Schlagwort-Archive: Datenschutz

Gastbeitrag: Millionenbußgeld wegen unzulässiger Datennutzung verhängt!


Heute wieder ein aktueller Gastbeitrag unserer Kooperationskanzlei zum Datenschutzrecht, das Institut für Datenschutzrecht:

Vor wenigen Tagen wurde durch den Landesbeauftragten für Datenschutz in Baden-Württemberg das erste Millionenbußgeld wegen eines Datenschutzverstoßes in Süddeutschland verhängt. Die Krankenkasse AOK wurde insoweit mit einem Bußgeld in Höhe von 1,24 Mio. EUR belegt. Hintergrund ist, dass die AOK personenbezogene Daten aus einem Gewinnspiel zu Werbezwecken verwendet hatte, von denen jedoch ca. 500 Personen diese Verwendung nicht autorisiert hatten. Es handelt sich dabei um das höchste Bußgeld, das bis dato im Süden Deutschlands wegen eines Fehlers beim Datenschutz verhängt wurde.

Allgemein ist festzustellen, dass die Aufsichtsbehörden ihre Ankündigung dahingehend, auch nicht „datengetriebene“ Unternehmen stärker in den Fokus zu nehmen, offensichtlich umsetzen.

Sofern auch in Ihrem Unternehmen derartige, kritische Prozesse vorhanden sind, sollte insbesondere das Einwilligungs- und Widerspruchsmanagement nochmals kritisch durchleuchtet werden. Hierbei ist natürlich auch insbesondere auf die sorgfältige Auswahl von Auftragsverarbeitern zu achten. Sollte Anlass dazu bestehen, dass einer der eingesetzten Dienstleister mit personenbezogenen Daten nicht sorgfältig umgeht, müssen diesbezüglich umgehend klare Maßnahmen ergriffen werden.

Abschließend gehe ich davon aus, dass die Aufsichtsbehörden zukünftig Unternehmen, deren Kerntätigkeit gerade nicht in der Verarbeitung von Daten liegt, noch stärker in den Fokus nehmen werden.

Rückfragen wie immer jederzeit sehr gerne!

Sascha Weller, Geschäftsführer des Instituts für Datenschutzrecht Weller

Bitte beachten Sie daher umso mehr die Anforderungen aus der DSGVO, gerade (auch) bei der Durchführung von Gewinnspielen.

Michael Hill
Rechtsanwalt | Partner

Datenschutzrecht-Gastbeitrag: Und wieder Cookies! Der BGH entschied (ein bisschen)


Heute wieder ein Gastbeitrag von Sascha Weller, Geschäftsführer des Instituts für Datenschutzrecht:

Am gestrigen Donnerstag hat nun auch das höchste deutsche Zivilgericht, der BGH, für Deutschland entschieden, dass Cookies in der Regel einer Einwilligung des Nutzers bedürfen. Nachdem der EuGH diese Frage vergangenes Jahr bereits bejaht hatte, wurde diese Rechtsprechung nun auch konkret für Deutschland bestätigt.

Der BGH wies in seiner Entscheidung ausdrücklich darauf hin, dass die bis dato häufig verwendeten Einwilligungsbanner nicht ausreichend sind. Auch die reine Weiternutzung einer Website stellt keine klare und zweifelsfreie Einwilligung für den zulässigen Einsatz von Cookies dar. Cookies dürfen daher erst nach einer ausdrücklichen und informierten Einwilligung auf den Geräten der Nutzer verarbeitet werden, es sei denn, sie sind unbedingt erforderlich oder – was nicht zweifelsfrei aus der Entscheidung ersichtlich ist – sie dienen nicht der Werbung und Marktforschung.

Der Einsatz unbedingt erforderlicher Cookies bedarf keiner Einwilligung der Nutzer. Die Meinungen, welche Cookies jedoch unbedingt erforderlich sind, gehen leider weit auseinander. Als hinreichend sicher können die folgenden Cookies als erforderlich betrachtet werden:

Warenkorb-Cookies eines Shops

Sprachauswahl

– Cookies, die eine Cookie-Einwilligung speichern

– Cookies, die dem Load Balancing dienen.

Empfehlung:

Bei allen übrigen Cookies (Komfortfunktionen, Webanalyse, Marketing, etc.) empfehle ich dringend die Einholung einer Einwilligung mithilfe eines entsprechenden Cookie-Consent-Tools.

In der Cookie-Box sollte bestenfalls eine Schaltfläche „Ablehnen“ oder „Nur notwendige Cookies akzeptieren“ vorhanden sein. Vorausgewählt dürfen allenfalls die unbedingt erforderlichen Cookies sein. Zudem muss den Nutzern ersichtlich sein, wo sie die Einstellungen ändern und Detailinformationen (Identität der Dienstleister, die die Cookies verarbeiten; Art und Funktionsweise; Lebensdauer) zum jeweiligen Cookie erhalten können. Bitte vergessen Sie im Übrigen auch nicht, die Datenschutzerklärung um eine Passage hinsichtlich des eingesetzten Cookie-Consent-Tools zu ergänzen.

