Datenschutz & DSGVO - Newsticker

18. Februar 2019

5000 Euro Bußgeld für fehlenden Auftragsverarbeitungsvertrag

Die Hamburger Datenschutzbehörde verhängt ein Bußgeld in Höhe von 5000 Euro zuzüglich 250 Euro Gebühren wegen des Fehlens eines Auftragsverarbeitungsvertrags mit einem spanischen Dienstleister des Unternehmens. Nach Ansicht der Behörde wurden schützenswerte Daten ohne Rechtsgrundlage an den Dienstleister übermittelt. Das an der Größe des Unternehmens gemessen vergleichsweise empfindliche Bußgeld hängt auch damit zusammen, dass  sich das Unternehmen zudem höchst unkooperativ gezeigt hatte.

Dies verdeutlicht zum einen, dass sich ein kooperatives Verhalten gegenüber den Datenschutzbehörden durchaus  strafmildernd auswirken kann. Zum anderen verdeutlicht dieser  Fall aber zudem auch , dass die Pflicht zum Abschluss eines Auftragsverarbeitungsvertrages nach Ansicht der Datenschgutzbehörden sowohl den Verarbeiter als auch den Verantwortlichen trifft.

Unternehmen sollen und müssen deshalb selbst eine entsprechende Vereinbarung verfassen und an den Auftragsverarbeiter übermitteln falls der Dienstleister von sich aus keine eigene Vereibarung zur Verfügung stellt um sich nicht dem Risiko eines empfindlichen Bußgeldes auszusetzen.

31. Januar 2019

Die Europäische Kommission hat einen neuen Angemessenheitsbeschluss erlassen. Damit erkennt die EU das Datenschutzniveau in Japan als adäquat an. Danach herrscht in Japan ein angemessenes Datenschutzniveau. Auf Basis dieses Beschlusses können nun personenbezogene Daten ungehindert zwischen der EU und Japan ausgetauscht werden.

Die offizielle Pressemitteilung der Europäische Kommission mit weiteren Informationen finden Sie hier.

23. Januar 2019

Französische Datenschutzbehörde CNIL verhängt wegen Verstößen gegen die DSGVO gegen Google ein Bußgeld von 50 Millionen Euro

Die Behörde begründete den Schritt mit mangelnder Transparenz von Google im Umgang mit persönlichen Informationen der Nutzer.

In der Pressemitteilung der CNIL heißt es: „Wesentliche Informationen, wie die Zwecke der Datenverarbeitung, die Aufbewahrungsfristen oder die Kategorien von personenbezogenen Daten, die für die Personalisierung der Anzeigen verwendet werden, sind zu sehr auf mehrere Dokumente verteilt, mit Buttons und Links, auf die geklickt werden muss, um auf zusätzliche Informationen zuzugreifen.“

Außedem sei der Zweck der Datenerhebung nicht ausreichend beschrieben. Zudem könne Google keine wirksame Einwilligung der Nutzerinnen für die Nutzung ihrer Daten zu Werbezwecken vorweisen und ermögliche grundsätzlich keinen Widerspruch zur Datensammlung.

Google erklärte, man prüfe nun die nächsten Schritte.

Die vollständige Pressemitteilung des CNIL finden Sie hier.

22. Januar 2019

Der Landesdatenschutzbeauftragte Niedersachsen (LfD Niedersachsen) hat ein Merkblatt zur  Nutzung von „WhatsApp“ in Unternehmen veröffentlich. Die LfD Niedersachsen hat bereits mehrfach öffentlich betont, dass nach seiner Ansicht der Einsatz von WhatsApp durch Unternehmen zur betrieblichen Kommunikation in mehrfacher Hinsicht gegen die Datenschutz-Grundverordnung (DS-GVO) verstößt. Insbesondere dürften keine Kontaktdaten von Nicht-Whats-App-Nutzern an das US-Unternehmen übermittelt werden.

Das vollständige Merkblatt finden Sie hier.

15. Januar 2019

LfDI Baden-Württemberg verhängt Bußgeld von 80.000,00 €

Wie heute bekannt wurde, hat der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW) das nunmehr bereits zweite Bußgeld deutschlandweit auf Basis der DSGVO verhängt. Die Höhe des Bußgeldes beträgt diesmal 80.000,00 €. Der Anlass für dieses Bußgeld waren versehentlich ins Internet gelangte Gesundheitsdaten.

10. Januar 2019

Laut neuer Studie teilen viele Apps weiter Daten mit Facebook ohne Zustimmung der Nutzer – trotz DSGVO

Laut Analyse der Organisation Privacy International teilen zahlreiche beliebte Android-Apps Daten mit Facebook, ohne eine ausdrückliche Zustimmung der Nutzer einzuholen. Demnach sollen 61 Prozent der untersuchten Apps bestimmte Informationen direkt nach dem Öffnen an das soziale Netzwerk weitergeben, ohne allerdings eine ausdrückliche Zustimmung eingeholt zu haben. Dies passiere unabhängig davon, ob jemand im sozialen Netzwerk eingeloggt ist oder nicht und ebenso ob man einen Facebook-Account hat oder nicht.

Gemäß der seit Ende Mai geltenden DSGVO müssen App-Anbieter jedoch die explizite Zustimmung ihrer Nutzer einholen, bevor sie persönliche Daten abgreifen und weiterleiten.

Die vollständige Studie finden Sie hier.

21. Dezember 2018

Datenpanne bei Amazon

Wie Heise Online berichtet, übermittelte Amazon offenbar die intimen Sprachaufzeichnungen eines Nutzers an einen Dritten.

Anlass war eine Auskunftsanfrage eines Kunden von Amazon Daten nach Art. 15 DSGVO. Als Antwort erhielt er unter anderem zahlreiche transkribierte Sprachdaten und Audiodateien eines anderen Nutzers zugeschickt die offensichtlich von Amazons Sprachassistenten Alexa aufgenommen wurden. Wie berichtet wird, stammen diese Sprachaufzeichnungen aus dem inneren Kern des Lebensbereichs dieses weiteren Nutzer, sodass dessen Intimsphäre durch die Weitergabe der Daten an Unbefugte betroffen ist.

Amazon erklärte mitterlweile, dieser Fall sei die Folge eines menschlichen Fehlers und ein isolierter Einzelfall gewesen. Zudem habe Amazon auch vorsorglich in Kontakt mit den zuständigen Behörden gestanden.

Den vollständigen Bericht finden Sie hier.

20. Dezember 2018

EuGH entscheidet über Facebook Like Button

Der Gerichtshof der Europäischen Union (EuGH) befasst sich derzeit mit der Frage der datenschutzrechtlichen Zulässigkeit des Facebook Like Buttons. Zuvor hatte das Oberlandesgericht (OLG) Düsseldorf dem EuGH entsprechende Fragen vorgelegt. Somit könnte der EuGH in dieser Frage endlich Rechtsklarheit geben. Da die Social Plugins von anderen Anbietern nach dem gleichen Prinzip funktionieren, wird die Entscheidung weitreichende Auswirkungen haben.

Nun liegen die Schlussanträge des EuGH-Generalanwalts vor (EuGH, Rechtssache C-39/17). Nach Auffassung des EuGH-Generalanwalts sind Webseiten-Betreiber gemeinsam mit Facebook für die Verarbeitung von Nutzerdaten verantwortlich. Daher müssen Webseiten-Betreiber zumindest für diesen konkreten Fall des Facebook Like Buttons zuvor die Einwilligung der Nutzer einholen. Eine Verarbeitung könne ausnahmsweise dann zulässig sein, wenn ein berechtigtes Interesse der Verantwortlichen besteht. Hier müsse stets eine Abwägung der entgegenstehenden Interessen des Nutzers und der Unternehmen vorgenommen werden.

Derzeit raten wir aufgrund der unsicheren Rechtslage davon ab, den Facebook Like Button unmittelbar bei sich einzubinden. Unternehmen, die den Like Button trotzdem nutzen wollen, sollten daher entweder die sogenannte Zwei-Klick-Lösung oder alternativ die Shariff -Lösung verwenden. Darüber hinaus ist eine Anpassung der Datenschutzerklärung empfehlenswert.

Zudem empfehlen wir, den Facebook Like Button nicht zu benutzten, sondern von der Unternehmenswebseite lediglich auf die Facebook Fan Page verlinken.

17. Dezember 2018

Datenpanne bei Facebook – Fast 7 Millionen Menschen sollen betroffen sein.

Wie die FAZ online berichtet, hat Facebook- hat eine weitere Datenpanne gemeldet. Aufgrund dieser Datenpanne hatten Hunderte Apps im September mehrere Tage lang zu weitreichenden Zugriff auf Fotos von bis zu 6,8 Millionen Mitgliedern des Online-Netzwerks gehabt.

Den vollständigen Bericht finden Sie hier.

Update: Wie Blomberg berichtet, will sich nun die irische Datenschutz-Aufsichtsbehörde einschalten und prüfen, ob eine mögliche Verletzung der Datenschutz-Grundverordnung vorliegt.

12. Dezember 2018

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) setzt sich in einer aktuellen und äußerst lesenswerten Stellungnahme mit den Hinweispflichten bei Videoüberwachung durch nicht-öffentliche Stellen unter der Geltung der DS-GVO auseinander.

Die Behörde erkennt die Problematik in Hinblick auf die zusätzlichen Informationen und erlaubt daher bei der Information ausdrücklich einen Medienbruch. Damit wählt das BayLDA einen sehr praktikablen Ansatz.

Die vollständige Stellungnahme finden Sie hier.