EuGH Urteil vom 05.12.2023
Um beurteilen zu können, ob die juristische Person „Deutsche Wohnen SE“ ein Bußgeld in Höhe von 14 Mio. EUR zahlen muss, hat sich das Kammergericht Berlin im Rahmen eines Vorabentscheidungsersuchens mit zwei Fragen an den EuGH gewandt. Die Deutsche Wohnen SE hatte trotz mehrfacher Aufforderung einer Aufsichtsbehörde die entsprechenden Mieterdaten nicht gelöscht. Gemäß Art. 83 Abs. 2 lit. b DSGVO soll bei der Verhängung von Bußgeldern unter anderem der Aspekt des Vorsatzes bzw. der Fahrlässigkeit berücksichtigt werden. Fraglich war zum einen, ob ein Bußgeld auch verhängt werden darf, wenn trotz des Fehlens von Vorsatz/Fahrlässigkeit andere Voraussetzungen des Art. 83 Abs. 2 DSGVO vorliegen, was der EuGH mit dem Urteil vom 05.12.2023 (C-807/21) verneinte. Es muss ein schuldhafter Verstoß vorliegen, damit eine Geldbuße von der Aufsichtsbehörde verhängt werden darf.
Zum anderen war fraglich, ob für die Sanktionierung einer juristischen Person der Umweg über das Gesetz über Ordnungswidrigkeiten (OWig) gegangen werden muss oder ob diese auch direkt über die DSGVO sanktioniert werden können. Gemäß Art. 4 Nr. 7 DSGVO können sowohl natürliche als auch juristische Personen Verantwortliche im datenschutzrechtlichen Sinne sein. Entsprechend sind in Bezug auf Art. 83 Abs. 3 DSGVO bei „Verstößen von Verantwortlichen“ auch die Verstöße von juristischen Personen mitinbegriffen. Der Verantwortliche, der eine juristische Personen sein kann, kann demnach nicht nur für Verstöße von Unternehmensvertretern, Leitungspersonal, Geschäftsführern und Auftragsverarbeitern sondern auch direkt für Verstöße von jedem Mitarbeiter sanktioniert werden. Es kommt bei der Verhängung von Bußgeldern nicht darauf an, dass Leitungspersonal von entsprechenden Verstößen Kenntnis hatte.
Unzulässige Verarbeitung sensibler Daten im Beschäftigungsverhältnis
Die Berliner Beauftragte für Datenschutz verhängte gegen den Wohnungskonzern Deutsche Wohnen vier Bußgelder in der Höhe von insgesamt 215.000 €.
Das Unternehmen hatte eine tabellarische Übersicht über alle Mitarbeiter in der Probezeit erstellt. Darunter befand sich auch eine Spalte mit dem Kriterium „Mögliche Weiterbeschäftigung“. Dort konnte von mehreren Personen eine Eintragung vorgenommen werden; u.a. wurde dort offen „kritisch“ oder „sehr kritisch“ eingetragen. Zur Begründung wurde dabei beispielsweise die Inanspruchnahme einer Psychotherapie oder das Interesse an der Gründung eines Betriebsrates angeführt. Solche Informationen sind zur Beurteilung einer Weiterbeschäftigung unzulässig. Lediglich das Verhalten und die Leistung der Mitarbeiter, welche unmittelbar mit dem Beschäftigungsverhältnis zusammenhängen, dürfen als Kriterien herangezogen werden. Ein Bußgeld gab es zudem für die mangelhafte Beteiligung des Datenschutzbeauftragten bei der Erstellung einer solchen Liste und die fehlende Eintragung dieser Verarbeitung in das Verzeichnis von Verarbeitungstätigkeiten sowie für eine verspätete Meldung einer Datenschutzverletzung.
Unzureichende Anonymisierung
In Italien wurde ein Bußgeld in Höhe von 18.000 € verhängt, weil der Veranstalter einer medizinischen Fortbildung Unterlagen mit personenbezogenen Daten der betroffenen Person und ihres verstorbenen Sohnes ohne ausreichende Anonymisierung an die Teilnehmer weitergeleitet hatte. Einige Dokumente wurden später von Dritten im Internet veröffentlicht.
Weitergabe von Daten an Ehefrau
In Griechenland wurde ein Bußgeld in Höhe von 60.000 € an eine Bank verhängt, weil diese Daten über mittels der Kreditkarte getätigte Transaktionen eines Kunden an dessen Ehefrau weitergegeben hatte. Die Ehefrau ist ebenfalls Kunde der Bank; es lag jedoch keine Einwilligung für die Weitergabe der Daten an die Ehefrau vor. Die Datenschutzverletzung wurde von der Bank unzureichend intern untersucht und gemeldet.
