Hohe Strafen durch die Datenschutzbehörden sind längst keine Seltenheit mehr. Mit jeder noch so winzigen Nichteinhaltung der DSGVO machen Sie Ihr Unternehmen datenschutzrechtlich angreifbar und lösen im schlimmsten Fall ein folgenschweres und teures Verfahren aus.

Fall Google in Belgien

Nachdem Google eine hohe DSGVO-Strafe in Frankreich verbuchen musste, kam es nun auch in Belgien erneut zu einer Strafe gegen den Suchmaschinenbetreiber. Diesmal war der Grund ein Verstoß gegen das Recht auf Vergessenwerden. Eine Person des öffentlichen Lebens in Belgien verlangte von Google die Löschung einiger auf sie bezogener Suchergebnisse. Diese bezogen sich auf Angaben zur politischen Einstellung sowie auf Anschuldigungen der Belästigung, die einige Jahre zurückliegen und niemals bestätigt wurden. Google entschied jedoch, dem Ansuchen nicht nachzukommen und keine der betroffenen Seiten aus den Suchergebnissen zu entfernen. Daraufhin beschwerte sich die betroffene Person bei der Belgischen Datenschutzbehörde. Diese entschied, dass die Informationen über die politische Orientierung angesichts der Tatsache, dass die betroffene Person in der Öffentlichkeit steht, im berechtigten öffentlichen Interesse liegen. Die Suchergebnisse zu den nicht bestätigten Belästigungs-Anschuldigungen, die über zehn Jahre alt sind, sollten jedoch vergessen werden dürfen – auch wenn der Grad zwischen berechtigtem öffentlichen Interesse und der Wahrung der Privatsphäre von Personen im öffentlichen Leben oftmals sehr schmal zu sein scheint. Google verhielt sich fahrlässig, indem es sich weigerte, diese irrelevanten und veralteten Informationen zu entfernen. Aus diesem Grund verhängte die Belgische Datenschutzbehörde die bisher höchste DSGVO-Strafe in Belgien von 600.000,- € gegen den Großkonzern. Bis dorthin lag die höchste verhängte Strafe bei gerademal 50.000,- €.

Unsere Praxistipps

• Bei Anfragen zur Auskunft, Löschung oder Berichtigung der personenbezogenen Daten von Kunden, Mitarbeitern, Lieferanten und ähnlichen. sollten Sie immer sehr gewissenhaft vorgehen und genau beachten, welche Rechte und Pflichten durch die DSGVO für die jeweilige Situation relevant sind.
• Sollten Sie bei Anfragen unsicher sein, wie Sie am besten und rechtskonformsten damit umgehen, kontaktieren Sie uns für Auskunft und Unterstützung.

Bereits 2016 kam es beim Essenszustellungsdienst Foodora zu einem großen Datenleck. Davon waren 727.000 Kunden in insgesamt 14 Ländern betroffen. Bei den Daten handelte es sich unter anderem um Namen, Telefonnummern sowie Standortangaben.

Fall Foodora

Obwohl das Datenleck bereits 4 Jahre zurückliegt, wurde der Vorfall erst im Mai dieses Jahres bekannt. In einem Online-Forum, das für das Posten gestohlener Daten bereits bekannt ist, wurde der Datensatz veröffentlicht.

Daraufhin wurde das Datenleck von „Delivery Hero“, dem Mutterunternehmen von Foodora bestätigt. Dieses nannte ebenso die von der Datenpanne betroffenen Länder – insgesamt 14: Österreich, Deutschland, Frankreich, Italien, Spanien, Schweden, Norwegen, Niederlande, Finnland, Australien, Kanada, Singapur, Hongkong und die Vereinigten Arabischen Emirate.

Rund 24.000 ehemalige österreichische Foodora-Kunden – in Österreich gehört Foodora nun zu Mjam – sind von der unberechtigten Datenveröffentlichung betroffen.

Auf der Seite „Have I been pwned“ kann man überprüfen, ob die eigene Email Adresse damals ebenso im betroffenen Datensatz gespeichert war.

Delivery Hero arbeitet den Datenschutzvorfall aktuell auf. Demnach wird intern eine äußerst sorgfältige Überprüfung der Ursache durchgeführt. Derzeit wird davon ausgegangen, dass die personenbezogenen Daten durch das gezielte Hacken einer Sicherungsdatei (die nicht entsprechend geschützt war) verloren gegangen sind.

