Haben Sie schon einen standardisierten Prozess für die Beantwortung von Auskunftsbegehren? Falls ja, dann dürfen Sie hier ebenfalls mit dem Frühjahrsputz beginnen 😉
Der Europäische Datenschutzausschuss hat für die Beantwortung von Auskunftsbegehren neue Leitlinien veröffentlicht. Auch in diesen fällt auf, dass es keine Erleichterungen für die Verantwortlichen gibt (also uns Unternehmer/Unternehmen) sondern die Anforderungen werden strenger.
Allen Auskünften muss zukünftig eine Kopie sämtlicher personenbezogener Daten beigelegt werden, egal wie groß der Aufwand dafür ist. Das bedeutet, wenn Sie beispielsweise Unterlagen in einem externen Archiv aufbewahren, wo Sie für die Anforderung eine Gebühr zu entrichten haben, werden Sie in Zukunft diese Gebühr zahlen müssen (nein, keine Rückforderung beim Antragsteller). Nur in wenigen , gut begründeten Fällen und auf das jeweilige Unternehmen abgestimmt, können Ausnahmen bei den Kopien gemacht werden.
Weiters sind nicht nur die konkreten Daten (keine Kategorien!) wie Name, Adresse und Kontaktdaten anzuführen, sondern auch u.a. Gesundheitsunterlagen, historische Kaufaufträge, Finanzdaten oder Protokolle zur online Nutzung des Kunden Ihrer Webseiten oder Apps .
Und wenn die Unterlagen komplex sind, weil beispielsweise die Protokolle der online Nutzung für einen Laien nicht verständlich sind, sind diese in einfacher Sprache zu erklären.
Beispielsweise hat die Hessische Datenschutzbehörde 2020 für Verstöße gegen die Auskunftspflichten Strafen im fünfstelligen Bereich verhängt.
Auch kann davon ausgegangen werden, dass zukünftig immer mehr Schadensersatzforderungen bei nicht korrekter Beantwortung von Auskunftsbegehren auf Sie zukommen können. Bei solchen Verstößen wurde vor kurzem in Deutschland einmal 1.000.- € und ein anderes Mal 5.000,- € Schadenersatz verhängt.
Der Datenaktivist Max Schrems und sein Verein „None of your business“ (NOYB) haben wieder mal zugeschlagen und die Datenschutzwelt scheinbar gehörig auf den Kopf gestellt. In einer Entscheidung über eine Beschwerde von NOYB gegen ein österreichisches Unternehmen, welches Google Analytics zum Tracken seiner Nutzer einsetzte, entschied nun die Datenschutzbehörde, dass ebendieser Einsatz von Google Analytics gegen die DSGVO verstößt. Wir beantworten die brennendsten Fragen zu diesem Thema!
Nicht unbedingt. Die Beschwerde wurde bereits im August 2020 bei der Behörde eingebracht, nur kurze Zeit nachdem der Europäische Gerichtshof in seiner Entscheidung „Schrems II“ das EU-US Privacy Shield zu Fall gebracht hatte. In dieser – damals wirklich bahnbrechenden Entscheidung – fiel quasi über Nacht die Rechtsgrundlage für die Übermittlung von personenbezogenen Daten in die USA weg und bereitet Datenschützern noch heute Kopfzerbrechen und macht kreatives Einfühlungsvermögen beim Einsatz von Diensten mit US-Bezug notwendig.
Kein Wunder also, dass seit dem Fall des Privacy Shields gewisse Tools von Behörden genauer unter die Lupe genommen werden. Aktuell hat es wie erwähnt Google Analytics erwischt.
Wenn man seine Hausaufgaben gemacht hat, ja. Das Unternehmen, gegen welches sich die Entscheidung der österreichischen Datenschutzbehörde richtet, hatte bei dem Einsatz des Analysetools nicht mit der Einwilligung des Websurfers (=Besuchers der Website) durch einen rechtskonformen Cookie-Banner gearbeitet. Somit wurden bereits beim Aufrufen der Website Trackinghandlungen gesetzt und die erhobenen Daten in weiterer Folge dann unrechtmäßig in die USA übermittelt.
Ein rechtskonformer Cookie-Banner, über welchen die Zustimmung des Kunden zur weiteren Verarbeitung der Daten oder der Übertragung in die USA eingeholt wird, sichert aktuell noch datenschutzkonforme Verwendung von Google Analytics (und anderen US-Dienstleistern). Das letzte Wort ist aber wie so oft im Datenschutz noch nicht gesprochen.
Max Schrems dazu in einem Artikel auf seiner Website: “
Wir erwarten, dass ähnliche Entscheidungen nun schrittweise in den meisten EU-Mitgliedstaaten fallen werden. Wir haben 101 Beschwerden in fast allen Mitgliedstaaten eingereicht, und die Behörden haben die Entscheidungen koordiniert […]
Die Bußgelder für Verstöße gegen die DSGVO haben 2021 die Milliardengrenze überschritten: 1,3 Milliarden Euro wurden letztes Jahr insgesamt verhängt!
Einige Urteile haben wir Ihnen schon in unseren Beiträgen zusammengefasst, hier ein kurzer Überblick der Entwicklung.
2021 wurden 434 (bekannte) Strafen mit Bußgeldern in Höhe von 1,3 Milliarden Euro verhängt.
2020 waren es 340 Strafen mit Bußgeldern in Höhe von 172 Millionen Euro und
2019 waren es nur 151 Strafen mit 73 Millionen Euro Bußgeldern.
Die Spitzenreiter 2021 waren Amazon mit 746 Mio. Euro und WhatsApp mit 225 Mio. an Geldbuße. Aber auch in Österreich wurden Strafen in Millionen Euro ausgesprochen – über Rewe wurde erneut eine Strafe aufgrund DSGVO-Verletzungen in Höhe von 8 Mio. Euro verhängt. Der zum Rewe gehörende Jö Bonus Club war mit 2 Mio. Euro ebenfalls in den Medien.
In der DSGVO wird von verhältnismäßigen und abschreckenden Bußgeldern gesprochen. Die Datenschutzbehörden können über ein Unternehmen Geldbußen von bis zu 20 Mio. EUR oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, je nachdem, welcher der Beträge höher ist.
Wie können Sie sich hier Kopfweh ersparen?
Verhindern Sie Strafen indem Sie unter anderem regelmäßig Ihre Verarbeitungen, Ihre TOMs, Ihre Auftragsverarbeiter, Ihre Webseite auf Cookies und Ihre Datenschutzerklärung prüfen, ob
Aber ganz besonders wichtige: Besuchen Sie und Ihre Mitarbeitenden regelmäßig Schulungen, zum Beispiel bei uns 😉
Kontaktieren Sie uns, wenn Sie Unterstützung bei der Umsetzung benötigen, durch unsere jahrelange Expertise im Datenschutz- und IT-Bereich sind wir Ihre idealen Partner. Machen Sie unsere Kompetenzen zu Ihren Stärken!
Seit einigen Tagen wird eifrig darüber berichtet. Zuerst nur in einschlägigen Foren und Plattformen – aber zunehmend bricht dieser Supergau auch in das Leben aller Menschen, die mit elektronischen Geräten arbeiten, insbesondere jene, auf denen Java installiert ist.
Warum, was ist jetzt anders? Es handelt sich um eine sogenannte Zero-Day „Lücke“.
Heißt was? Hersteller haben keine Vorwarnzeit, bevor diese Lücke schon durch Kriminelle entdeckt und verwendet worden ist. Und die Attacken auf alle Systeme sind aktuell jede Sekunde viele tausend Mal höher, als sonst.
Gut, das hat es schon alles gegeben, werden Sie vielleicht sagen. Und was ist jetzt anders? Ganz einfach. Diese Lücke betrifft Millionen von Anwendungen – und ganz sicher auch Anwendungen, die Sie kennen – inklusive Ihrem Smart-Home.
Das BSI (Bundesamt für Sicherheit in der Informationstechnik) als eine der führenden Organisationen im europäischen Raum stuft die Gefahr als „Rot“ ein – das ist die oberste Warnstufe (https://www.bsi.bund.de/DE/Service-Navi/Presse/Pressemitteilungen/Presse2021/211211_log4Shell_WarnstufeRot.html).
Fix für Lücke u. A.: Teamviewer, Ubiquiti, VMWare tw.
Nicht betroffen u. A.: Microsoft Azure, Synology
Under Investigation u. A.: Huawai, Salesforce, Tableau
Jetzt kommt auch noch der Datenschutz“senf“ dazu: Aufgrund der großen Gefahr wenden wir uns als Ihre Datenschützer auch an Sie, eventuell müssen Sie Datenpannen melden! Denn durch ein Ausnützen dieser Schwachstelle können Angreifer Zugriff auf Ihre Daten erlangen, diese verschlüsseln, löschen usw. Damit stehen Sie vor – zumindest – einer Datenpanne, bis hin zu einem existenzbedrohendem Problem.
Viel Erfolg und alles Gute beim Abwenden dieser Gefahrensituation.
Link zu aktuell betroffener Software (wird laufend aktualisiert/Niederländisches Cyber Security Center) – https://github.com/NCSC-NL/log4shell/tree/main/softwareLink Heise Artikel: https://www.heise.de/news/Roter-Alarm-Log4j-Zero-Day-Luecke-bedroht-Heimanwender-und-Firmen-6292863.html *Achtung: die Hardware/Softwareliste wird sich laufend ändern, die obigen Angaben sind zum Zeitpunkt der Veröffentlichung aus der Liste betroffener Software vom Niederländischen Cyber Security Center entnommen.
Viele bereiten sich jetzt gerade auf Weihnachten vor – es sind noch knapp 4 Wochen. Wohnung dekorieren, Kekse backen und vor allem Geschenke besorgen. Moment – das ist ja grad gar nicht so einfach. Es geht nämlich nur online, außer man kauft beim Lebensmittelhändler seiner Wahl Essiggurkerl – aber wer will das schon als Geschenk haben. Ein neues Smartphone, ein SmartTV, Laptop oder anderes Gerät muss her. Vielleicht ein Fitnessgerät für die Zeit nach Weihnachten, um die Neujahrsvorsätze umzusetzen.
Und das ist super einfach und geht ganz schnell. Vielleicht ein Schnäppchen bei einem neuen, unbekannten Shop?
Und dann ist das Geld weg! Warum: Sie sind einem Fake-Shop in die Falle getappt.
Kennen Sie den Online-Shop bereits, vielleicht indem Sie erfolgreich dort bestellt haben und dann auch der richtige Artikel angekommen ist? Dann ist das schon die halbe Miete.
Falls nicht, beherzigen Sie folgende Tipps.
Mit diesen Tipps helfen wir Ihnen hoffentlich, dass Sie nicht in eine Falle tappen und Ihr Weihnachtsfest ein „frohes“ werden wird. Die Tipps gelten übrigens auch außerhalb der Weihnachtszeit 😉
Ja, tut sie. Aber wen wundert es, dass man selten bis nie etwas dazu hört, wenn drei der vier relevanten Gesetze erst seit Jänner 2016 in Kraft sind? Das Vierte gibt es immerhin schon seit Oktober 2002. Für Gesetze ist das eine wirklich kurze Zeit.
Wenn einer der folgenden Paragrafen des Strafgesetzbuches (StGB) erfüllt ist, die Straftat bei der Polizei angezeigt wird und der Verletzte zustimmt, dass der Täter verfolgt wird.
Im Vergleich zu den Geldstrafen, mit welchen Unternehmen bei Verstößen gegen die DSGVO rechnen müssen, sind die Geldstrafen für unerlaubten Zugriff auf Computersysteme, die Verwendung, die Weitergabe von unrechtmäßig erworbenen Daten mit bis zu 360 Tagessätzen begrenzt. Aber dafür kann auch eine Freiheitsstrafe von bis zu 5 Jahren verhängt werden.
Nicht nur Hackerangriffe sind mit diesen Tatbeständen gemeint. Häufiger Fall: Bereits ausgeschiedene Mitarbeitende stehlen über nicht gesperrte Zugänge Daten oder verwenden diese missbräuchlich, vielleicht geben sie diese sogar an Dritte weiter oder spielen Schadsoftware ein.
