Die Pflicht zur Bestellung eines Datenschutzbeauftragten trifft Unternehmen, die in bestimmten Bereichen angesiedelt sind, zum Beispiel Banken, Versicherungen, Kreditauskunfteien. Und natürlich Unternehmen, die von Berufs wegen Daten verarbeiten, wie jegliche IT-Dienstleister (Auftragsverarbeiter!), APP-Anbieter, Softwareanbieter. Darüber hinaus, auch Unternehmen, die sensible Daten verarbeiten, wie Gesundheitsdienstleister, Ärztezentren, Krankenhäuser, und etliche andere mehr. Freiwillig bestellen kann natürlich jedes Unternehmen einen oder eine. Dies wird auch immer populärer, einerseits aus Gründen der Rechtssicherheit, andererseits aus Gründen des Marketings („wir passen besonders gut auf Ihre Daten auf“). Hat ein Unternehmen einen eigenen Datenschutzbeauftragten (freiwillig) bestellt, nimmt dieser dort auch eine wichtige Stellung ein: Er oder sie berät das Unternehmen hinsichtlich datenschutzrechtlicher Pflichten und stellt sicher, dass alle Datenschutzvorschriften eingehalten werden (das ominöse, mit Malware versehene Testmail an alle Mitarbeiter zur Schaffung von Awareness kommt von ihm! Oder ihr ;-)).
Auf Grund dieser wichtigen Rolle schreibt die DSGVO vor, dass diese Position nur Personen ausüben dürfen, die keinem Interessenkonflikt durch andere Aufgaben unterliegen (Art 38 Abs. 6 DSGVO).
Ein solcher Interessenkonflikt lag bei einem Datenschutzbeauftragten einer Tochtergesellschaft eines E-Commerce-Konzerns in Berlin vor. Der Mann war nämlich nicht nur Datenschutzbeauftragter des Unternehmens sondern freundlicherweise auch noch Geschäftsführer von zwei Gesellschaften, die im Auftrag des Unternehmens personenbezogene Daten verarbeiteten. Damit nicht genug, sind die beiden Gesellschaften auch noch Teil des Konzerns. Also alles unter einem Dach, kein Problem, oder?
Der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDl) sah das naturgemäß anders: „Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden“, so ein Sprecher des BlnBDl. So aber im vorliegenden Fall geschehen, da der Datenschutzbeauftragte des E-Commerce Unternehmens die Einhaltung des Datenschutzes nicht nur im Unternehmen, für das er bestellt war, überwachen musste, sondern eben auch im Rahmen der Auftragsverarbeitung für die beiden Dienstleistungsgesellschaften, die von ihm selbst als Geschäftsführer geleitet wurden. Laut BlnBDI und wohl auch für viele Leserinnen und Leser dieses Beitrags ein eindeutiger Interessenkonflikt!
Die Folge: Eine Verwarnung des BLNBDI im Jahr 2021 und da sich am Prozedere der Doppelfunktion im Unternehmen seitdem nichts geändert hatte – ein Bußgeld in Höhe von 525.000 Euro!
Unter dem etwas sperrigen Titel „HinweisgeberInnenschutzgesetz (HSchG)“ hat der Österreichische Gesetzgeber im Juni 2022 endlich einen Gesetzesentwurf geliefert, der die Whistleblowing EU-Richtlinie lokalgesetzlich umsetzen soll. Eine Beschlussfassung im österreichischen Parlament steht zwar noch aus, sollte jedoch nur mehr Formsache sein. Wir rechnen noch im Herbst damit. Nachdem die Whistleblowing Richtlinie jedoch sehr klar formuliert ist, wäre aus unserer Sicht die Einführung im Unternehmen bereits im Dezember 2021 notwendig gewesen. Hier die wichtigsten Punkte, die für Sie als Unternehmer umzusetzen sind.
Unter Hinweisgeber oder eben Whistleblower versteht man sämtliche Personen, die im beruflichen Umfeld Verstöße gegen österreichisches Recht sowie Unionsrecht melden wollen. Diese Personen (z.B. Mitarbeiter, Bewerber, Praktikanten, Mitglieder von Leitungsorganen, Lieferanten, etc.) gilt es gezielt zu schützen, etwa dass keine zivil-, straf-, oder verwaltungsrechtliche Haftung nach einer Meldung besteht oder dass diese in der Folge z.B. nicht gekündigt werden.
