MeineBerater

25.000-Euro-Strafe wegen fehlendem Datenschutzbeauftragten

Posted 24. Juni 2020 by Birgit von Maurnböck

Gegen das spanische Unternehmen „Glovo“ wurde von der zuständigen Datenschutzbehörde eine DSGVO-Strafe über 25.000,- € verhängt. Dieses hatte trotz umfangreicher Datenverarbeitungen keinen Datenschutzbeauftragten bestellt.

Bei „Glovo“ handelt es sich um einen Zustelldienst, der Kuriere für verschiedene Lieferdienste, vorwiegend Essenszustellung, bereitstellt. Zu den bekanntesten Ketten, die den Dienst beauftragt haben, zählen unter anderem McDonald´s, KFC, Pizza Hut und Starbucks.

Ermittlungen wegen fehlenden Datenschutzbeauftragten

Auf die Beschwerde zweier Betroffener hin, leitete die spanische Datenschutzbehörde Ermittlungen ein, bei denen festgestellt wurde, dass das Unternehmen trotz der zahlreichen und umfangreichen Verarbeitungen von Daten keinen Datenschutzbeauftragten bestellt hatte, wie es die DSGVO vorschreibt. Außerdem verstieß das Unternehmen zusätzlich gegen das nationale spanische Datenschutzgesetz, indem die Datenschutzbehörde nicht innerhalb der festgelegten zehntägigen Frist über die Änderungen bezüglich des Datenschutzbeauftragten informiert wurde.

Aus diesem Grund wurde eine DSGVO-Strafe von stolzen 25.000,- € gegen den Zustelldienst verhängt.

Nichtbestellung eines Datenschutzbeauftragten

Für die Nichtbestellung eines Datenschutzbeauftragten sieht die DSGVO Geldbußen von bis zu 10.000.000 Euro oder 2% des Jahresumsatzes des gesamten Konzerns vor – je nachdem, welcher Betrag höher ist. Nach dem Kohärenzprinzip stehen die unterschiedlichen nationalen Datenschutzbehörden in ständigem Austausch. Das bedeutet auch, dass bei ähnlich gelagerterten Fällen europaweit ähnlich hohe Strafen verhängt werden. Demnach kann beispielsweise davon ausgegangen werden, dass ein österreichisches Unternehmen in derselben Größe bei fehlendem Datenschutzbeauftragten mit einer ähnlich hohen Strafe zu rechnen hat.

Zum Vergleich: Glovo hat derzeit 1500 Angestellte. Der Jahresumsatz betrug im Jahr 2018 in etwa 90 Millionen Euro.

Unser Praxistipp

Evaluieren Sie genau, ob Sie in Ihrem Unternehmen einen Datenschutzbeauftragten brauchen. In den letzten beiden Jahren hat sich außerdem gezeigt, dass auch die freiwillige Bestellung eines solchen einen Wettbewerbsvorteil bringen kann.
Was passieren kann wenn Sie einen falschen Datenschutzbeauftragten bestellen, lesen Sie hier.
Bei Unklarheiten oder Fragen können Sie uns sehr gerne kontaktieren.

5.000 Euro Schadenersatz für verspätete Auskunft

Posted 17. Juni 2020 by Birgit von Maurnböck

Das Arbeitsgericht Düsseldorf hat einer betroffenen Person in erster Instanz einen Schadenersatz von 5.000,- € zugesprochen. Grund dafür ist, dass die erfragte Auskunft vom ehemaligen Arbeitgebenden weder fristgerecht noch vollständig erteilt wurde.

Schadenersatz für ehemaligen Mitarbeitenden

Die betroffene Person verlangte bereits im Sommer 2018 Auskunft über die Verarbeitung der persönlichen Daten beim ehemaligen Arbeitgeber. Somit machte die Person von ihrem Recht Gebrauch, das durch die DSGVO (und auch lokale Datenschutzgesetze) jeder betroffenen Person zusteht – dem Recht auf Auskunft.

Monate später – fernab von der in der DSGVO festgelegten Monatsfrist – erhielt die Person eine Auskunft, die jedoch die Fragestellung keineswegs beantwortete. Aus diesem Grund reichte der ehemalige Mitarbeitende Klage wegen Nichterteilung der Auskunft ein. Und verlangte 140.000,- € als Wiedergutmachung für den erlittenen Schaden!

Schadenersatz freigegeben

Das Arbeitsgericht Düsseldorf gab dieser Klage nun teilweise statt. Das Vorgehen des ehemaligen Arbeitgebenden stellt eine Verletzung des Auskunftsrechts dar und behindert somit eine Ausübung der Rechte im Sinne der DSGVO. Diese Beeinträchtigung ist als immaterieller Schaden anzusehen. Das Gericht spracht in erster Instanz „nur“ 5.000,- € als Schadenersatz zu.

Unser Praxistipp

Beantworten Sie Auskunftsbegehren immer sorgfältig und fristgerecht. Sie haben dafür nur einen Monat Zeit, das ist wirklich kein langer Zeitraum!
Erarbeiten Sie intern ein Konzept oder Leitfaden, in dem genau festgelegt ist, wer für die Beantwortung zuständig ist. Sie können dazu auch eine „Muster-Auskunft“ vorbereiten.
Weitere Informationen zum Auskunftsbegehren erhalten Sie in diesem Beitrag.
Kontaktieren Sie uns bei weiteren Fragen.

Der Auftragsverarbeiter: Vertrag & Kontrolle

Posted 17. Juni 2020 by Birgit von Maurnböck

Es ist gesetzlich vorgeschrieben, dass man mit jedem Auftragsverarbeiter (AV) einen schriftlichen Vertrag über die Datenverarbeitung abschließen muss.

Die verantwortliche Person muss den Vertrag entweder beim AV anfordern, oder selbst eine Vorlage übermitteln.
Bitte beachten Sie unbedingt: Als verantwortliche Person sind Sie im wahrsten Sinne des Wortes „verantwortlich“! Eben auch für den Abschluss dieses Vertrages.

Bestandteile einer Auftragsverarbeiter-Vertrags (AVV)

Die Leistung des AV: Welche Tätigkeiten sind für den Verantwortlichen zu erbringen?
Datenkategorien
Der Kreis der Betroffenen
Die Zusammenarbeit bei der Erfüllung von Betroffenenrechten
Haftungsthemen
Der Einsatz von Subauftragnehmern (namentlich) und diesbezügliche Kontrollrechte
Die Beschreibung der technischen und organisatorischen Maßnahmen (TOMs)

Wieviel Sie ein fehlender AVV kosten kann, können Sie in diesem Beitrag nachlesen.

Welche Möglichkeiten zur Kontrolle Ihrer Auftragsverarbeiter bestehen?

Überprüfen Sie regelmäßig die TOMs Ihres AV: Allgemeine Maßnahmen sind ungültig, konkrete Maßnahmen müssen beschrieben werden!
Nehmen Sie einmal jährlich Einsicht in das Verarbeitungsverzeichnis.
Lassen Sie bei den AV, die viele Ihrer Daten verarbeiten regelmäßig Audits durchführen.
Lassen Sie sich nachweisen, dass der AV auf die Einhaltung des Datenschutzes verpflichtet und geschult wurden!

Unsere Praxistipps

Wer der Auftragsverarbeiter ist und wieso er als solcher bezeichnet wird, können Sie hier nachlesen.
Vergessen Sie nicht: Sie sind dafür verantwortlich und Ihr betrieblicher Datenschutz ist immer höchstens so gut umgesetzt, wie der jedes einzelnen AV.
Wenn Sie unterstützung brauchen, kontaktieren Sie und jederzeit.

DSGVO-Strafe: Fehlender Auftragsverarbeiter-Vertrag

Posted 10. Juni 2020 by Birgit von Maurnböck

Gegen das deutsche Versandunternehmen Kolibri Image wurde eine DSGVO-Strafe über 5000,- € verhängt. Der Grund dafür war, dass kein Auftragsverarbeiter-Vertrag mit einem von ihm beauftragten Dienstleister abgeschlossen wurde.

Auftragsverarbeiter-Vertrag für jeden Dienstleister

Dieser Dienstleister verarbeitete im Auftrag des verantwortlichen Kleinstunternehmens Kundendaten, ein Auftragsverarbeiter-Vertrag, der gemäß DSGVO verpflichtend ist, war jedoch nicht vorhanden.

Das Fehlen eines solches Vertrages rechtfertigte Kolibri Image damit, dass die internen Prozesse des Dienstleisters nicht bekannt waren. Außerdem wäre die Übersetzung für den spanischen Anbieter zu teuer gewesen. Diese Rechtfertigung wurde von der zuständigen Datenschutzbehörde jedoch nicht akzeptiert. Schließlich liegt die Verantwortung zum Vertragsabschluss sowie zur Kontrolle des Dienstleisters IMMER beim auftraggebenden Unternehmen.

Strafverschärfend kam außerdem hinzu, dass die Geschäftsbeziehung weiterhin ohne Vertrag aufrecht erhalten wurde.

Mehr Informationen finden Sie in diesem Beiträge. Hier widmen wir uns voll und ganz dem Thema Auftragskontrolle und den dazugehörigen Maßnahmen, wie unter anderem der Verpflichtung zur Abschließung eines Auftragsverarbeiter-Vertags.

Unsere Praxistipps

Überprüfen Sie Ihre Auftragsverarbeiter sorgfältig und regelmäßig.
Schließen Sie unbedingt mit jedem Auftragsverarbeiter einen Vertrag ab.
Prüfen Sie auch regelmäßig die TOMs Ihres Auftragsverarbeiters.
Bei weiteren Fraegn kontaktieren Sie uns, wir unterstützen Sie gerne.

Bühnenliebe – Unterstützung heimischer Kulturbetriebe

Posted 10. Juni 2020 by Birgit von Maurnböck

Das Jahr 2020 war für viele Branchen sehr herausfordernd. Besonders auch für den Kunst- und Kultursektor, der seinen Betrieb weitgehend einstellen musste und speziell in der aktuellen Situation nicht aufnehmen kann. In diesem Beitrag erfahren Sie, wie Sie Kulturbetriebe Ihrer Wahl unterstützen können.

Erst wenn alle Maßnahmen zur Verhinderung der Verbreitung von COVID-19 komplett ausgesetzt werden, können Kulturbetriebe den gewohnten Betrieb wieder durchführen.

Bühnenliebe Gutschein

Die Kultur-Initiative bühnenliebe.at, die es bereits seit dem Frühjahr 2020 gibt, hat das Ziel Besucher und Kulturbetriebe auch in dieser Krisenzeit zu verbinden, was mittels eines Gutscheinkaufs ermöglicht wird. Gutscheine werden bei unseren geliebten Kulturbetrieben jetzt gekauft und später eingelöst und somit ermöglicht die Plattform Vorfreude auf kulturelle Ereignisse von morgen.

Weder für Kulturbetriebe noch für Gutscheinkäufer fallen auf der Plattform Gebühren an. Der Erlös des Gutscheins kommt den Kulturbetrieben direkt, sofort und zur Gänze zugute, „denn vom kleinen Puppentheater bis zum großen Bühnenhaus, vom kleinen Festspiel bis zum großen Festival brauchen alle JETZT Hilfe“, sind die Initiatoren überzeugt. Die Zahlung läuft nicht über bühnenliebe.at, sondern direkt über den Kulturbetrieb.

Unterstützung für Bühnenliebe

bühnenliebe.at wird als Kulturinitiative auch von uns unterstützt. Die Initiative wächst weiter und einigen Kulturbetrieben konnte mit dem Kauf von Gutscheinen bereits finanziell geholfen werden. Viele Medien wie auch der ORF haben im Mai bereits über bühnenliebe.at mehrmals berichtet und auch Opernstar Daniela Fally unterstützt die Kulturinitiative. Zu den Kooperationspartner von bühnenliebe.at zählen bereits die ORF Plattform myfidelio.at, Universal Music, mica-music austria, Habegger Austria, das Wiener KammerOrchester, Gharieni, MeineBerater, und viele mehr.