Fazit:

Leider beantwortet das Urteil des BGH nicht sämtliche Fragen. Dies insbesondere hinsichtlich der für Nutzer kaum schädlichen Reichweitenmessung/Webanalyse. Es wird daher bedauerlicherweise auch zukünftig so sein, dass dieses Thema  zwischen den Unternehmen und Websitebetreiber einerseits und den Datenschutzaufsichtsbehörden andererseits weiterhin umstritten sein wird. Angesichts der Menge der Einwilligungen, die man bereits heute auf den Websites schlichtweg gedankenlos „wegklickt“, um endlich auf die Seite zu kommen, erscheint mir persönlich eine gesetzliche Regelung weitaus sinnvoller, als die Flut der klickbedürftigen Einwilligungen. Es bleibt diesbezüglich jedoch abzuwarten, ob der deutsche Gesetzgeber hier ansetzt und entsprechende Anpassungen vornimmt.

Ich werde Sie diesbezüglich auf jeden Fall auf dem Laufenden halten und wünsche Ihnen ein angenehmes und erholsames Pfingstwochenende!

Sascha Weller, Geschäftsführer Institut für Datenschutzrecht – Weller

Gastbeitrag: Millionenbußgeld im Datenschutzrecht verhängt!


Unser Kooperationspartner, das Institut für Datenschutzrecht GmbH, hier wieder konkret, Herr Rechtsanwalt Sascha Weller, führt heute zu einem Millionenbußgeld aus, welches in Berlin gegen eine Immobiliengesellschaft verhängt wurde. Derartige Risiken sind aber auch in der Energiewirtschaft denkbar:

„Möglicherweise haben Sie bereits aus den Medien erfahren, dass die Berliner Beauftragte für Datenschutz und Informationsfreiheit am 30. Oktober 2019 ein Bußgeld in Höhe von rund EUR 14,5 Mio. wegen Verstößen gegen die DSGVO gegen die Immobiliengesellschaft Deutsche Wohnen SE erlassen hat. Dieses Bußgeld übertrifft den bisherigen deutschen Höchstwert von rund EUR 200.000 gegen Delivery Hero Germany bei weitem und gehört zu den höchsten bisher in Europa wegen Datenschutzverstößen verhängten Bußgeldern.

Hintergrund

Von der Berliner Datenschutzbeauftragten wurde festgestellt, dass das Unternehmen personenbezogene Daten von Mietern in einem Archivsystem gespeichert hat, bei dem nicht mehr erforderliche Daten nicht gelöscht wurden. Gemäß Art. 5 DSGVO dürfen Unternehmen personenbezogene Daten nur so lange speichern und verarbeiten, wie sie für den Zweck, für den sie erhoben wurden, erforderlich sind. Zudem müssen Unternehmen, die personenbezogene Daten verarbeiten, laut Art. 25 DSGVO durch Technikgestaltung und datenschutzfreundliche Voreinstellungen dafür sorgen, dass Datenschutzgrundsätze wirksam umgesetzt werden. Dies war bei der Deutsche Wohnen SE nicht gewährleistet.

Fazit und Handlungsempfehlung

Die befürchteten Millionenbußgelder sind nun auch in Deutschland angekommen. Nach der Verhängung des Rekordbußgeldes gegen die Deutsche Wohnen SE drängt sich die Frage auf, ob noch weitere Unternehmen in ähnlicher Weise von den Datenschutzbehörden ins Visier genommen werden. Diese Frage ist ganz klar zu bejahen. Dies insbesondere auch vor dem Hintergrund, dass die Datenschutzaufsichtsbehörden erst vor wenigen Wochen ein neues Modell zur Berechnung von Bußgeldern veröffentlicht haben.

Die Entscheidung der Berliner Datenschutzbeauftragten zeigt auch, dass es nicht erst zu Datenpannen oder Datenmissbrauch kommen muss, um ein schmerzhaftes Bußgeld zu verhängen. Unternehmen sollten das Bußgeldverfahren gegen die Deutsche Wohnen SE zum Anlass nehmen, den eigenen Status hinsichtlich der Umsetzung der DSGVO zu hinterfragen, zu überprüfen und weiter zu optimieren. Das Bußgeld zeigt eindeutig, dass die Datenschutzbeauftragten der Länder mittlerweile auch von den hohen Bußgeldmöglichkeiten der DSGVO Gebrauch machen und – wie bereits vergangenes Jahr angekündigt – im Bereich von aktiven Prüfungen des Datenschutzes in Unternehmen immer aktiver werden.

Sascha Weller
IDR Weller – Institut für Datenschutzrecht

Michael Hill
Rechtsanwalt | Partner