Untersagung von Google Analytics in Schweden

Die schwedische Aufsichtsbehörde IMY weist schwedische Unternehmen an, Google Analytics nicht mehr zu verwenden.

Das Audit der schwedischen Behörde betraf eine Version von Google Analytics, die am 14.08.2020 in Betrieb genommen wurde.

Die Prüfungen beruhen auf Beschwerden der Organisation None of Your Business (NOYB) im Lichte des Schrems II-Urteils des Europäischen Gerichtshofs (EuGH). In den Beschwerden wird den Unternehmen vorgeworfen, personenbezogene Daten gesetzeswidrig in die Vereinigten Staaten übermittelt zu haben.

Bei der Überprüfung kam die Behörde zu dem Schluss, dass die von den Unternehmen getroffenen technischen Sicherheitsmaßnahmen nicht ausreichen, um ein Schutzniveau zu gewährleisten, das im Wesentlichen dem in der EU/im EWR garantierten Niveau entspricht, welche für eine Übermittlung in die USA jedoch zwingend - neben dem Vorliegen der Standardvertragsklauseln - notwendig wären.

Eines der Unternehmen, Tele2, hat vor kurzem von sich aus die Verwendung des Statistik-Tools eingestellt. IMY fordert die anderen drei Unternehmen auf, die Verwendung des Tools einzustellen. Darüber hinaus verhängte IMY am 30.06.2023 Bußgelder- für Tele 2 in Höhe von 12 Millionen SEK (ca. 1 Million EUR) und CDON in Höhe von 300.000 SEK (ca. 25.000 EUR), die nicht die gleichen umfangreichen zusätzlichen technischen Schutzmaßnahmen ergriffen haben wie die anderen beiden untersuchten Unternehmen.



40 Millionen EUR - Verstoß u.a. gegen Auskunftspflicht

Criteo ist ein Unternehmen, dass sich auf die Anzeige personalisierter Werbung spezialisiert hat. Dazu verfolgt es die Navigation von Internetnutzern und analysiert deren Surfgewohnheiten mithilfe eines Trackers (Cookie), sobald ein Nutzer die Website eines Criteo-Partners besucht.
Es wurden verschiedene Datenschutzverstöße festgestellt:

- Criteo konnte nicht nachweisen, dass die Betroffenen in die Verarbeitung eingewiligt hatten.Criteo stoppte zwar die Anzeige personalisierter Werbung nach einem Widerruf der Einwilligung, löschte aber nicht die personenbezogene Daten der Betroffenen.

- Criteos Datenschutzrichtlinie enthielt nicht alle mit der Verarbeitung verfolgten Zwecke und war zu vage und weit formuliert.

- Criteo kam seiner Auskunftspflicht nicht vollumfänglich nach und hat betroffenen Personen diverse Informationen vorenthalten.

- In den Verträgen zur gemeinsamen Verantwortlichkeit zwischen Criteo und seinen Partner wurde u.a. nicht festgelegt, wer für die Wahrnehmung der Rechte der bertroffenen Person und die Pflicht zur Meldung von Datenschutzverstößen verantwortlich ist.

Die Anzahl der betroffenen Personen war zudem sehr umfangreich. Das Unternehmen verfügt über Daten von rund 370 Millionen Identifikatoren in der gesamten Eruopäischen Union. Dies war ein weiterer ausschlaggebender Grund für die Höhe des Bußgeldes i.H.v. 40 Millionen EUR.