Auch auf Facebook ist bühnenliebe.at prominent vertreten: https://www.facebook.com/buehnenliebe/.

Bitte empfehlen Sie diese Kultur-Initiative an Ihr Netzwerk weiter, damit die Plattform in ganz Österreich noch bekannter wird und sofortige Unterstützung für unsere geliebten Kulturbetriebe weiterhin erfolgen kann.

Soziale Distanzierung Heute. Kultur verbindet Morgen.

Die Initiative bühnenliebe.at

15.000 Euro DSGVO-Strafe für rumänisches Hotel

Posted 4. Juni 2020 by Birgit von Maurnböck

In einem rumänischen Hotel wurde eine Liste mit 46 Frühstücksgästen von unbefugten Personen abfotografiert und anschließend im Internet veröffentlicht. Das Hotel selbst meldete die Datenpanne vorschriftsmäßig an die Datenschutzbehörde.

Dieser Fall „kann“ jedem Veranstalter, jedem Hotel/Restaurant, jedem Fortbildungsinstitut passieren.

Strafe wegen Datenschutzverletzung

Die Datenschutzbehörde verhängte eine Geldstrafe von 15.000,- € aufgrund der Datenschutzverletzung. Die Begründung war, dass der Hotelbetreiber nicht ausreichend sichergestellt hatte, dass jene Mitarbeitenden, die Zugang zu personenbezogenen Daten haben, diese ausschließlich rechtmäßig verarbeiten. Die Aufsichtsbehörde sah demnach einen erheblichen Mangel in den technischen und organisatorischen Maßnahmen (TOMs) des Hotels.

Unser Praxistipp

Informieren Sie sich ausführich über die TOMs: Die TOMs – Maßnahmen zum Datenschutz und Die TOMs 2.0 – Praxistipps
Überprüfen Sie genau, welche Schutzmaßnahmen Sie im Datenschutz umgesetzt haben: Sind diese ausreichend und auf dem neuesten Stand? Gibt es nicht noch weitere sinnvolle Möglichkeiten, die Sie in Ihrem Unternehmen umsetzen könnten? Arbeiten Sie stets auf der datenschutzsicheren Seite? Sind Ihre Mitarbeiter entsprechend instruiert?
Kontaktieren Sie uns für einen Beratungstermin bezüglich Ihrer TOMs und deren korrekter betrieblicher Umsetzung. Wir freuen uns auf Ihre Anfragen.

DSGVO-Strafe: „Oma, bitte Fotos löschen!“

Posted 27. Mai 2020 by Birgit von Maurnböck

In Holland stellte eine Großmutter Fotos ihrer Enkelkinder auf Facebook und Pinterest und weigerte sich, diese auf Aufforderung der Mutter wieder aus dem Netz zu entfernen. Diese zeigte sie daraufhin mit Verweis auf die DSGVO an.

Strafe wegen Fotos auf Social Media

Die Großmutter hatte ein Foto ihres Enkels auf Facebook und ein weiteres der anderen beiden Enkelkinder auf Pinterest veröffentlicht. Ihre Tochter forderte sie daraufhin mehrmals auf, die Fotos der Kinder aus dem Internet zu löschen – ihre Mutter kam der Aufforderung jedoch nicht nach. Daraufhin brachte die dreifache Mutter den Fall vor Gericht und forderte dort mit Bezug auf die DSGVO die sofortige Löschung der veröffentlichten Fotos der fünf- bis vierzehnjährigen Kinder. Das Gericht gab ihr Recht und verhängte gegen die Großmutter eine Geldstrafe von 50,- € (bis hin zu einer Höchstestrafe von 1.000,- €) für jeden weiteren Tag, an dem sie die Fotos nicht löschte. Die Entscheidung wurde damit begründet, dass es sich um einen Verstoß gegen die DSGVO handle. Das Sorgerecht lag nicht bei der Oma und es handle sich dabei um keine private Aktivität, die Fotos auf Social-Media-Plattformen zu veröffentlichen und somit unter Umständen auch über Suchmaschinen wie Google auffindbar zu machen. Achtung: Das Posten von Fotos anderer Personen im Internet ist aus zweierlei Gründen heikel: Erstens wird dadurch das „Recht am eigenen Bild“ eventuell verletzt. Zweitens kann es sich um einen Datenschutzverstoß handeln, wenn man keine Einwilligung dazu hat. Besonders interessant in diesem Fall aus Holland ist noch: Die DSGVO kommt im privaten Bereich eigentlich gar nicht zur Anwendung. Trotzdem hat sich das Gericht darauf bezogen. Eine Verletzung des Rechts am eigenen Bild (ein weiteres Menschenrecht) stellt der Vorgang aber in jedem Fall dar.