Auch das Kopieren von Daten (beispielsweise Kundendaten) und Mitnehmen zum neuen Dienstgeber fällt unter diese Straftatbestände.
Kriminelle Handlungen müssen bei der Polizei angezeigt werden – Vorkommnisse dieser Art dürfen uns nicht egal sein!
Achtung, man kann sich unwissentlich selbst auch schuldig machen. Dies kann passieren, wenn man Daten verwendet, welche nicht für einen bestimmt waren. Zum Beispiel wenn ehemalige Mitarbeitende eines Geschäftspartners Listen mit Daten an uns senden. Wenn wir diese für eigene Zwecke verwenden, machen wir uns ebenfalls strafbar. Man beteiligt sich unwissentlich an einer Straftat, wenn der ehemalige Mitarbeitende die Daten in böswilliger Absicht entwendet hat.
Österreich, 15. August 2021
Die österreichische Datenschutzbehörde verhängte gegenüber der Unser Ö-Bonus Club GmbH eine Geldbuße in Höhe von 2 Millionen Euro. Dies geht aus dem am 2. August 2021 von der Behörde veröffentlichten Bescheid hervor.
Das Bußgeld wurde wegen unzureichenden Einwilligungen bei der Anmeldung zum JÖ Bonus-Club verhängt. Mit der Anmeldung erklärten sich die Mitglieder neben der Teilnahme am Bonus-Club auch damit einverstanden, dass die personenbezogenen Daten zu Profiling-Zwecken genutzt werden. Beim Profiling werden individuelle Kundenprofile erstellt, um Kunden mit zielgerichteter Werbung zu bespielen.
Da die Informationen zur Datenverarbeitung erst weiter unten ersichtlich waren, hat die Datenschutzbehörde die nicht korrekte Platzierung des Einwilligungskästchens zu den Datenschutzinformationen, beanstandet. Dies führte dazu, dass die potenziellen Mitglieder mit der Ansicht einwilligten, durch die Einwilligung von exklusiven Vorteilen und Aktionen profitieren zu können. Dabei konnten Besucher nicht erkennen, dass die Einwilligung zugleich auch zur Datenverarbeitung für Profilingzwecke war. Auch auf den Anmeldeformularen in Papierform, konnte eine gleichzeitige Einwilligung zu Profilingzwecken für die potenziellen Mitglieder nicht sofort erkannt werden.
Insgesamt sind rund 2,3 Millionen Menschen betroffen, welche zwischen Mai 2019 und März 2020 eine Mitgliedschaft in Papierform oder über die Webseite abgeschlossen haben.
Die Datenschutzbehörde ist der Meinung, dass die strengen Anforderungen für eine wirksame Einwilligung nach der DSGVO nicht erfüllt wurden. Die DSGVO sieht vor, dass die Information über eine beabsichtigte Datenverarbeitung – bevor eine Einwilligung vom Betroffenen gegeben wird – dem Betroffenen besonders verständlich und leicht zugänglich zur Verfügung gestellt werden muss. Nur dann ist es Betroffenen möglich, eine freie Entscheidung über die Verarbeitung ihrer Daten zu treffen.
Das Problem der Unwirksamkeit von Einwilligungen beim JÖ Bonus Club ist nicht neu. Vielmehr war der DSGVO-Verstoß schon einmal Thema bei der Datenschutzbehörde. Daraufhin wurden Änderungen an den Einwilligungserklärungen vorgenommen. Dennoch wurden die personenbezogenen Daten, welche unrechtmäßig von Betroffenen eingeholt worden waren, aber weiterhin ohne eine gültige Einwilligung der Betroffenen weiterverarbeitet.
Die Datenschutzbehörde hat die Corona-Pandemie als strafmildernd bei der Bemessung der Geldbuße berücksichtigt.
Mittlerweile wurde Berufung beim Bundesverwaltungsgericht eingelegt. Eine Entscheidung des Gerichts bleibt abzuwarten.
Die beabsichtigte Datenverarbeitung VOR Einholung von Einwilligungen muss immer leicht verständlich und klar beschrieben sein (Stichwort: Erfüllung der Informationspflichten). Bei Nichteinhaltung der Anforderungen nach Art 7 Abs 2 DSGVO riskiert jedes Unternehmen – ähnlich wie der JÖ Bonus-Club – aufgrund der Datenverarbeitung ohne Rechtsgrundlage eine saftige Geldstrafe.
3G: Getestet, geimpft, genesen – das gilt derzeit in vielen Unternehmen und wird uns wohl auch noch eine Zeit lang begleiten. Doch wie sieht es hier mit dem Datenschutz aus? Immerhin handelt es sich beim 3G-Nachweis um Gesundheitsdaten, die besonders geschützt werden müssen. Wir haben uns das genauer angeschaut und geben Tipps für die optimale datenschutzrechtliche Vorgehensweise im Unternehmen.
Im Rahmen der Fürsorgepflicht sind Unternehmen verpflichtet, für die Sicherheit und den Gesundheitsschutz ihrer Mitarbeitenden zu sorgen. Eine zusätzliche Sorgfaltspflicht trifft bei direktem Kontakt mit Kunden, Geschäftspartnern und sonstigen Dritten zu.
Das Datenschutzrecht sieht vor, dass die 3G-Gesundheitsdaten in jenem Ausmaß verwendet werden können, das notwendig ist, um die Verbreitung des Virus zu stoppen und um Menschen zu schützen. Die Datenerhebung von Personen, bei denen COVID-19 bestätigt wurde oder bei Verdacht auf Infektion wegen eines Kontakts mit einer infizierten Person, zählt auch dazu.
Zur Risikoprävention ist es auch zulässig, dass Unternehmen die private Telefonnummer aller im Unternehmen tätigen Personen (auch von Freelancern oder Leihpersonal) speichern, um diese kurzfristig über eine Infektion verständigen zu können.
Führungskräfte sind grundsätzlich berechtigt, ihre Mitarbeitenden und auch Bewerber zu fragen, ob sie geimpft, genesen oder getestet sind. Die Frage muss wahrheitsgemäß beantwortet werden.
Generell gibt es (noch) keine allgemeine rechtliche Verpflichtung, Angaben über den eigenen Status gegenüber dem Unternehmen machen zu müssen. Das bedeutet in der Praxis, dass das Erheben von Testergebnissen, Impfstatus oder bereits überwundenen COVID-Infektionen nur auf Basis einer freiwilligen Einwilligung des Arbeitnehmenden möglich ist. Ohne Einwilligung also keine Datenverarbeitung!
Ausnahmen finden sich jedoch in jenen Bereichen, wo Maskenpflicht herrscht. Oder eben nicht, wenn der entsprechende 3G-Nachweis erbracht wird: Bei körpernahen Dienstleistern zum Beispiel. In diesem Zusammenhang gibt es eine gesetzliche Grundlage für das Unternehmen, den 3G-Nachweis der Beschäftigten zu erheben; somit wird hier wird keine Einwilligung benötigt.
Ein No-Go ist das Kopieren des Impfpasses, bitte machen Sie das auf keinen Fall! Wie Sie es besser machen: Im Unternehmen tätige Personen sollen zum Beispiel das Impfzertifikat oder den Genesungsnachweis vorzeigen. Dabei wird eine eigene Liste vom Unternehmen geführt, in der der Status vermerkt wird (zum Beispiel ein Excel). Erfasst wird der Name, der Status und wie lange der Status gilt. Auf das Excel dürfen dann nur wenige Personen (zum Beispiel Personen aus der Personalabteilung) zugreifen und es wird zusätzlich mit einem guten Passwort geschützt. So vermeiden Sie unnötiges Papier und weitere datenschutzrechtliche Herausforderungen.
Eine Verwendung der Gesundheitsdaten für andere Zwecke als der Gesundheitsvorsorge, der Eindämmung und der Heilbehandlung ist aber nicht erlaubt! Nach Ende von COVID-19 sind auch alle Daten, die mit dem 3G-Nachweis zu tun haben, zu löschen. Und auch ganz wichtig: Der Status ist ein höchstpersönliches „Gut“: Mitarbeitenden den Status anderer Mitarbeitenden mitzuteilen, ist ebenfalls ein absolutes No-Go.