Wie man den Fall Foodora vermeidet

Sicherungskopien von Daten sind enorm wichtig, damit haben wir uns in dem Beitrag TOMs: Verfügbarkeitskontrolle von Daten beschäftigt. Jedoch muss hierbei unbedingt sichergestellt werden, dass auch die Sicherungsdateien bestens vor unbefugtem Zugriff geschützt werden! Wie Sie in der Praxis dafür sorgen, können Sie wiederum in unserem Beitrag zu den ersten Kontrollschritten der TOMs nachlesen.

Aufgrund der Datenpanne droht dem Lieferdienst nun eine DSGVO-Strafe in der Höhe von bis zu 4% des konzernweiten Jahresumsatzes von Delivery Hero.
2019 wurde in Deutschland bereits eine DSGVO-Strafe von 200.000,- € gegen das Unternehmen verhängt.

Zudem wurden die nationalen Datenschutzbehörden der betroffenen Länder über den Vorfall informiert. Diese werden nun die betroffenen (ehemaligen) Foodora-Kunden informieren.

Unsere Praxistipps

• Überprüfen Sie unbedingt regelmäßig die technischen und organisaorischen Maßnahmen (TOM’s), ob diese in Ihrem Unternehmen rechtskonform umgesetzt werden!
• Kontaktieren Sie uns bei weiteren Fragen.

 

Wegen undurchsichtiger Privatsphäre-Einstellungen sowie Werbung ohne Rechtsgrundlage wurde gegen Google nun in Frankreich vom Conseil d´Etat die bisher höchste DSGVO-Strafe bestätigt, die von der französischen Datenschutzbehörde verhängt worden war.

Fall Google

Bereits Anfang 2019 wurde von der französichen Datenschutzbehörde Commission Nationale de l’Informatique et des Libertés (CNIL) gegen Google die bisher höchste Strafe seit Inkrafttreten der DSGVO verhängt.

Grund dafür war, dass Nutzer des Suchmaschinenbetreibers nicht ausreichend über das Verfahren zur Platzierung von Werbung aufgeklärt wurden. Allgemein sei nach Angaben der CNIL die Aufklärung über die Verarbeitung von Daten sowie auch über andere vielseitige Google-Dienste wie Google Maps oder YouTube nicht ausreichend transparent.

Google legte Berufung ein

Google legte gegen die Entscheidung Berufung ein und argumentierte vor allem damit, dass die französische CNIL nicht zuständig sei, da sich der europäische Hauptsitz des Unternehmens in Irland befinde. Die DSGVO schreibe im sogenannten „One-Stop-Shop-Prinzip“ vor, dass der Fall aus diesem Grund von der irischen Datenschutzbehörde behandelt werden müsse, die allgemein als äußerst konzernfreundlich gilt und so gut wie nie Strafen verhängt.

Der Conseil d`Etat, der französische Staatsrat, bestätigte jedoch die Entscheidung der CNIL in der vergangenen Woche. Die Beschwerde von Google wurde demnach zurückgewiesen und der Suchmaschinenbetreiber muss der bisher höchsten verhängten DSGVO-Strafe im Ausmaß von 50 Millionen Euro in Frankreich entgegensehen. Dabei darf jedoch nicht ungesagt bleiben, dass die potenzielle Höchststrafe bei 3,7 Milliarden € (!) gelegen hätte!

Unser Fazit

Wie dieser Fall zeigt, drohen hohe Strafen bei undurchsichtigen Privatsphäre-Einstellungen und Werbung ohne Rechtsgrundlage. Ob Werbung ohne Einwilligung möglich ist, lesen Sie hier. Vermeiden Sie diese Fehler und holen Sie sich unsere Unterstützung wenn Sie sich unsicher sind. Wir helfen Ihnen gerne bei Unklarheiten und überprüfen Ihre Website und andere Tools.

 

Das Arbeitsgericht Düsseldorf hat einer betroffenen Person in erster Instanz einen Schadenersatz von 5.000,- € zugesprochen. Grund dafür ist, dass die erfragte Auskunft vom ehemaligen Arbeitgebenden weder fristgerecht noch vollständig erteilt wurde.