Fotos der Mitarbeitenden

Sollten Sie beispielsweise Fotos Ihrer Mitarbeitenden auf Ihrer Website oder in Social-Media-Kanälen posten, müssen diese das vor dem Posting erlauben. Für solche Muster-Einwilligungen können Sie uns gerne kontaktieren.

Unsere Praxistipps

Seien Sie auch privat äußerst vorsichtig beim Posten.
Stellen Sie keine Kinderfotos ins Netz. Diese sind schließlich (noch) nicht in der Lage, in eine Veröffentlichung einzuwilligen oder zu widersprechen.
Was Mitarbeitende und Kollegen betrifft: Unbedingt eine Einwilligung einholen!
Wenn Sie weitere Fragen haben, kontaktieren Sie uns.

11.000 Euro DSGVO-Strafe in Schweden

Posted 27. Mai 2020 by Birgit von Maurnböck

Aufgrund einer Veröffentlichung von sensiblen Gesundheitsdaten verhängte die schwedische Aufsichtsbehörde „Datainspektionen“ eine DSGVO-Strafe in der Höhe von 11.000,- € gegen die Gesundheitsbehörde „Health & Medical Care“.

Strafe wegen Offenlegung von Gesundheitsdaten

Die Daten wurden im Internet veröffentlicht und somit über die Website Unbefugten zugänglich gemacht. Bei der betroffenen Person handelte es sich um einen Patienten, der in eine forensisch-psychiatrische Klinik eingewiesen wurden. Offengelegt wurden Identifikationsinformationen, wie unter anderem die persönliche Identifikationsnummer, Kontaktdaten, Informationen zum forensisch-psychiatrischen Gesundheitszustand sowie zu einer Urinprobe des Betroffenen!

Für die Veröffentlichung dieser besonders schutzbedürftigen Gesundheitsdaten gab es weder eine Rechtsgrundlage noch einen anderen Grund, menschliches Versagen führte zu der unbeabsichtigten Offenlegung.

Die Datenschutzbehörde kam zu dem Schluss, dass das Unternehmen keine ausreichenden technischen und organisatorischen Maßnahmen (TOMs) getroffen hatte, die eine versehentliche Veröffentlichung verhindert hätten. Zudem wurden Anweisungen bezüglich einer rechtmäßigen Vorgehensweise beim Veröffentlichen auf der Website nur mündlich, jedoch nicht schriftlich erteilt.

Die verantwortliche Gesundheitsbehörde wurde angewiesen, schriftliche Konzepte zur Veröffentlichung auf der Website zu erstellen und sicherzustellen, dass Informationen künftig nur unter Einhaltung dieser Maßnahmen veröffentlicht werden. Zudem wurde sie zur Begleichung einer Geldstrafe von 120.000 Schwedischen Kronen – umgerechnet 11.000,- € verurteilt.

Unsere Praxistipps

Überprüfen Sie Ihre TOMs regelmäßig sehr genau, denn sie sind das Grundgerüst Ihrer datenschutzkonformen Arbeit: Ist diese nicht datenschutzkonform, droht auch eine persönliche Haftung für die Geschäftsführung! Ersellen Sie Leitfäden und Konzepte und fassen Sie diese schriftlich für Ihre Mitarbeitenden zusammen.
Schulen Sie Ihre Mitarbeitenden regelmäßig, denn eines darf nicht vergessen werden: Ein Unternehmen ist nur so datenschutzsicher, wie jeder einzelne Mitarbeitende. Und jede einzelne Führungskraft.
Kontaktieren Sie und bei weiteren Frage.

CC im Newsletter verletzt DSGVO

Posted 20. Mai 2020 by Erich von Maurnböck

Achtung: Wer Newsletter versendet, muss einige Dinge unbedingt beachten. Unter anderem, dass im offenen Verteiler (CC) keine Email Adressen anderer Empfänger sichtbar sind. Sollte dies der Fall sein, handelt es sich bereits um eine Datenpanne.

Newsletter und das Recht auf Geheimhaltung

Bereits vor einem Jahr war der Datenschutzbehörde ein Fall gemeldet worden, in dem für mehr als 400 Empfänger eines Newsletters sämtliche Email Adressen der anderen Abonennten in der CC-Zeile offengelegt wurden. Dadurch wurde das Recht auf Geheimhaltung verletzt, das gemäß DSGVO jede Person von einer Datenverarbeitung zukommt – ein sogenanntes Betroffenenrecht. Dazu zählen unter anderen das Recht auf Information, auf Auskunft, auf Berichtigung oder Löschung und eben das Recht auf Geheimhaltung. Letzteres wurde in diesem Fall verletzt, da personenbezogene Daten – die Email Adresse – offengelegt und Unberechtigten somit zugänglich gemacht wurden.

Versenden von Newslettern und mögliche Konsequenzen

Nicht nur ein Newsletter auch ein Email, das an die falsche Person geschickt wird, kann negative Konsequenzen mit sich bringen. Dank modernster Funktionen in den Email Programmen geht das Verursachen einer Datenpanne in diesem Zusammenhang sehr schnell! Denken Sie daran, dass beim Auswählen eines Empfängers immer Vorschläge eingeblendet werden. Mit einem unabsichtlichen Klick kann es so sehr einfach passieren, dass eine Person hinzugefügt wird, für den die Inhalte keineswegs bestimmt sind.

Dieser Fehler kann schon eine Datenpanne auslösen, die für Betroffene enorme Nachteile und für Sie eine hohe Strafe, einen Reputationsschaden oder Schadenersatzforderungen mit sich bringen kann. So ein Versehen ist auch als Datenpanne der Behörde zu melden – binnen 72 Stunden!

Unsere Praxistipps

Kontollieren Sie bei jedem Email, das Sie versenden – ganz egal ob Newsletter oder einfaches Mail – sorgfältig die CC-Zeile und die Empfänger. Lieber einmal zu oft kontrolliert, als einmal zu wenig!
Sensibilisieren Sie auch regelmäßig Ihre Kollegen und Mitarbeitenden zu diesem Thema. Weitergabekontrolle ist ein wichtiger Bestandteil des technischen und organisatorischen Datenschutzes!
Kontaktieren Sie uns wenn Sie Unterstützung und weitere Tipps benötigen.

Posts Tagged ‘MeineBerater’

Ermittlungen wegen fehlenden Datenschutzbeauftragten

Nichtbestellung eines Datenschutzbeauftragten

Unser Praxistipp

Schadenersatz für ehemaligen Mitarbeitenden

Schadenersatz freigegeben

Unser Praxistipp

Bestandteile einer Auftragsverarbeiter-Vertrags (AVV)

Welche Möglichkeiten zur Kontrolle Ihrer Auftragsverarbeiter bestehen?

Unsere Praxistipps

Auftragsverarbeiter-Vertrag für jeden Dienstleister

Unsere Praxistipps

Bühnenliebe Gutschein

Unterstützung für Bühnenliebe

Strafe wegen Datenschutzverletzung

Unser Praxistipp

Strafe wegen Fotos auf Social Media

Fotos der Mitarbeitenden

Unsere Praxistipps

Strafe wegen Offenlegung von Gesundheitsdaten

Unsere Praxistipps

Newsletter und das Recht auf Geheimhaltung

Versenden von Newslettern und mögliche Konsequenzen

Unsere Praxistipps