MeineBerater

Videoüberwachung: 10,4 Millionen Euro DSGVO-Strafe

Posted 12. Januar 2021 by Erich von Maurnböck

Wissen Sie, wann und wo Sie videoüberwachen dürfen und wie Sie mit den Aufnahmen umzugehen haben? Die Antwort darauf sowie eine Warnung, was bei einem Verstoß passieren kann, erhalten Sie in diesem Beitrag.

Fall Videoüberwachung der Mitarbeitenden

Das Unternehmen „notebooksbilliger.de“ hat über einen Zeitraum von mindestens zwei Jahren Mitarbeitende sowie Kunden am Arbeitsplatz, im Verkaufsraum, im Lager sowie in anderen Aufenthaltsbereichen videoüberwacht. Der Grund dafür war die Verhinderung von Diebstählen und die Nachvollziehbarkeit von Warenflüssen. Eine entsprechende Rechtsgrundlage gemäß DSGVO für die Videoüberwachung war jedoch nicht vorhanden. Die Erklärung des Unternehmens ließ die Datenschutzbehörde nicht durchgehen, da ebenso mit anderen Mitteln wie stichprobenartigen Taschenkontrollen vorgegangen werden hätte können. Ein Generalverdacht ist ebenso unzulässig. Um die Videoüberwachung zu rechtfertigen, hätte es tatsächliche Verdachtsfälle von Fehlverhalten geben müssen.

Aus diesem Grund hat der Landesbeauftragte für Datenschutz in Niedersachsen ein Bußgeld von 10,4 Mio. Euro verhängt. Auf den Umsatz von „notebooksbilliger.de“ umgerechnet sind das ungefähr 1,04 % bis 1,18 %. Grundsätzlich kann das Strafausmaß gemäß DSGVO bis zu 20 Millionen Euro oder bis zu 4 % des Jahresumsatzes betragen – je nachdem, welcher Betrag höher ist.

Unsere Praxistipps

Um solche Fehler zu vermeiden raten wir Ihnen:

Stellen Sie sicher, dass Ihre Videoüberwachung auf einer gültigen Rechtsgrundlage basiert.
Kennzeichnen Sie Videoüberwachungen richtig und an einer Stelle, an der Personen rechtzeitig – also bevor Sie bereits mitten im Bild sind – darüber informiert werden.
Reicht eine Überwachung in Echtzeit aus? Oder haben Sie einen berechtigten Grund, die Aufzeichnungen aufzubewahren? Achtung, hierbei sind strenge Fristen einzuhalten. Nach 72 Stunden müssen Sie die Videos in jedem Fall löschen.
Für weitere Informationen zu diesem Thema oder zur Unterstützung bei der Umsetzung in Ihrem Unternehmen können Sie uns sehr gerne kontaktieren – wir sehen uns an, wie, wo und ob eine Videoüberwachung zulässig ist.

Cyberschäden durch Angriffe: Deutlicher Anstieg

Posted 9. Dezember 2020 by Erich von Maurnböck

Wissen Sie, wie häufig es mittlerweile zu schweren Cyberattacken auf Unternehmen unterschiedlichster Größen weltweit kommt? Lesen Sie in diesem Beitrag, wieso ein geeigneter Schutz vor solchen besonders wichtig ist. Selbstverständlich haben wir einige Praxistipps für Sie auf Lager, die Sie in Ihrem Unternehmen umsetzen können.

Cyberschäden in Österreich

Virtuelle Angreifer und Betrüger stellen für Unternehmen weltweit ein großes und vor allem teures Problem dar. So zeigt der führende österreichische Industrieversicherer für Unternehmens- und Spezialrisiken AGCS in Österreich in seiner Auswertung, dass aus den Jahren 2015 bis 2020 insgesamt 1.736 Cyberschadenmeldungen vorliegen. Hierbei ist außerdem ein deutlicher Anstieg zu vermerken: Im Jahr 2016 wurden 77 Schäden registriert, drei Jahre später im Jahr 2019 bereits ganze 809 Fälle.