Schadenersatz für ehemaligen Mitarbeitenden

Die betroffene Person verlangte bereits im Sommer 2018 Auskunft über die Verarbeitung der persönlichen Daten beim ehemaligen Arbeitgeber. Somit machte die Person von ihrem Recht Gebrauch, das durch die DSGVO (und auch lokale Datenschutzgesetze) jeder betroffenen Person zusteht – dem Recht auf Auskunft.

Monate später – fernab von der in der DSGVO festgelegten Monatsfrist – erhielt die Person eine Auskunft, die jedoch die Fragestellung keineswegs beantwortete. Aus diesem Grund reichte der ehemalige Mitarbeitende Klage wegen Nichterteilung der Auskunft ein. Und verlangte 140.000,- € als Wiedergutmachung für den erlittenen Schaden!

Schadenersatz freigegeben

Das Arbeitsgericht Düsseldorf gab dieser Klage nun teilweise statt. Das Vorgehen des ehemaligen Arbeitgebenden stellt eine Verletzung des Auskunftsrechts dar und behindert somit eine Ausübung der Rechte im Sinne der DSGVO. Diese Beeinträchtigung ist als immaterieller Schaden anzusehen. Das Gericht spracht in erster Instanz „nur“ 5.000,- € als Schadenersatz zu. 

Unser Praxistipp

• Beantworten Sie Auskunftsbegehren immer sorgfältig und fristgerecht. Sie haben dafür nur einen Monat Zeit, das ist wirklich kein langer Zeitraum!
• Erarbeiten Sie intern ein Konzept oder Leitfaden, in dem genau festgelegt ist, wer für die Beantwortung zuständig ist. Sie können dazu auch eine „Muster-Auskunft“ vorbereiten.
• Weitere Informationen zum Auskunftsbegehren erhalten Sie in diesem Beitrag.
• Kontaktieren Sie uns bei weiteren Fragen.

Gegen das deutsche Versandunternehmen Kolibri Image wurde eine DSGVO-Strafe über 5000,- € verhängt. Der Grund dafür war, dass kein Auftragsverarbeiter-Vertrag mit einem von ihm beauftragten Dienstleister abgeschlossen wurde.

Auftragsverarbeiter-Vertrag für jeden Dienstleister

Dieser Dienstleister verarbeitete im Auftrag des verantwortlichen Kleinstunternehmens Kundendaten, ein Auftragsverarbeiter-Vertrag, der gemäß DSGVO verpflichtend ist, war jedoch nicht vorhanden.

Das Fehlen eines solches Vertrages rechtfertigte Kolibri Image damit, dass die internen Prozesse des Dienstleisters nicht bekannt waren. Außerdem wäre die Übersetzung für den spanischen Anbieter zu teuer gewesen. Diese Rechtfertigung wurde von der zuständigen Datenschutzbehörde jedoch nicht akzeptiert. Schließlich liegt die Verantwortung zum Vertragsabschluss sowie zur Kontrolle des Dienstleisters IMMER beim auftraggebenden Unternehmen.

Strafverschärfend kam außerdem hinzu, dass die Geschäftsbeziehung weiterhin ohne Vertrag aufrecht erhalten wurde.

Mehr Informationen finden Sie in diesem Beiträge. Hier widmen wir uns voll und ganz dem Thema Auftragskontrolle und den dazugehörigen Maßnahmen, wie unter anderem der Verpflichtung zur Abschließung eines Auftragsverarbeiter-Vertags.

Unsere Praxistipps

• Überprüfen Sie Ihre Auftragsverarbeiter sorgfältig und regelmäßig.
• Schließen Sie unbedingt mit jedem Auftragsverarbeiter einen Vertrag ab.
• Prüfen Sie auch regelmäßig die TOMs Ihres Auftragsverarbeiters.
• Bei weiteren Fraegn kontaktieren Sie uns, wir unterstützen Sie gerne.

In einem rumänischen Hotel wurde eine Liste mit 46 Frühstücksgästen von unbefugten Personen abfotografiert und anschließend im Internet veröffentlicht. Das Hotel selbst meldete die Datenpanne vorschriftsmäßig an die Datenschutzbehörde.

Dieser Fall „kann“ jedem Veranstalter, jedem Hotel/Restaurant, jedem Fortbildungsinstitut passieren.