Offenlegung von E-Mails
Das Verteidigungsministerium des Vereinigten Königreichs erhielt ein Bußgeld i.H.v. 407.190 € für die Offenlegung von E-Mails.
Die Abteilung für die Umsiedlung von afghanischen Ortskräften des britischen Militärs sendete eine E-Mail an 265 afghanische Staatsangehörige, die für eine Ausreise aus Afghanistan in Frage kamen. Bei der Versendung der E-Mails wurde nicht die BCC-Funktion verwendet, sodass alle Empfänger offengelegt wurden. In 55 Fällen waren auch Portraits als Thumbnails (verkleinertes Vorschaubild) sichtbar. Diese Datenschutzverletzung kann lebensgefährliche Folgen für die Ortskräfte haben, sollten bspw. die Taliban die E-Mail sehen.
Während ihrer Untersuchung stellte die britische ICO fest, dass es zu zwei weiteren solcher Datenpannen kam, wobei im ersten Fall 13 und im zweiten Fall 55 E-Mail-Adressen offengelegt wurden. Insgesamt sind 265 Personen betroffen.
Das ursprünglich angesetzte Bußgeld von 1 Mio. Pfund (ca. 1 Mio EUR) wurde aufgrund der ergriffenen Maßnahmen reduziert. Auch die Berücksichtigung der besonderen Herausforderungen, unter denen die betroffene Abteilung des Verteidigungsministeriums arbeitet, hat zur Reduzierung des Bußgeldes beigetragen.
Nach dem Schrems-II-Urteil dürfen Verantwortliche und Auftragsverarbeiter personenbezogene Daten nur dann an Drittländer oder internationale Organisationen übermitteln, wenn der Verantwortliche oder der Auftragsverarbeiter angemessene Garantien bieten und unter der Voraussetzung, dass durchsetzbare Rechte der betroffenen Personen und wirksame Rechtsbehelfe für die betroffenen Personen verfügbar sind.
Dabei liegt es in der Verantwortung der Datenexporteure und der Datenempfänger zu prüfen, ob die Rechtsvorschriften im Empfängerland der Einhaltung dieser angemessenen Garantien entgegenstehen könnten.
Der Europäische Datenschutzausschuss hat neben einem Rechtsgutachten für China, Russland und Indien nun für die Türkei, Mexiko und Brasilien ein weiteres Gutachten über den Zugang der Regierungen dieser Länder zu personenbezogenen Daten, die von Wirtschaftsakteuren verarbeitet werden, herausgegeben.
In dem neuen Rechtsgutachten des EDSA werden eingehende Analysen der Rechtsvorschriften und der Praxis des staatlichen Zugriffs auf personenbezogenen Daten in den untersuchten Ländern vorgenommen. Das Gutachten enthält Informationen über die allgemeine Situation in den beobachteten Ländern und gibt dabei einen Überblick über die Menschenrechte, insb. dem Recht auf Privatsphäre, die Rechtsstaatlichkeit und Grundfreiheiten sowie die konkrete Anwendung der verfassungsrechtlichen Bestimmungen in der nationalen Rechtsprechung. Im Anschluss enthalten die Länderberichte einen Unterabschnitt, in dem die Zwecke, Bedingungen und Kontrollmechanismen des staatlichen Zugriffs auf personenbezogene Daten in den Ländern beleuchtet werden. In jedem Länderabschnitt ist ein Unterabschnitt zu den Rechten der betroffenen Personen, den Bedingungen für ihre Anwendbarkeit und den zu ihrer Durchsetzung verfügbaren Rechtsbehelfsmechanismen.
Angeknüpft an den Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ hat das britische Parlament am 21.09.2023 einen Beschluss „Data Bridge“ gefasst, der den Transfer personenbezogener Daten britischer Bürger in die USA regelt. Dieser trat am 12.10.2023 in Kraft. Der „Data Bridge“-Beschluss ermöglicht es Unternehmen aus dem Vereinigten Königreich, personenbezogene Daten an U.S.-amerikanische Unternehmen zu übersenden, wenn diese unter dem EU-U.S. Data Privacy Framework registriert sind und auch an der UK-Erweiterung teilnehmen. Britische Unternehmen werden sich daher in Zukunft auf den gleichen Rahmen berufen können wie EU-Unternehmen, wenn sie Daten in die USA übertragen. Sie müssen nur gesondert prüfen, ob die Empfangsunternehmen auch unter der UK-Erweiterung des Rahmens zertifiziert sind.
