowie in anderen Aufenthaltsbereichen videoüberwacht. Der Grund dafür war die Verhinderung von Diebstählen und die Nachvollziehbarkeit von Warenflüssen. Eine entsprechende Rechtsgrundlage gemäß DSGVO für die Videoüberwachung war jedoch nicht vorhanden. Die Erklärung des Unternehmens ließ die Datenschutzbehörde nicht durchgehen, da ebenso mit anderen Mitteln wie stichprobenartigen Taschenkontrollen vorgegangen werden hätte können. Ein Generalverdacht ist ebenso unzulässig. Um die Videoüberwachung zu rechtfertigen, hätte es tatsächliche Verdachtsfälle von Fehlverhalten geben müssen.

Aus diesem Grund hat der Landesbeauftragte für Datenschutz in Niedersachsen ein Bußgeld von 10,4 Mio. Euro verhängt. Auf den Umsatz von „notebooksbilliger.de“ umgerechnet sind das ungefähr 1,04 % bis 1,18 %. Grundsätzlich kann das Strafausmaß gemäß DSGVO bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist.

Unsere Praxistipps

Um solche Fehler zu vermeiden raten wir Ihnen: