Aus Deutschland
Vodafone und seine Auftragsverarbeiter
Die Bundesbeauftragte für Informationssicherheit und (BfDI) hat der Vodafone GmbH zwei Geldbußen in einer Gesamthöhte von 45 Mio. Euro auferlegt.
Vodafone hatte die von ihr eingesetzten Partneragenturen nicht im ausreichenden Umfang (wie es die DSGVO fordert) datenschutzrechtlich überprüft und überwacht.
Darüber hinaus hat Vodafone gegen die Vorschrift zur Sicherheit der Verarbeitung verstoßen. Demnach müssen die Verantwortlichen und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen treffen, um ein dem Risiko der Verarbeitung angemessenes Schutzniveau zu gewährleisten. Neben Schwachstellen in bestimmten Vertriebssystemen wurden auch Mängel beim Authentifizierungsprozess der kombinierten Nutzung des Onlineportals „MeinVodafone“ mit der Vodafone-Hotline festgestellt. Dabei konnten Unbefugte eSIM-Profile der Nutzer abrufen.
Vodafone hat laut BfDI Prof. Dr. Louisa Specht-Riemenschneider aber umfassend mit der Behörde zusammenarbeitet, sämtliche Umstände zur Aufklärung der Vorfälle offengelegt und Abhilfemaßnahmen getroffen. Darüber hinaus gingen Spenden in Millionenhöhe an unterschiedliche Organisationen, die sich für die Förderung des Datenschutzes, der Medienkompetenz und Digital Literacy sowie die Bekämpfung von Cybermobbing einsetzen.
Verstoß gegen die Pflicht zur Zusammenarbeit mit der Aufsichtsbehörde
In Deutschland wurden zuletzt Bußgelder in Höhe von 120.000 € und knapp 22.000 € gegen zwei Unternehmen verhängt, da diese drastisch verspätet auf Informationsanfragen der Aufsichtsbehörde reagiert hatten. Beide Unternehmen hatten über lange Zeit aufsichtsbehördliche Aufforderungen zur Auskunftserteilung und zur Unterlagenvorlage ignoriert und sich dabei auch nicht durch den Einsatz von Zwangsmitteln beeindrucken lassen. Sie verletzten damit Ihre Pflicht der Zusammenarbeit mit der Aufsichtsbehörde aus Art. 31 DSGVO.
Aus den Nachbarländern
Datenübermittlung durch TikTok nach China
Die irische Datenschutzbehörde verhängte eine Geldbuße in Höhe von 530.000 € gegen TikTok aufgrund der unzulässigen Übermittlung personenbezogener Daten in ein Drittland (China). TikTok behauptete zunächst keine Daten europäischer Nutzer auf chinesische Server zu transferieren und informierte Nutzer auch entsprechend nicht hinreichend über die Datennutzung. Später räumte TikTok ein, dass personenbezogene Daten europäischer Nutzer auf Servern in China gefunden wurden, aber dies auf einem Fehler beruhe. TikTok änderte die User-Informationen und gab bekannt, an welche Drittländer die Userdaten zu welchen Verarbeitungszwecken gesendet wurden. Das Bußgeld für einen Verstoß gegen die Informationspflichten und die Übermittlung personenbezogener Daten in ein Drittland ohne geeignete Garantien blieb.
Die nationale Kommission für den Datenschutz im Großherzogtum Luxemburg hat gegen Amazon Europe Core S.A.R.L. ein Bußgeld in Höhe von 746 Mio. € verhängt. Amazon hat im Rahmen personalisierter Werbemaßnahmen erwiesenermaßen Daten ohne Rechtsgrundlage verarbeitet, gegen den Grundsatz der Transparenz und Betroffenenrechte verstoßen und das Widerspruchsrecht gem. Art. 21 DSGVO missachtet.
Das Luxemburgische Verwaltungsgericht bestätigte das Rekordbußgeld. Zudem stellte das Gericht fest, dass von der Behörde geforderte Korrekturmaßnahmen nicht umgesetzt worden waren.
ds² Unternehmensberatung GmbH & Co. KG
Falkenstraße 10
33775 Versmold
+49 5423 9599320