Test
123
Lorem ipsum dolor sit amet, consetetur sadipscing elitr, sed diam nonumy eirmod tempor invidunt ut labore et dolore magna
23.10.2023
Das weitverbreitete Betriebssystem Windows sendet in den Grundeinstellungen diverse Daten über die Benutzer und die genutzten Geräte an den Hersteller Microsoft.
Bei der Übermittlung von Telemetriedaten handelt es sich um eine eigene Verarbeitung personenbezogener Daten, für die eine Rechtsgrundlage erforderlich ist und bei der die Grundsätze des Datenschutzes („privacy-by-design“, „privacy-by-default“, Informationspflichten etc.) einzuhalten sind. Das Abstellen der Übermittlung und der damit einhergehenden Vereinfachungen hinsichtlich des Datenschutzes kann daher von großem Interesse sein. Zumal die Erfüllung der Rechenschaftspflicht recht anspruchsvoll werden kann.
Um die Übermittlung von Telemetriedaten durch geeignete Einstellungen größtmöglich zu unterbinden, hat der Bayerische Landesbeauftragte für den Datenschutz eine mit Screenshots angereicherte Handreichung herausgegeben:
https://www.datenschutz-bayern.de/datenschutzreform2018/aki50.pdf
Wir empfehlen, möglichst weitgehende Einschränkungen bezüglich der Telemetriedaten umzusetzen und die Handreichung als sinnvolle Hilfe zu nutzen.
21.08.2023
Wie wird meine Website genutzt? Werden bestimmte Inhalte überhaupt vom Nutzer wahrgenommen? Wie lange bleibt der Nutzer auf meiner Website? Für die Beantwortung dieser und anderer Fragen können Websitebetreiber verschiedene Tools, darunter auch Google Analytics, einsetzen. Der Betreiber kann mit Hilfe des Google Analyse-Tools vorab die gewünschten Einstellungen zur Erhebung der Daten konfigurieren. Anschließend kann er die Nutzerdaten nach bestimmten Parametern auswerten.
Seit dem 01.07.2023 löst „Google Analytics 4“ (GA4) das alte Webanalyse-Tool „Universal Analytics“ (GA3) ab. Am 01.01.2024 läuft die Übergangsfrist aus, in der Sie weiterhin auf alte Daten zugreifen können.
Mit dem Nachfolger GA4 stellt Google wesentliche Verbesserungen im Bereich des Datenschutzes in Aussicht:
- Anonymisierung: Die IP-Adressen der Website-Nutzer werden nur noch für die Geo-Lokalisierung genutzt und anschließend anonymisiert.
- Google Signal: Die Zuordnung der erhobenen Daten zu einem Google-Konto kann unterbunden werden indem Google Signals deaktiviert wird.
- Datenverarbeitung: Die Daten von Betroffenen mit Endgeräten in der EU werden fortan auf innereuropäischen Servern verarbeitet und gespeichert.
- Geo- und Gerätedaten: GA4 ermöglicht es vorab die Einstellungen bezüglich der Genauigkeit von Geo- und Gerätedaten zu konfigurieren.
Diese Verbesserungen reichen allerdings nicht aus, um DSGVO-konform zu sein. Eine Anonymisierung der Daten, wie es Google Analytics 4 vorsieht, ist nach der Lokalisierung zu spät. Und auch obwohl die Daten nun auf Servern in Europa verarbeitet werden, verhindert dies den Zugriff der US-Behörden nicht gänzlich.
Desweiteren sind datenschutzkonforme Einwilligungen von Nutzern einzuholen, da Google Analytics standardmmäßig Cookies für das Tracking nutzt sowie KI einsetzt um nutzertypisches Verhalten zu erkennen und zusammenzuführen. Daneben sind weitere Maßnahmen durchzuführen damit Ihr Unternehmen Google Analtyics 4 datenschutzkonform nutzen kann.
ds² hilft Ihnen bei diesem Thema gerne weiter!
2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
14.08.2023
Zum 01.09.2023 gilt in der Schweiz ein neues Datenschutzrecht. Dazu wurden das bestehende Datenschutzgesetz und die bestehende Datenschutzverordnung überarbeitet und durch neue, revidierte Gesetze ersetzt. Durch die Überarbeitung dieser Regelungen soll eine Anpassung an das europäische Datenschutzrecht erfolgen.
An der Zulässigkeit der Übermittlung personenbezogener Daten in die Schweiz ändert sich durch das neue Datenschutzrecht nichts. Der bisherige Angemessenheitsbeschluss bleibt auch nach Änderung der Gesetzeslage bestehen und Übermittlungen können auf diesen gestützt werden, ohne dass weitere geeignete Garantien wie Standarddatenschutzklauseln zu ergreifen wären.
Prüfen Sie, inwiefern Sie in der Schweiz tätig sind und in den Anwendungsbereich des schweizer Datenschutzrechts fallen könnten.
2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
14.07.2023
Die EU-Kommission hat am 10.07.2023 im Wege eines Durchführungsrechtsaktes gemäß Art. 45 Abs. 3 DSGVO beschlossen, dass die USA ein mit der EU vergleichbares Datenschutzniveau hat. Ein Angemessenheitsbeschluss ist eines von mehreren in der DSGVO vorgesehenen Instrumenten, das für die Übermittlung von personenbezogenen Daten aus der EU/EWR in ein Drittland ein angemessenes Schutzniveau garantiert. Basierend auf dem neuen Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ können ab sofort personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) an die USA fließen, ohne dass weitere Schutzmaßnahmen, Bedingungen oder Genehmigungen erforderlich sind. Gültig ist der Angemessenheitsbeschluss nur, wenn der Datenempfänger unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Das US-Handelsministerium „U.S. Department of Commerce“ veröffentlicht eine entsprechende Liste (https://www.privacyshield.gov/list) mit deren Hilfe eine Überprüfung der Zertifizierung möglich ist.
Der neue Angemessenheitsbeschluss hat Relevanz für alle Unternehmen, die personenbezogene Daten in die USA übermitteln, bspw. bei der Nutzung von Cloud-Services oder im Rahmen des konzerninternen Datenverkehrs.
Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten ihre Datenflüsse untersuchen und prüfen, ob Ihre US-Datenempfänger auf der Liste des US-Handelsministeriums aufgeführt sind.
Falls Ihre Datenempfänger nicht auf der Liste des US-Handelsministeriums aufgeführt sind, sollten passende Standarddatenschutzklauseln (SCC) geschlossen werden oder alternative Rechtsgrundlagen in Erwägung gezogen werden (andere geeignete Garantien gem. Art. 46 DSGVO).
Ihr Datenschutzbeauftragter wird Sie hierbei unterstützen!
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
14.07.2023
Das Europäische Parlament und der Rat haben im Jahr 2019 eine EU-Whistleblower-Richtlinie (EU) 2019/1937 beschlossen, die bis zum 17.12.2021 in nationales Recht umgesetzt werden musste. Das Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, wurde letztlich vom Bundestag mit Zustimmung des Bundesrates im Mai 2023 beschlossen. Das Hinweisgeberschutzgesetz (HinSchG) tritt am 2. Juli 2023 in Kraft.
Ein Hinweisgebersystem dient den Mitarbeitenden eines Unternehmens sowie den Geschäftspartnern, Kunden und weiteren Stakeholdern als zentrale Stelle zur Meldung von Fehlverhalten. Damit haben Unternehmen die Möglichkeit auf Missstände schnell zu reagieren und Schäden vom Unternehmen abzuwenden und Unternehmensprozesse zu verbessern.
Das neue Gesetz regelt den Schutz von natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die vorgesehenen Meldestellen melden oder offenlegen (hinweisgebende Personen/Hinweisgeber oder engl. „Whistleblower“). Darüber hinaus werden Personen geschützt, die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind.
Unternehmen mit 50 oder mehr Beschäftigten sind dazu verpflichtet, eine interne Meldestelle einzurichten. Dabei gilt diese Verpflichtung für Unternehmen mit mehr als 249 Beschäftigten unmittelbar ab dem 02.07.2023 (wobei die entsprechende Bußgeldvorschrift erst am 01. Dezember 2023 in Kraft tritt); für Unternehmen von 50 bis 249 Beschäftigten gilt eine Übergangsfrist bis zum 17. Dezember 2023.
Bei der Meldung von Verstößen gem. des Hinweisgeberschutzgesetzes werden personenbezogene Daten verarbeitet. Die Datenerhebung umfasst Angaben über die beschuldigte Person, die (angeblichen) Verstöße und die entsprechenden Sachverhalte. Bei nicht anonymen Meldungen kommen personenbezogene Angaben wie Name der meldenden Person, ihre Position im Unternehmen und gegebenenfalls auch die Umstände der Beobachtung der Verstöße in Betracht. Deshalb sind eine Vielzahl datenschutzrechtlicher Maßnahmen zu treffen.
Sprechen Sie uns gerne an!
© 2020ff. by ds² Unternehmensberatung GmbH & Co. KG.
ds² Unternehmensberatung GmbH & Co. KG
Falkenstraße 10
33775 Versmold
+49 5423 9599320