Die versicherten Schäden stellen jedoch nur einen Bruchteil der tatsächlichen Zahlen dar – einer Schätzung zufolge lag die Anzahl aller Schadensfälle bei rund 500.000. Nur in Österreich! Den Großteil mussten die betroffenen Unternehmen, Vereine oder sonstige Einrichtungen jedoch selbst begleichen – schätzungsweise weit über fünf Milliarden Euro.

Große Ereignisse wie landesweite Wahlen sowie auch die aktuelle Pandemie bieten demnach eine gute Möglichkeit für Cyberangriffe.

Cyberschaden in England

Manchester United, der berühmteste Fußballclub Englands, wurde von Hackern angegriffen und lahmgelegt. Die Erpresser fordern nun Millionen, um die Systemlahmlegung aufzuheben. Obwohl bereits das nationale Sicherheits-Center im Einsatz ist, ist bislang kein Ende in Sicht. Dem Club droht zudem noch weiterer Ärger: Sollten im Zuge des Hackerangriffs Datenschutzrechte gegenüber Fans verletzt werden, ist zusätzlich zu den Schäden durch den Cyberangriff mit einer Geldstrafe von bis zu 18 Millionen Pfund, umgerechnet über 20 Millionen Euro, zu rechnen.

Wie kommen Cyberschäden zustande?

Interne Vorfälle, wie unbeabsichtigte Fehler (beispielsweise fehlende oder zu wenige Updates, falsche Bedienung/Konfiguration) – das sind mehr als die Hälfte aller Fälle!
Externe Vorfälle wie Phishing oder DDoS-Angriffe (Distributed Denial of Service, also auf Deutsch die Blockierung des Internetdienstes).
Absichtlich und böswillige unternehmensinterne Aktionen.

Unsere Praxistipps

Achten Sie stets darauf, dass die Betriebssoftware sämtlicher Server, Computer, Drucker und Netzwerkkomponenten (Firewalls etc.), die Sie in Verwendung haben, auf dem neuesten Stand ist.
Verwenden Sie sichere Passwörter und Codes und behandeln Sie diese diskret und vertraulich.
Achten Sie darauf, welche Mitarbeitenden welche Benutzerrechte haben. Beschränken Sie diese auf ein sinnvoll benötigtes Minimum.
Handeln Sie sofort, wenn Sicherheitslücken jeglicher Art bekannt werden. Je früher Sie dagegen steuern, umso geringer ist der Schaden meist zu halten.
Schulen Sie regelmäßig Ihre Mitarbeitenden hinsichtlich IT-Sicherheit in Ihrem Unternehmen.
Für weitere Tipps oder bei Fragen steht Ihnen Erich von Maurnböck gerne zur Seite. Wir freuen uns auf Ihre Anfragen!

DSGVO-Strafe über 12 Millionen Euro in Italien

Posted 9. Dezember 2020 by Erich von Maurnböck

Wissen Sie, wen Sie auf welche Art und Weise zu Marketingzwecken kontaktieren dürfen? Durch die DSGVO sind die Rechte und Pflichten von Unternehmen diesbezüglich genau definiert. Lesen Sie in diesem Beitrag, wie Sie eine Millionen-DSGVO-Strafe wie diese gegen Vodafone in Italien verhindern können.

DSGVO-Strafe für Vodafone

Gegen den Telekommunikationsanbieter Vodafone wurde von der italienischen Datenschutzbehörde eine Strafe in der Höhe von 12,25 Mio. Euro verhängt. Grund dafür waren zahlreiche Beschwerden von Konsumenten, die wiederholt aggressive Marketinganrufe des Anbieters erhalten hatten. Diese wurden von externen Call Centern durchgeführt. Die Untersuchung zeigte, dass dabei sogar Fake-Telefonnummern verwendet wurden. Des Weiteren wurde auf Kontaktlisten von Geschäftspartnern und anderen Unternehmen zurückgegriffen, ohne dass dafür eine Einwilligung der Betroffenen vorlag.
Zusätzlich zur Geldstrafe wurde Vodafone von der Datenschutzbehörde dazu angewiesen, Systeme zu implementieren, die sicherstellen, dass Telemarketing nur mit vorliegender Rechtsgrundlage betrieben wird.

Unsere Praxistipps

Legen Sie klar fest, dass jeder Marketing-Kontaktschritt, den Sie unternehmen, datenschutzrechtlich zulässig ist. Kein Newsletter, kein Brief, kein Anruf oder sonstiges darf versendet beziehungsweise getätigt werden, ohne Rechtsgrundlage.
Implementieren Sie Systeme, in denen klar vermerkt ist, welchem Kunden oder Interessierten Sie welche Informationen zusenden dürfen.
Beachten Sie auch im Marketing den Grundsatz der DSGVO: So viele Daten wie nötig dürfen erhoben werden, jedoch gleichzeitig so wenige wie möglich!
Bei weiteren Fragen zum Thema Datenschutz im Marketing können Sie uns jederzeit gerne kontaktieren.

75.000-Euro-DSGVO-Strafe in Spanien

Posted 10. November 2020 by Erich von Maurnböck

Wissen Sie, dass eine Datenverarbeitung immer auf einer Rechtsgrundlage basieren muss, die diese rechtfertigt. Werden Daten ohne eine solche verarbeitet, ist der Vorgang unrechtmäßig und – wie man anhand dieses Beitrags erkennen kann – häufig sehr teuer.

DSGVO-Strafe gegen Telekommunikationsunternehmen

In diesem aktuellen Fall in Spanien wurden bereits seit Mai vergangenen Jahres vom spanischen Telekommunikationsunternehmen Telefónica Móviles España Rechnungsbeträge vom Bankkonto eines Betroffenen eingezogen. Dieser stand jedoch nie in einer vertraglichen Beziehung mit dem verantwortlichen Unternehmen. Mehrere Beschwerden beim Telekommunikationsanbieter bleiben jedoch erfolglos.

Aus diesem Grund wandte sich der Betroffene mit einer Beschwerde an die spanische Datenschutzbehörde. Diese sah in dem Vorgehen von Telefónica Móviles España einen Verstoß gegen die DSGVO, da der Beschwerdeführer kein Kunde des Unternehmens war und die Verarbeitung seiner personenbezogenen Daten daher unrechtmäßig war. Das Bußgeld belief sich auf 75.000,- Euro.

DSGVO-Strafe vermeiden und Rechtsgrundlagen einhalten

Was sind denn nun die Rechtsgrundlagen, die die Verarbeitung personenbezogener Daten gemäß DSGVO rechtfertigen?

Sie haben eine Einwilligung der betroffenen Person in die Verarbeitung.
Die Verarbeitung ist notwendig zur Erfüllung eines Vertrags.
Die Verarbeitung ist notwendig, um ein Gesetz zu erfüllen.
Die Verarbeitung ist notwendig, um lebenswichtige Interessen von Personen zu schützen.
Die Verarbeitung ist notwendig, um eine Aufgabe zu erfüllen, die im öffentlichen Interesse liegt oder in der Ausübung öffentlicher Gewalt erfolgt.
Die Verarbeitung ist notwendig, um berechtigte Interessen der verantwortlichen Person oder Dritter wahrzunehmen. Dabei dürfen jedoch keine Grundrechte und Grundfreiheiten verletzt werden.

Unsere Praxistipps

Gehen Sie bei JEDER Datenverarbeitung sicher, dass diese auch zulässig ist. Sollte dies nicht der Fall sein, kann Ihr Unternehmen ein solcher Fehltritt teuer zu stehen kommen.
Bei Fragen zu der Rechtmäßigkeit Ihrer Datenverarbeitungen können Sie uns jederzeit kontaktieren. Wir beraten Sie sehr gerne!

Wichtige ToDo’s nach Kippen des Privacy Shields

Posted 12. Oktober 2020 by Erich von Maurnböck

Wissen Sie, was nun beim Datenaustausch mit den USA zu beachten ist? In diesem Beitrag wollen wir Ihnen einige Praxistipps geben: Daher haben wir für Sie folglich einige wichtige ToDo’s zusammengestellt, die Sie sofort umsetzen sollten. Selbstverständlich stehen wir Ihnen bei Fragen stets gerne zur Seite – kontaktieren Sie uns.

Haben Sie bereits unseren Blog-Beitrag zu den neuesten Informationen zum Kippen des EU-US-Privacy-Shields gelesen? Was ist nun für Sie zu tun? Hier geht es zum Artikel.

Unsere Empfehlungen nach dem Kippen des Privacy Shields

Überprüfen Sie, ob Sie Datenempfänger in den USA haben. Prominente Beispiele dafür, sind Google Maps, Google Analytics, MailChimp, Zoom, Facebook, YouTube sowie Instagram, SalesForce und sehr viele weitere Unternehmen.
Haben Sie Standarddatenschutzklauseln mit den jeweiligen amerikanischen Unternehmen abgeschlossen? In diesen werden die Datenschutzbestimmungen genau geregelt. Die US-Unternehmen verpflichten sich damit vertraglich, ein angemessenes Datenschutzniveau einzuhalten und zu gewährleisten.
Allerdings sind diese nicht ausreichend um ein DSGVO-ähnliches Niveau sicherzustellen. Auch wenn viele Unternehmen gegenteiliges behaupten, die Standarddatenschutzklauseln (auch SCC genannt) sind nicht genug. Von Behördenseite wurde bereits klargestellt, dass dem nicht so ist!
Bedeutet das nun, dass Daten grundsätzlich gar nicht mehr in die USA übermittelt werden dürfen? Nein! Eine Datenübermittlung ist weiterhin möglich – jedoch, wie bei anderen Drittländern auch, nur mit einer expliziten Einwilligung der Betroffenen. Und nur dann, wenn keine regelmäßige Übermittlung der Daten stattfindet.
Durch den Cookie-Banner muss also ab sofort klar darüber informiert werden, dass Daten in ein Drittland – die USA – übermittelt werden.

Unsere Praxistipps

Sollten Sie US-Dienste wie beispielsweise Google (Google Maps, Google Analytics, etc.) im Einsatz haben, müssen Sie zudem in Ihrer Datenschutzerklärung darauf hinweisen, dass Daten in die USA gelangen und dort möglicherweise nicht angemessen geschützt werden.
Bei CRM oder ERP System- Anbietern und auch Newsletter Versendern muss man den Einzelfall prüfen!
Verwenden Sie nur dann US-amerikanische Dienste und Anwendungen, wenn es wirklich notwendig ist. Ansonsten sollten Sie idealerweise auf Alternativen mit Sitz im Europäischen Wirtschaftraum (EWR) umsteigen.
Bei Fragen oder Unklarheiten zu den Änderungen in Ihrem Cookie-Banner, in Ihrer Datenschutzerklärung oder in Bezug auf andere Privacy-Shield-Belangen können Sie uns sehr gerne jederzeit kontaktieren.

Informationen zum Kippen des Privacy Shields

Posted 12. Oktober 2020 by Erich von Maurnböck

Wissen Sie, was das Kippen des EU-US-Privacy-Shields für Ihr Unternehmen bedeutet? Worum genau handelt es sich dabei und sind Sie davon betroffen? Bedenken Sie: Es gibt keine Übergangs- oder Gnadenfrist!

Wie wir bereits berichteten wurde am 16. Juli 2020 das Privacy Shield für ungültig erklärt. Dieses ermöglichte bis dato den Datenaustausch zwischen dem Europäischen Wirtschaftsraum – dem Gültigkeitsbereich der DSGVO – und den USA.

Wieso kam es zum Kippen des Privacy Shields?

Das Problem basiert auf der amerikanischen Gesetzgebung, die US-Unternehmen vorschreibt, US-Behörden bei Bedarf jederzeit alle personenbezogenen Daten von jeder Person zur Verfügung zu stellen. Das betrifft auch unsere europäischen personenbezogenen Daten, die in US-Betrieben gespeichert werden und stellt damit einen klaren Widerspruch zur DSGVO dar. Nämlich eine Offenlegung von Daten gegenüber unberechtigten Dritten.

Warum das Kippen des Privacy Shields eine Herausforderung darstellt

Diese Ungültigkeitserklärung stellt nun die meisten europäischen Unternehmen vor Herausforderungen.
Haben auch Sie Datenempfänger in den USA? Verwenden Sie beispielsweise Google Maps, Google Analytics, MailChimp oder Zoom?
Wenn ja, dann müssen Sie dringend Schritte setzen, um ein angemessenes Datenschutzniveau beizubehalten. Diese können Sie in unserem Beitrag Wichtige To-dos nach Kippen des Privacy Shields nachlesen.

Der Europäische Datenschutzausschuss (EDSA) stellte bereits vor Wochen klar, dass es keine Übergangsfrist gibt. Die Umstellung und die Neuerungen müssen ohne Verzögerung sofort umgesetzt werden! Und nun sind auch schon drei Monate vergangen. Sollten Sie also noch keine Maßnahmen umgesetzt haben, ist es höchste Zeit dafür!

Unsere Praxistipps

Überprüfen Sie alle Ihre US-amerikanischen Tools, die Sie in Verwednung haben. Hier erfahren Sie mehr über Mailchimp & Co.
Wenn Sie Unterstützung benötigen, kontaktieren Sie uns jederzeit.

Verschlüsselung – Vorsicht vor Hackerangriffen!

Posted 5. Oktober 2020 by Erich von Maurnböck

Wissen Sie über Hackerangriffe Bescheid und darüber, wie Sie diese verhindern? Auch das ist ein wichtiger Bereich des Datenschutzes und der IT-Sicherheit. Wieso es Hackern nach wie vor so oft gelingt, ganze Großkonzerne lahmzulegen, und was man dagegen machen kann, können Sie in diesem Beitrag lesen.

Hackerangriffe auf Unternehmen

Was haben der Uhrenmacher „Swatch Group“, die französische Großreederei CMA CMG, der größte private Spitalsbetreiber und ein US-amerikanischer Versicherungsbroker gemeinsam? Was wie ein schlechter Witz beginnt, endet mit schweren IT-Pannen. Nun die „Pointe“: All diese Unternehmen wurden Ende September innerhalb einer Woche erfolgreich von Verschlüsselungsverbrechern angegriffen.

Wie kam es zu den erfolgreichen Angriffen? Details dazu liegen aktuell noch kaum vor, allerdings wurde bereits bekannt, dass mindestes zwei der betroffenen Unternehmen veraltete Betriebssysteme (in Einwahl-Gateways und Applikationsservern von Citrix bzw. F5 Networks) eingesetzt wurden. Diese hatten schwere Sicherheitslücken, welche damals noch nicht (durch Patches) beseitigt wurden.

Mittlerweile sind die meisten der Systeme am aktuellen Stand, trotzdem kann es sein, dass sie noch immer „offen“ sind. Der Grund liegt darin, dass nach bereits erfolgten erfolgreichen Angegriffen sogenannte Backdoors (=“Hintertüren“) installiert wurden. Das ist eine Malware, durch welche die Netzwerke für Angriffe offen bleiben. Somit tut sich hier ein neuer Schwarzmarkt auf, auf dem solche Zugänge zu großen Netzen inklusive dem geeigneten Schadsoftware-Paket an Erpresserbanden verkauft werden.

Vorgehensweise von Hackerangriffen

Zu Beginn werden Mengen an Daten aus dem betroffenen System kopiert und die Original-Datensätze beziehungsweise Datenbanksysteme werden verschlüsselt. Anschließend wird eine enorme Summe – mittlerweile meist im zweistelligen Millionenbereich – gefordert, um eine Wieder-Entschlüsselung der Daten zu erreichen.

Buchungssysteme sowie Gateway-Server sind direkt mit den unternehmensinternen Servern und Datenbanken verbunden und verbinden diese mit Partnerfirmen und -agenturen sowie mit eigenen Niederlassungen.
Genau so wurde beispielsweise der Konzern Merit gehackt. Dieser hatte im Laufe der letzten Jahre die IT-Systeme der Tochterfirmen– inklusive der CMA CMG als größte – vereinheitlicht. Grundsätzlich galt das implementierte System als sehr sicher – bis eine enorme Sicherheitslücke bekanntwurde: Beim Login mit dem Benutzernamen „NOBODY“ wurde kein Passwort abgefragt und auf diesem Weg wurden jedem, der damit einstieg, Administratorenrechte zuteil sowie ein Kommandozeilenprogramm zugänglich.

Hackerangriffe von Banden

Auch der größte Spitalsbetreiber der USA – Universal Health Services – mit 400 Kliniken, wurde erpresst. Kurz zuvor hatte es den Schweizer Uhrenmacher Swatch Group erwischt.

Ein besonders schwerwiegender Fall ereignete sich in der Uniklinik Düsseldorf und forderte sogar ein Todesopfer. Die Hackerbande hatte es auf die Heinrich-Heine-Universität Düsseldorf abgesehen, erwischte jedoch unbeabsichtigt das größte Notfallkrankenhaus in der Umgebung. Als die Täter darauf hingewiesen wurden, stellten sie die Schlüssel zur Verfügung und machten sich aus dem Staub.

Die Angreifer können keineswegs als homogene Gruppe angesehen werden – die Fähigkeiten und Fertigkeiten der Banden unterscheiden sich gravierend. Während manche eher ungeschickt und wenig erfolgsversprechend vorgehen, agieren andere äußerst professionell und erreichen eine Auszahlung der geforderten Lösegelder.

Unsere Praxistipps

Achten Sie darauf, dass alle Ihre Gateways, Server und Netzwerkkomponenten, die Sie verwenden, auf dem letzten Sicherheitsstand sind. Sollten Lücken bekannt werden, handeln Sie sofort!
Schulen Sie auch Ihre Mitarbeitenden regelmäßig, insbesondere auch hinsichtlich IT-Sicherheit und worauf bei der Installation von Neusystemen geachtet werden muss. Eine Panne wie bei Merit, wo jedermann ohne Passwort einsteigen konnte, darf auf keinen Fall passieren!
Bei weiteren Fragen oder Unklarheiten kontaktieren Sie uns am besten, wir unterstützen Sie gerne.

Deutschland: 145.000-DSGVO-Strafe

Posted 29. Juli 2020 by Erich von Maurnböck

Kontaktieren Sie potenzielle Kunden und Interessenten zu Marketingzwecken? Wenn ja, dann achten Sie unbedingt darauf, dass eine wirksame Werbe-Einwilligung vorliegt. Wird eine solche nicht eingeholt, kann es teuer werden!

DSGVO-Strafe gegen Mobilfunkanbieter

Die deutsche Datenschutzbehörde hat eine Strafe von 145.000,- € gegen den Mobilfunkanbieter Mobilcom Debitel GmbH verhängt. Der Grund dafür war, dass das Unternehmen wiederholt unerlaubte Werbeanrufe getätigt hatte.

Mobilcom-Debitel GmbH setzte in das Kleingedruckte der Telefon-Verträge eine vorformulierte Werbezustimmung. Mit dieser erklärten sich Kunden dazu bereit, Werbung des Unternehmens so wie auch von Drittanbietern zugesandt bekommen zu dürfen. Eine ausreichende Kennzeichnung war jedoch nicht vorhanden.

Das Unternehmen hielt sich somit nicht an den Grundsatz, dass eine Zustimmung immer aktiv erfolgen muss und arbeitete mit intransparenten und verschleiernden Klauseln. Auch nach schriftlicher Untersagung wurden weitere Anrufe getätigt und nahezu Telefonterror betrieben.

Das Unternehmen ging sogar noch einen Schritt weiter und unterstellte einigen Empfängern ihrer unerlaubten Anrufe den Abschluss eines Abonnements. Dabei handelte es sich unter anderem um Zeitschriften, Hörbücher, Video-Dienste oder auch Handyversicherungen. Anrufern, die die Angebote ausdrücklich ablehnten, wurden später Verträge untergeschoben. Nur durch einen Widerruf der Vertragsbestätigung, konnten sie den für sie entstandenen Schaden abwenden.

Auch dieser Punkt wurde in der Höhe des Bußgeldes erschwerend berücksichtigt.

Unsere Praxistipps

Marketing und Werbung sind für nahezu jedes Unternehmen von großer Bedeutung. Die grundsätzlichen Menschenrechte, wie der Schutz der Privatsphäre, dürfen jedoch keinesfalls verletzt werden. Die DSGVO schützt uns als Kunden und muss von Unternehmen unbedingt eingehalten werden! Sollten Sie also Kunden zu Werbezwecken kontaktieren, überprüfen Sie vorher sorgfältig, ob eine Einwilligung dafür vorliegt.
Wenn Sie Unterstützung oder eine ausführliche Beratung zu diesem Thema benötigen, kontaktieren Sie uns.

Italien: DSGVO-Strafe über 17 Millionen Euro

Posted 28. Juli 2020 by Erich von Maurnböck

Haben Sie gewusst, dass Sie Daten zu Marketingzwecken immer nur dann verarbeiten dürfen, wenn Sie Einwilligungen dazu eingeholt haben? Was sind denn Marketingzwecke genau? Zum Beispiel Anrufe, Newsletter-Versand, Zusendung von Werbung. Das Telekommunikationsunternehmen Wind Tre aus Italien musste dies nun anhand einer DSGVO-Strafe über 17 Millionen Euro lernen.

Fall Telekommunikationsunternehmen in Italien

Untersuchungen der italienischen Datenschutzbehörde „Garante per la protezione dei dati personali“ ergaben, dass der Telekommunikationsdienst Wind Tre SpA einige ungeeignete Einwilligungen zur Datenverarbeitung von Kunden verwendete.

Wie sahen diese aus? Nutzer der Unternehmens-Apps „My3“ und „MyWind“ mussten zur Verwendung automatisch ihre Einwilligung in eine Vielzahl an Datenverarbeitungen geben, die sie erst nach 24 Stunden widerrufen werden konnten.

Einige Personen gaben sogar an, ganz ohne jegliche Einwilligung über Anrufe, SMS oder Emails zu Marketingzwecken kontaktiert worden zu sein. Erschwerend kam hinzu, dass Wind Tre die Datenschutzmaßnahmen sowie -umsetzung ihrer Auftragsverarbeiter nicht kontrollierte.

Datenschutzbehörde aus Italien

Die italienische Datenschutzbehörde stoppte jegliche Datenverarbeitung, die auf eine ungültigen Einwilligung basierte, und ordnete eine Kontrolle aller Auftragsverarbeiter an. Zudem müssen die eigenen technischen und organisatorischen Maßnahmen (TOMs) künftig besser überprüft werden. Aufgrund der schwerwiegenden Verstöße gegen die DSGVO kam es außerdem zu einer Strafe von rund 17 Millionen Euro.

Unsere Praxistipps

Die Verarbeitung personenbezogener Daten erfordert IMMER eine gültige Rechtsgrundlage! Versenden Sie niemals Werbung an Personen, die dazu nicht aktiv eine Einwilligung gegeben haben. Einen ausführlichen Beitrag zum Thema Werbung ohne Einwilligung können Sie hier nachlesen.
Kontrollieren Sie Ihre Auftragsverarbeiter regelmäßig! Ihr eigener betrieblicher Datenschutz ist immer nur so gut umgesetzt, wie der jedes einzelnen Auftragsverarbeiters.
Sollten Sie Fragen haben bezüglich der Einholung einer Einwilligung zu Marketingzwecken, kontaktieren Sie uns und wir sorgen dafür, dass Ihre Werbung DSGVO-konform wird.

Author Archive

Fall Videoüberwachung der Mitarbeitenden

Unsere Praxistipps

Cyberschäden in Österreich

Cyberschaden in England

Wie kommen Cyberschäden zustande?

Unsere Praxistipps

DSGVO-Strafe für Vodafone

Unsere Praxistipps

DSGVO-Strafe gegen Telekommunikationsunternehmen

DSGVO-Strafe vermeiden und Rechtsgrundlagen einhalten

Unsere Praxistipps

Unsere Empfehlungen nach dem Kippen des Privacy Shields

Unsere Praxistipps

Wieso kam es zum Kippen des Privacy Shields?

Warum das Kippen des Privacy Shields eine Herausforderung darstellt

Unsere Praxistipps

Hackerangriffe auf Unternehmen

Vorgehensweise von Hackerangriffen

Hackerangriffe von Banden

Unsere Praxistipps

DSGVO-Strafe gegen Mobilfunkanbieter

Unsere Praxistipps

Fall Telekommunikationsunternehmen in Italien

Datenschutzbehörde aus Italien

Unsere Praxistipps