Wenn Sie ein Unternehmen mit 50 oder mehr Mitarbeitenden führen- ja. Hier macht der Gesetzgeber keine Unterschiede. Für Unternehmen mit weniger als 250 Beschäftigten sind die Bestimmungen allerdings erst bis 18.12.2023 umzusetzen, für alle anderen sofort ab Inkrafttreten des Gesetzes. Achtung: Für Unternehmen der Finanzbranche (juristische Personen, also GmbHs und AGs) gibt es keine Einschränkungen. JEDES dieser Unternehmen, egal, wie viele Mitarbeitende beschäftigt werden, hat eine Meldestelle einzuführen.
Es ist ein internes, sicheres und natürlich DSGVO-konformes Meldesystem einzurichten. Wie das ausgestaltet ist, überlässt der Gesetzesentwurf jedem Unternehmen selbst, empfehlenswert ist aus unserer Sicht jedenfalls die Umsetzung mittels einer eigenen Whistleblower-Software.
Lesen Sie dazu in einem unserer nächsten Newsletter, wie auf eingehende Meldungen reagiert werden muss!
Ja! Wer gegen das Bundesgesetz verstößt, also z.B. keinen Meldekanal einrichtet, Meldungen behindert oder Vergeltungsmaßnahmen gegen Whistleblower nach einer Meldung vornimmt, kann mit bis zu 20.000 Euro (im Wiederholungsfall bis zu 40.000 Euro) bestraft werden! Ebensolchen Strafen unterliegt auch jede Person, die unwahre Behauptungen gegen ein Unternehmen vorbringt – also sind auch wir Unternehmer geschützt.
Dass der Autohersteller VW nicht gerade das gesetzestreueste Unternehmen ist, ist seit dem Abgasskandal kein Geheimnis mehr. Nun ist es wieder einmal soweit, denn ein weiteres Mal hat VW tief in die Tasche zu greifen. Grund dafür sind Verstöße gegen Datenschutzregeln beim Test von Assistenzsystemen für neue Automodelle.
Testfahrten zur Vermeidung von Verkehrsunfällen sind VW nun sehr teuer gekommen, denn dabei wurden Überwachungskameras ohne erforderliche Kennzeichnung verwendet. Diese wurden zur Fehleranalysen eingesetzt, um das Verkehrsgeschehen rund um das Fahrzeug aufzuzeichnen. Aufgedeckt wurde diese Tatsache von der österreichischen Polizei im Rahmen einer üblichen Verkehrsüberwachung.
Anschließend stellte die niedersächsische Landesbeauftragte für Datenschutz, Barbara Thiel, folgende vier Verstöße gegen die DSGVO fest und verhängte eine Strafe in Höhe von 1,1 Mio. Euro:
1. Nichteinhaltung der Aufklärungspflicht der anderen Verkehrsteilnehmer über den Zweck der durchgeführten Datenverarbeitung und die Frist der Speicherung der personenbezogenen Daten – Verstoß gegen Art. 13 DSGVO
2. Fehlen eines Vertrages mit dem Auftragsverarbeiter, der die Fahrten durchführte – Verstoß gegen Art. 28 DSGVO
3. Fehlen einer Datenschutzfolgenabschätzung – Verstoß gegen Art. 35 DSGVO
4. Fehlen von technischen und organisatorischen Schutzmaßnahmen – Verstoß gegen Art. 30 DSGVO
Dass die Nichteinhaltung der DSGVO teuer werden kann, darüber haben wir Sie schon in zahlreichen Newsbeiträgen informiert. Auch unser heutiges Beispiel soll Ihnen helfen, Geld für wirklich Wichtiges zu sparen.
Aufgepasst, Gerichte scheuen sich nicht mehr, zu Schadenersatzzahlungen in 4stelliger Höhe zu verurteilen. So auch ein Arbeitsgericht (ArbG Neuruppin) im Bezirk Berlin.
Kurz vor Weihnachten 2021 wurden einer Klägerin 1.000 Euro Schadenersatz zugesprochen. Die Dame hatte bei der Beendigung ihres Dienstverhältnisses ihren Dienstgeber aufgefordert, ihre Daten von der Webseite zu entfernen. Die ehemalige Mitarbeiterin musste die Aufforderung ein weiteres Mal durch ihren Anwalt vorbringen. In Folge dessen hat der ehemalige Dienstgeber eine Unterlassungserklärung abgegeben und 150 Euro an die Betroffene bezahlt.
