Archive for November 23rd, 2022

Datenpanne – bezahlt mit eigenen Daten?

Posted by Birgit von Maurnböck

Haben Sie in den letzten Jahren, genauer seit dem Jahr 2018 die Vergleichsportale bzw. Online-Marktplätzen von Check24, Idealo, Tyre24 oder hood.de genutzt? Dann hoffen wir, dass sich Ihre Käufe gelohnt haben. Unter Umständen haben Sie die Waren dort nämlich nicht nur mit Geld, sondern auch mit Ihren Daten bezahlt!

Was war passiert?

Die eingangs erwähnten deutschen Unternehmen bieten neben einem (Preis-)Vergleichsportal die Möglichkeit an, über sogenannte Online-Marktplätze die verglichenen Waren auch zu erwerben. Ähnlich wie bei dem Onlineportal Willhaben werden dabei Produkte auch über Dritthändler angeboten, die mittels einer Schnittstelle mit dem Online-Marktplatz verbunden sind.

Diese Schnittstelle war in dem Fall auch die Schwachstelle: Nicht ausreichend geschützt und in der Folge wurden jahrelang Kundendaten (Adressdaten, Bankdaten, etc.) von mehr als 700.000 Personen im Netz offengelegt und konnten ohne Schwierigkeiten ausgelesen werden.

Warum wurden die Betroffenen über das Datenleck nicht informiert?

Wie so oft wird versucht, die Verantwortung auf den jeweils anderen zu schieben. Laut eigenen Aussagen seien die Online-Marktplätze (und damit Check24, Idealo, etc.) nicht die Bösen und schon gar nicht verantwortlich. Eine Vertragsbeziehung wird nicht mit ihnen abgeschlossen, sondern erfolgt vielmehr zwischen der Kundschaft und den Drittanbietern.

Mehrere deutsche Landesdatenschutzbeauftragte sehen das aber anders und die Onlinehändler sehr wohl in der Pflicht, da jede Person einerseits seine Daten direkt bei den Betreibern der Online-Marktplätze hinterlegt und andererseits oftmals gar nicht weiß, dass er überhaupt einen Vertrag mit einem Dritthändler abschließt.

Was Sie als Kunde/Kundin tun können

In jedem Fall überprüfen, ob Sie seit dem Jahr 2018 bei einem der genannten Online-Marktplätze eingekauft haben. Ob und in welchem Ausmaß Ihre Daten von dem Datenleck betroffen waren, lässt sich schwer feststellen. Seiten wie https://haveibeenpwned.com/ geben einen groben Aufschluss darüber, ob z.B. die eigene E-Mail-Adresse von einem Data Breach betroffen ist.

Unter Umständen haben Sie auch einen Anspruch auf Schadenersatz, den Art 82 DSGVO explizit vorsieht. Gerne unterstützen wir Sie auch in diesem Zusammenhang.

Unsere Praxistipps

Interessenkonflikt Datenschutzbeauftragter: 525.000€ Strafe

Posted by Birgit von Maurnböck

 

Der Datenschutzbeauftragte im Unternehmen

Die Pflicht zur Bestellung eines Datenschutzbeauftragten trifft Unternehmen, die in bestimmten Bereichen angesiedelt sind, zum Beispiel Banken, Versicherungen, Kreditauskunfteien. Und natürlich Unternehmen, die von Berufs wegen Daten verarbeiten, wie jegliche IT-Dienstleister (Auftragsverarbeiter!), APP-Anbieter, Softwareanbieter. Darüber hinaus, auch Unternehmen, die sensible Daten verarbeiten, wie Gesundheitsdienstleister, Ärztezentren, Krankenhäuser, und etliche andere mehr. Freiwillig bestellen kann natürlich jedes Unternehmen einen oder eine. Dies wird auch immer populärer, einerseits aus Gründen der Rechtssicherheit, andererseits aus Gründen des Marketings („wir passen besonders gut auf Ihre Daten auf“).  Hat ein Unternehmen einen eigenen Datenschutzbeauftragten (freiwillig) bestellt, nimmt dieser dort auch eine wichtige Stellung ein: Er oder sie berät das Unternehmen hinsichtlich datenschutzrechtlicher Pflichten und stellt sicher, dass alle Datenschutzvorschriften eingehalten werden (das ominöse, mit Malware versehene Testmail an alle Mitarbeiter zur Schaffung von Awareness kommt von ihm! Oder ihr ;-)).

Auf Grund dieser wichtigen Rolle schreibt die DSGVO vor, dass diese Position nur Personen ausüben dürfen, die keinem Interessenkonflikt durch andere Aufgaben unterliegen (Art 38 Abs. 6 DSGVO).

Wer, wie, was, Konflikt?

Ein solcher Interessenkonflikt lag bei einem Datenschutzbeauftragten einer Tochtergesellschaft eines E-Commerce-Konzerns in Berlin vor. Der Mann war nämlich nicht nur Datenschutzbeauftragter des Unternehmens sondern freundlicherweise auch noch Geschäftsführer von zwei Gesellschaften, die im Auftrag des Unternehmens personenbezogene Daten verarbeiteten. Damit nicht genug, sind die beiden Gesellschaften auch noch Teil des Konzerns. Also alles unter einem Dach, kein Problem, oder?

Die Ansicht der Berliner Aufsichtsbehörde

Der Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDl) sah das naturgemäß anders: „Ein Datenschutzbeauftragter kann nicht einerseits die Einhaltung des Datenschutzrechts überwachen und andererseits darüber mitentscheiden“, so ein Sprecher des BlnBDl. So aber im vorliegenden Fall geschehen, da der Datenschutzbeauftragte des E-Commerce Unternehmens die Einhaltung des Datenschutzes nicht nur im Unternehmen, für das er bestellt war, überwachen musste, sondern eben auch im Rahmen der Auftragsverarbeitung für die beiden Dienstleistungsgesellschaften, die von ihm selbst als Geschäftsführer geleitet wurden. Laut BlnBDI und wohl auch für viele Leserinnen und Leser dieses Beitrags ein eindeutiger Interessenkonflikt!

Die Folge: Eine Verwarnung des BLNBDI im Jahr 2021 und da sich am Prozedere der Doppelfunktion im Unternehmen seitdem nichts geändert hatte – ein Bußgeld in Höhe von 525.000 Euro!

Unsere Praxistipps