1,2 Milliarden EUR - Verstoß bei der Drittlandsübermittlung

Nach 10 Jahren Rechtsstreit wurde am 12.05.2023 die irische Datenschutzbehörde vom EDSA dazu verpflichtet ein Bußgeld in Höhe von 1,2 Milliarden EUR gegen Meta Platforms Ireland Limited zu verhängen. Begründet wird dies durch den Verstoß gegen Art. 46 Abs. 1 DSGVO:    
Im Rahmen der Bereitstellung des sozialen Netzwerks Facebook übermittelt Meta Ireland personenbezogenen Daten aus der EU/dem EWR an die USA, ohne dass dabei geeignete Garantien gem. Art. 46 DSGVO einen ausreichenden Schutz gegen die mit der Übermittlung verbundenen Risiken für die Grundrechte und -freiheiten der Betroffenen gewährleisten. Da das Unternehmen Meta Ireland den US-Überwachungsgesetzen unterliegt, sind die Daten der EU/EWR-Bürger nicht vor den amerikanischen Geheimdiensten geschützt. Zudem mangelte es an wirksamen Rechtsbehelfen gegenüber den US-amerikanischen Behörden. Meta Ireland hat bis November 2023 Zeit, um die Verarbeitung von personenbezogenen Daten von EU/EWR-Nutzern in Einklang mit Kapitel 5 der DSGVO zu bringen sowie die unrechtmäßige Verarbeitung, die Übermittlung von Daten in die USA, einzustellen.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Sollen personenbezogene Daten in Länder außerhalb der EU oder des EWR übermittelt werden (beispielsweise aufgrund des Einsatzes von Auftragsverarbeitern oder Unterauftragsverarbeitern), sind bekanntlich strengere Datenschutzregelungen zu beachten. Durch den Brexit galt Großbritannien kurzfristig als unsicheres Drittland. Im Juni 2021 wurde dann jedoch der Erlass des Angemessenheitsbeschlusses durch die Europäische Kommission für das Vereinigte Königreich verkündet. Das bedeutet, Großbritannien gilt (zumindest zunächst für die nächsten vier Jahre) als sicheres Drittland. Über den Angemessenheitsbeschluss berichteten wir in unserem Blogbeitrag „Angemessenheitsbeschluss Großbritannien“.

Das wiederum könnte sich nun wieder ändern. Denn Großbritannien plant ein eigenständiges Datenschutzrecht. Und dieses entspricht in einigen der bisher bekannten Teilen nicht den Anforderungen der DSGVO. Ein Sprecher der EU-Kommission deutete bereits an, dass der erteilte Angemessenheitsbeschluss theoretisch auch jeder Zeit wieder zurückgezogen werden könne. Er betonte zudem, dass die Kommission bei einer Dringlichkeit hiervor nicht zurückschrecken werde. Diese Dringlichkeit könnte in diesem konkreten Fall eintreten.

Für europäische Unternehmen, die personenbezogene Daten nach Großbritannien übermitteln, würde der Entzug des Angemessenheitsbeschlusses bedeuten, dass das Land wieder als unsicheres Drittland einzustufen wäre. Die Situation wäre die gleiche, wie die kurz nach dem Brexit. Es würden die gleichen Hürden auferlegt werden wie beispielsweise bei einem Datentransfer in die USA. Es empfiehlt sich daher, die Entwicklungen in Großbritannien weiter zu beobachten.

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Die Bestellung eines Datenschutzbeauftragten (DSB) ist notwendig, wenn mehr als neunzehn Personen EDV-gestützt personenbezogene Daten verarbeiten. Darunter ist jede Art von personenbezogenen Daten zu verstehen.

Das bedeutet, ein Unternehmen, in dem neunzehn oder weniger Personen EDV-gestützt personenbezogene Daten verarbeiten, ist laut Gesetz nicht automatisch dazu verpflichtet, einen DSB zu bestellen. Die Bestellung eines DSB kann aber dennoch sinnvoll sein. Denn nur, weil ein Unternehmen nicht zur DSB-Bestellung verpflichtet ist, ist es nicht davon befreit, die Anforderungen der Datenschutz-Grundverordnung (DSGVO) einzuhalten. Verstößt ein Unternehmen (egal welcher Größe) gegen die Regelungen der DSGVO, kann es durch eine Datenschutzaufsichtsbehörde sanktioniert werden.

Die Bestellung eines ds²-Datenschutzbeauftragten bietet Ihnen die Möglichkeit, die Prozesse Ihres Unternehmens rechtssicherer und wirtschaftlicher zu gestalten. Ein qualifizierter erfahrener externer DSB ist in der Lage, die gesetzlichen und aufsichtsbehördlichen Anforderungen auf Ihre Behörden- bzw. Unternehmensprozesse zu übertragen.

Aufgrund der Erfahrung und Kompetenz der zertifizierten ds²-Berater wirkt sich deren Tätigkeit i.d.R. positiv auf die Wirtschaftlichkeit und somit auf die Wettbewerbsposition aus.

Weitere detaillierte Informationen zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Unternehmen sind heute oftmals auf die Unterstützung von Inkassodienstleistern angewiesen, um ihre Liquidität zu erhalten und das Ausfallsrisiko zu begrenzen.

Inkassodienstleister erhalten per Vollmacht die Erlaubnis die Forderung beim Schuldner einzutreiben. Doch wie weit greift die Vollmacht des Inkassodienstleisters wirklich?