Folgendes hat das Gericht festgestellt:
Die Klägerin wurde weiterhin auf der Internetseite des beklagten Unternehmens geführt, obwohl sie dort nicht als Biologin tätig war, sondern lediglich im Büromanagement beschäftigt wurde, insofern waren die Daten auch nicht zutreffend. Dabei spielt es entgegen der Ansicht der Beklagten auch keine Rolle, dass die Klägerin mit ihrem „Mädchennamen“ dort aufgeführt wird und nicht mit ihrem tatsächlichen „Doppelnamen“. Bereits dadurch wurde die Klägerin in ihren Persönlichkeitsrechten verletzt.
Die Betroffene musste in diesem Fall keinen entstandenen Schaden beweisen. Das Gericht hat auf Basis des Art. 82 DSGVO einen Schadenersatz in Höhe von 1.000 Euro (abzüglich der bereits bezahlten 150 Euro) als angemessen erachtet.
Allerdings: Die Dame wollte (wohl motiviert durch ihren Rechtsanwalt) eigentlich 5.000 Euro Schadenersatz erhalten. Das war dem Gericht dann doch zu viel. Und: Wenn man viel zu viel einklagt, muss man dann auch selber die Kosten tragen, nämlich in diesem Fall 4/5 der Gesamtkosten des Gerichtsverfahrens. Als kleine Anekdote nebenbei.
Falls Sie die Details zum Urteil wissen möchten, finden Sie diese unter folgendem Link https://openjur.de/u/2393301.html.
Bei der Formulierung von Einwilligungen helfen Ihnen MeineBerater jederzeit gerne 😉
In unserem aktuellen Beitrag, der sich einmal mehr mit der österreichischen Datenschutzbehörde beschäftigt, geht es zur Abwechslung einmal nicht um ein verhängtes Bußgeld gegen ein Unternehmen, ein laufendes Verfahren oder ein (Teil-) Urteil zu Google Analytics. Vielmehr um eine rechtliche Klarstellung, nämlich ein FAQ zum Thema „Cookies und Datenschutz“ mit dem aktuellen Stand 25. Mai 2022 und einigen aktuellen Grundsätzen zur Ausgestaltung des Cookie-Banners.
Darin werden Themen wie „Wann sind Cookies „technische notwendig“?“, „Wie erfülle ich die Informationspflicht für die Verwendung von Cookies auf meiner Website?“ und ob „pay or okay“ zulässig ist, behandelt. Wer solche Fragen schon immer durch die Augen der Datenschutzbehörde beurteilt wissen wollte, hat jetzt dazu die Möglichkeit: https://www.dsb.gv.at/download-links/FAQ-zum-Thema-Cookies-und-Datenschutz.html
Im Konkreten gibt es auch Vorgaben, wie ein Cookie-Banner ausgestaltet sein muss, damit der Nutzer wirksam einwilligen kann. Unter anderem nämlich, dass im Cookie-Banner klar und deutlich beschrieben sein muss, wo bzw. wie die erteilte Einwilligung nachträglich auch wieder widerrufen werden kann. Ein Umstand, der bei der Ausgestaltung gerne vergessen wird: Gemäß Art 7 (3) DSGVO muss nämlich der nachträgliche Widerruf einer einmal erteilten Einwilligung ebenso einfach sein wie die Erteilung der Einwilligung! Im Cookie-Banner sollte deshalb unbedingt ein Hinweis an prominenter Stelle (am besten im Hauptfenster des Banners) gesetzt werden, wo dieser Widerruf der Einwilligung bzw. der Cookie-Setzung erfolgt. Ob das dann z.B. im Footer der Seite oder in der Datenschutzerklärung passiert, bleibt dem Seitenbetreiber vorenthalten.
Strafe 1.100 Euro, Kostenbeitrag 110 Euro für den Geschäftsführer! Aus einem aktuellen Erkenntnis des Bundesverwaltungsgerichts vom 27. Jänner 2022 ergibt sich, dass ein Geschäftsführer zu 1.100 Euro Geldstrafe zuzüglich 110 Euro Kostenbeitrag für das Strafverfahren verurteilt wurde. Grund: Trotz angeblicher Erfüllung eines Löschbegehrens des Betroffenen und Bestätigung des Unternehmens, dass die Daten gelöscht wurden, wurden weitere „Newsmails“ an den Betroffenen versendet.