Strafe wegen Datenschutzverletzung

Die Datenschutzbehörde verhängte eine Geldstrafe von 15.000,- € aufgrund der Datenschutzverletzung. Die Begründung war, dass der Hotelbetreiber nicht ausreichend sichergestellt hatte, dass jene Mitarbeitenden, die Zugang zu personenbezogenen Daten haben, diese ausschließlich rechtmäßig verarbeiten. Die Aufsichtsbehörde sah demnach einen erheblichen Mangel in den technischen und organisatorischen Maßnahmen (TOMs) des Hotels.

Unser Praxistipp

• Informieren Sie sich ausführich über die TOMs: Die TOMs – Maßnahmen zum Datenschutz und Die TOMs 2.0 – Praxistipps
• Überprüfen Sie genau, welche Schutzmaßnahmen Sie im Datenschutz umgesetzt haben: Sind diese ausreichend und auf dem neuesten Stand? Gibt es nicht noch weitere sinnvolle Möglichkeiten, die Sie in Ihrem Unternehmen umsetzen könnten? Arbeiten Sie stets auf der datenschutzsicheren Seite? Sind Ihre Mitarbeiter entsprechend instruiert?
• Kontaktieren Sie uns für einen Beratungstermin bezüglich Ihrer TOMs und deren korrekter betrieblicher Umsetzung. Wir freuen uns auf Ihre Anfragen.
  

In Holland stellte eine Großmutter Fotos ihrer Enkelkinder auf Facebook und Pinterest und weigerte sich, diese auf Aufforderung der Mutter wieder aus dem Netz zu entfernen. Diese zeigte sie daraufhin mit Verweis auf die DSGVO an.

Strafe wegen Fotos auf Social Media

Die Großmutter hatte ein Foto ihres Enkels auf Facebook und ein weiteres der anderen beiden Enkelkinder auf Pinterest veröffentlicht. Ihre Tochter forderte sie daraufhin mehrmals auf, die Fotos der Kinder aus dem Internet zu löschen – ihre Mutter kam der Aufforderung jedoch nicht nach. Daraufhin brachte die dreifache Mutter den Fall vor Gericht und forderte dort mit Bezug auf die DSGVO die sofortige Löschung der veröffentlichten Fotos der fünf- bis vierzehnjährigen Kinder. Das Gericht gab ihr Recht und verhängte gegen die Großmutter eine Geldstrafe von 50,- € (bis hin zu einer Höchstestrafe von 1.000,- €) für jeden weiteren Tag, an dem sie die Fotos nicht löschte. Die Entscheidung wurde damit begründet, dass es sich um einen Verstoß gegen die DSGVO handle. Das Sorgerecht lag nicht bei der Oma und es handle sich dabei um keine private Aktivität, die Fotos auf Social-Media-Plattformen zu veröffentlichen und somit unter Umständen auch über Suchmaschinen wie Google auffindbar zu machen. Achtung: Das Posten von Fotos anderer Personen im Internet ist aus zweierlei Gründen heikel: Erstens wird dadurch das „Recht am eigenen Bild“ eventuell verletzt. Zweitens kann es sich um einen Datenschutzverstoß handeln, wenn man keine Einwilligung dazu hat. Besonders interessant in diesem Fall aus Holland ist noch: Die DSGVO kommt im privaten Bereich eigentlich gar nicht zur Anwendung. Trotzdem hat sich das Gericht darauf bezogen. Eine Verletzung des Rechts am eigenen Bild (ein weiteres Menschenrecht) stellt der Vorgang aber in jedem Fall dar.

Fotos der Mitarbeitenden

Sollten Sie beispielsweise Fotos Ihrer Mitarbeitenden auf Ihrer Website oder in Social-Media-Kanälen posten, müssen diese das vor dem Posting erlauben. Für solche Muster-Einwilligungen können Sie uns gerne kontaktieren.

Unsere Praxistipps

• Seien Sie auch privat äußerst vorsichtig beim Posten.
• Stellen Sie keine Kinderfotos ins Netz. Diese sind schließlich (noch) nicht in der Lage, in eine Veröffentlichung einzuwilligen oder zu widersprechen.
• Was Mitarbeitende und Kollegen betrifft: Unbedingt eine Einwilligung einholen!
• Wenn Sie weitere Fragen haben, kontaktieren Sie uns.