Welche Möglichkeiten Schuldner und Inkassodienstleister nutzen können, um einerseits den Datenschutz zu beachten und andererseits die notwendigen Informationen auszutauschen, ohne gegen die Datenschutzbestimmungen zu verstoßen, ist sorgfältig zu prüfen. Wie sich Datenschutz in diesem Fall auswirkt, welche Möglichkeiten sich für Unternehmen bieten und welche Grundlagen der DSGVO hier zu Grunde liegen, erläutern wir Ihnen gerne in einem persönlichen Gespräch.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Nicht erst seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) beschäftigt viele Unternehmen das Thema Datenschutz. Insbesondere der Beschäftigtendatenschutz (Arbeitnehmerdatenschutz) beschäftigt die Arbeitgeber und Aufsichtsbehörden. Die diversen Problemfelder (beispielsweise im Bereich der Protokollierung von Mitarbeiterdaten oder aber auch hinsichtlich unzulässiger Leistungs- und Verhaltenskontrollen) führen immer öfter zu gerichtlichen Auseinandersetzungen.

Die Abgrenzung einer erforderlichen Ermittlung beispielsweise aus Compliance-Gründen ist gegenüber einer unzulässigen Arbeitnehmerüberwachung von zunehmender Bedeutung. Gerade im Beschäftigtendatenschutz ist neben der DSGVO auch das Bundesdatenschutzgesetz (BDSG) zu berücksichtigen. Dieses regelt den Beschäftigtendatenschutz über die DSGVO hinaus noch konkreter. Werden die gesetzlichen Anforderungen missachtet, kann der Arbeitgeber mit hohen Bußgeldern sanktioniert werden (wir berichteten diesbezüglich beispielsweise in unserem Blogbeitrag 35,3 Mio.-Bußgeld für Verstoß gegen Mitarbeiterdatenschutz).

Welche konkreten Regelungen im Unternehmen hinsichtlich der Verarbeitung von personenbezogenen Beschäftigtendaten zu treffen sind und wo möglicherweise weiterer Handlungsbedarf vorliegt, sollte im Rahmen einer Analyse ermittelt werden. Dabei sind selbstverständlich die bereits vorliegenden Regelungen und Vereinbarungen auf ihre Datenschutzkonformität zu prüfen.

Aufgrund der umfassenden Erfahrungen der ds²-Berater aus zahlreichen vergleichbaren Projekten können Sie von uns bewährte Praxislösungen mit hoher Akzeptanz bei Mitarbeitern bzw. der Mitarbeitervertretung erwarten.

Weitere detaillierte Informationen sowie mögliche Lösungsansätze zu diesem Thema erhalten Sie telefonisch unter +49 5421 308950.

Erschienen am 01. September 2020

In Deutschlands Unternehmen haben sich rund 50 Prozent aller Datenschutz-Einführungen festgefahren, bevor sie ins Ziel gekommen sind. Die Gründe sind vielfältig. Meistens liegt es an mangelnder Priorität oder mangelnder Akzeptanz in den Unternehmen. Doch es gibt Möglichkeiten, das Datenschutz-Projekt erfolgreich zum Abschluss zu bringen.

„Vor jedem Restart steht eine Analyse: Wie weit ist die Grundlagenarbeit gekommen? Woran hat es gelegen, dass sich der Prozess festgefahren hat?“, sagt Thomas Spaeing, Vorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V. Der Restart sollte möglichst unter Moderation eines erfahrenen, externen Datenschutzberater angegangen werden. Denn der könne glaubwürdig für eine höhere Priorität und für eine bessere Akzeptanz bei den Beteiligten werben und oft auch den internen Datenschutzbeauftragten den Rücken stärken.

Ein erfolgreicher Abschluss der Einführungsphase sei alternativlos, so Spaeing. Denn die Aufsichtsbehörden bemängeln schon Organisationsverschulden, wenn die Aufgaben zum Datenschutz im Unternehmen nicht geregelt sind oder die Dokumentation unvollständig ist.

Und nach Jahren sei auch nicht glaubhaft, dass man noch intensiv daran arbeite, so der Experte. In mittleren wie großen Unternehmen dauere eine gelungene Einführung gerade einmal sechs bis zwölf Monate – vorausgesetzt, dass die zuständigen Fachbereiche sowie das Management eingebunden sind. Und danach warte auch eine Phase der Entspannung: „Im laufenden Betrieb sinkt der Aufwand deutlich“, sagt Thomas Spaeing, der mit seinem Team der Unternehmensberatung ds² viele Unternehmen betreut. Und die Geschäftsführung könne auch wieder besser schlafen, weil sie auch diese Hürde genommen habe.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!

© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

magnifiercrossmenu