Der Betroffene hatte sich selbst bei einer Verlagsgesellschaft zum Newsletter sowie einem online Abonnement angemeldet und hierfür seine Email Adresse bekannt gegeben. Er wollte seine Daten nach einiger Zeit wieder löschen lassen. Dafür hat der Betroffene ein Löschbegehren an die korrekte Datenschutzadresse der Verlagsgesellschaft gesendet. Diese hat die Löschung auch bestätigt. Aber: Die Verlagsgesellschaft hat das online Abonnement und den Newsletter als zwei unterschiedliche Dienstleistungen angesehen und nur für das online Abonnement die Email Adresse gelöscht. Vom Newsletter hätte sich der Betroffene – so die Verlagsgesellschaft – gesondert abmelden müssen.
Was sagt das Bundesverwaltungsgericht dazu (sorry, sehr juristisch ;-))?
„Dabei ist zu beachten, dass die Auslegung der Erklärung am Empfängerhorizont zu messen ist, wobei die aus der Erklärung abzuleitenden Rechtsfolgen nicht (nur) danach zu beurteilen sind, was der Erklärende sagen wollte oder was der Erklärungsempfänger darunter verstanden hat, sondern wie die Erklärung bei objektiver Beurteilung der Sachlage durch einen redlichen und verständigen Menschen zu verstehen war. […]
Wie die Formulierung zeigt, sieht das BVwG den Newsletter und das online Abonnement nicht getrennt, da bei „objektiver Beurteilung“ erkennbar ist, dass für beide Dienstleistungen die Email Adresse benötigt wird. Für Detailverliebte hier der Link zum gesamten Erkenntnis vom 27.01.2022, W 1482247976-1/9E W 1482258164-1/9E.
Also muss der Betroffene auch nicht alle Dienstleistungen/Verarbeitungen anführen, für welche seine Daten zu löschen sind. Das datenverarbeitende Unternehmen muss jedoch die personenbezogenen Daten im Gesamten betrachten.
Die Email Adresse hätte im Zuge des Löschbegehrens an allen Stellen und aus allen Diensten gelöscht werden müssen.
Da Geschäftsführer gemäß § 9 (1) VStG haften und in diesem Fall keine anderen verantwortlichen Beauftragten genannt waren, trifft den Geschäftsführer der Verlagsgesellschaft die Strafe in Höhe von 1.100,- Euro zuzüglich Kostenbeitrag persönlich! Ganz zu schweigen von den Anwaltskosten.
Fast untergegangen wäre die Meldung eines durch die Österreichische Datenschutzbehörde verhängten Bußgeldes gegen ein Kreditinstitut (um welches es sich handelt ist – noch – nicht bekannt). Untergegangen deshalb, weil Informationen dazu erst jetzt im Jahresbericht der Datenschutzbehörde für das Jahr 2021 zu lesen sind.
Im Abschnitt „Verhängung von Geldbußen durch die Österreichische Datenschutzbehörde: Erfahrungs- und Vollzugsbericht 2021“ beschreibt die Datenschutzbehörde kurz und bündig den folgenden Sachverhalt.
In besagtem Kreditinstitut wurde zum Zweck der internen Verwendung und der Administration von Bankkunden ein Excel-Dokument geführt, welches personenbezogene Daten eben dieser Kunden enthielt. Gravierender Weise nicht nur etwa Kundenname, sondern auch Alter, Adressdaten und Erreichbarkeiten, Geburtsdatum, Einkommen, Produktbesitz, Volumen je Produkt, Nutzung von Bankservices, Name und Abteilung der Betreuerin und eine betriebswirtschaftliche und bankorganisatorische Kennzeichnung des jeweiligen Kunden – von gesamt 5.971 Kunden!
Als datenschutzinteressierter Leser ahnen Sie sicher schon, in welche Richtung der Vorfall geht. Die Excel-Datei war einerseits weder verschlüsselt oder durch sonstige Maßnahmen vor einer unbefugten Offenlegung durch Dritte geschützt, auf der anderen Seite wurde diese Datei filialweise auf einem internen Laufwerk gespeichert – somit hatte jeder Filial-Mitarbeiter Zugriff und Einsicht in diese Datei.
Dafür alleine würde schon eine Abmahnung durch die Behörde folgen können, der Super-GAU erfolgte dann aber in leider klassischer Weise: Eine Filialmitarbeiterin schloss an eine Mail, welche an 234 Kunden versendet wurde, versehentlich diese Excelliste an. Die Folge: Daten der gespeicherten Kunden wurden erfolgreich an 227 (unberechtigte) Empfänger zugestellt.
Die Datenschutzbehörde sah im völlig verständlichen Ergebnis einen Verstoß des verantwortlichen Kreditinstituts gegen Art. 5 Abs 1 lit. F DSGVO (Grundsatz der Integrität und Vertraulichkeit) sowie gegen Art. 32 DSGVO (Pflicht zur Implementierung geeigneter technischer und organisatorischer Maßnahmen und verhängt eine (nicht rechtskräftige) Geldbuße in der Höhe von 4 Mio. Euro.
Die Qualität einer gelungenen internen Kommunikation steht im direkten Zusammenhang zum Geschäftserfolg und zur Loyalität und Motivation der Mitarbeitenden.
Wir beobachten in Unternehmen aber oft, dass keine praxistaugliche Lösung im Einsatz ist, weil auch ein Teil der Belegschaft keinen Büroarbeitsplatz hat. Oft hat sich ein Flickwerk an Kommunikationsapplikationen breit gemacht, das dsgvo-technisch im roten Bereich liegt, definitiv Zeit und Geld kostet – und im schlimmsten Fall den Verlust von wertvollen Mitarbeitenden mit verursacht.
Wir hören dann auch fast bei jedem Beratungsmandat die Frage: „Gibt es denn eine Alternative zu WhatsApp etc. – vielleicht noch mit einem Mehrwert, á la Teaminformationen, schwarzes Brett usw.“?
Ja, es gibt Software bzw. Apps auf dem Markt, die so etwas können. Wir sind dabei auf die MyCompany App gestoßen, deren handelnde Personen wir sehr gut kennen und schätzen. Ihre APP ist zu 100 % dsgvo-konform zu empfehlen. Alle Daten liegen auf sicheren Servern in Deutschland und der Datenverkehr läuft SSL-verschlüsselt ab.
Die MyCompany-App ist in diesem Sinne eine hervorragende, umfangreiche und funktionale mobile Mitarbeiter-App Lösung, die mit zehn individuellen Funktionen eine professionelle digitale Unternehmenskommunikation ermöglicht. Sie präsentiert sich ohne viel Schnickschnack und überzeugt durch eine hohe Anwenderfreundlichkeit und Funktionalität. Gut finden wir auch, dass sich die App Dank simplen Step-by-Step-Anweisungen mit geringem Zeitaufwand ganz einfach selbst eingerichtet werden kann.
Es gibt für Interessenten eine kostenlose 30-Tage Testversion, für Leser auf www.MeineBerater.at sogar eine darüber hinaus längere Testvariante. Statt der 30 Tage gibt es ein 60-Tage Testangebot.
Weitere Informationen finden Sie auf dieser Seite: https://mycompany.app/special-fuer-meine-berater-kunden/
In Zeiten, in denen sich das datenschutzrechtliche Hauptaugenmerk größtenteils um die Rechtskonformität von Google Analytics, die wichtigen aber zugegebenermaßen manchmal lästigen Cookie-Banner, sowie die Frage dreht, wann denn endlich die E-Privacy Verordnung kommt, haben wir zur Abwechslung einmal wieder eine Meldung aus dem analogen Bereich. Ein italienisches Unternehmen hatte einem Kunden Unterlagen per Post auf nicht datenschutzkonforme Weise zugeschickt und dafür auch ein saftiges (analoges) Bußgeld erhalten 😉
Anlass zur Beschwerde des Kunden bei der italienischen Datenschutzbehörde war nicht der Inhalt des Briefes – dieser enthielt lediglich Informationen zu den Finanzdienstleistungen des Unternehmens. Bemängelt wurde eher der Umschlag, in dem sich diese Informationen befanden. Auf diesem befand sich nämlich für jeden gut ersichtlich der Text „anomaler Kredit“ aufgedruckt.
Die italienische Datenschutzbehörde erkannte darin richtigerweise einen Verstoß gegen die Grundsätze der Rechtmäßigkeit und Transparenz sowie der Datenminimierung. Unabhängig vom tatsächlichen Inhalt, der sich in dem Brief befindet, ermöglicht ein solcher Aufdruck einem Dritten Aufschluss über die finanzielle Situation einer Person – im vorliegenden Fall des Beschwerdeführers.
Besonders pikant ist die Situation auch deswegen, weil die Behörde bereits im November 2005 (!) in einer Generalverfügung festgelegt hat, dass aufgrund des hohen Risikos beim Verschicken von Finanzkommunikation „geschlossene Umschläge zu verwenden sind, die nur die für die Identifizierung des Absenders und die Zustellung erforderlichen Daten enthalten.“