MeineBerater-Archiv - Seite 7 von 7

„Falscher“ Datenschutzbeauftragter: 50.000 Euro Strafe

Posted 12. Mai 2020 by Birgit von Maurnböck

Von der belgischen Datenschutzbehörde wurde eine Geldstrafe von rund 50.000 Euro gegen ein Unternehmen verhängt. Grund dafür war, dass der zuständige Datenschutzbeauftragte gleichzeitig verantwortlich für Audits, Risikomanagement und Compliance war und somit nicht „neutral“ genug.

Datenschutzbeauftragter im Interessenskonflikt

Die belgische Datenschutzbehörde „Data Protection Authority (DPA)“ hat in der Tatsache, dass der Datenschutzbeauftragte eines Unternehmens zusätzlich als Verantwortlicher für interne Audits sowie für die Bereiche Compliance und Risikomanagement fungierte, einen Interessenskonflikt gesehen.

In der DSGVO sind die Bestimmungen rund um den Datenschutzbeauftragten ziemlich genau geregelt. So wird darin unter anderem definiert, dass dieser anderen Aufgaben und Pflichten nachkommen darf, solange diese zu keinem Interessenkonflikt führen (für all jene, die genau nachlesen möchten: Artikel 38 DSGVO).

Da diese Vorschrift nach Ansicht der DPA verletzt wurde, kam es zu der beachtlich hohen Geldstrafe von 50.000 Euro.

Wer ist also ungeeignet als Datenschutzbeauftragter?

Die Personen im Unternehmen, die Kontrollfunktionen ausüben und/oder Führungskräfte sind (IT-Verantwortliche, Personal-Verantwortliche, Produktentwickler für IT-Produkte). Achtung: Auch Ihr externer IT-Dienstleister ist kein geeigneter Datenschutzbeauftrager!

Unsere Praxistipps

Beachten Sie die Vorschriften und Bestimmungen rund um den Datenschutzbeauftragten und halten Sie sich genau an die Vorgaben, die die DSGVO dazu auferlegt!
Auch gegen ein deutsches Kleinstunternehmen wurde bereits eine DSGVO-Strafe von 10.000 Euro verhängt, da dieses keinen Datenschutzbeauftragten bestellt hatte. Sie sehen also: Die Zeit, in der es bloß bei Verwarnungen blieb, ist eindeutig vorbei!
Damit das Thema zu keinem Interessenskonflikt werden kann: Bestellen Sie einen geeigneten, externen Datenschutzbeauftragten und hören Sie auf die Empfehlungen.
Was passieren kann wenn Sie keinen Datenschutzbeauftragten bestellen, lesen Sie hier.
Wenn Sie weitere Fragen haben, oder einen externen Datenschutzbeauftragten such, kontaktieren Sie uns jederzeit.

Millionenschaden durch Phishing in Österreich

Posted 7. Mai 2020 by Erich von Maurnböck

Was bedeutet Phishing eigentlich?

Immer wieder hört und liest man diesen Begriff, besonders in Zusammenhang mit der Sicherheit im Online-Banking. Bei Phishing handelt es sich um den Daten- und/oder Identitätsdiebstahl eines Internet-Benutzers, der über gefälschte Emails, Webseiten oder andere Wege veranlasst wird.

Bankbezogenes Phishing

In diesem aktuellen Fall wurden gefälschte Emails versendet, der Empfänger hatte beim Erhalt den Eindruck, die Bank schickt der Person diese elektronische Nachricht.

Die so betroffenen Personen gaben dann direkt in das Formular des Emails die Zugangsdaten zum Online-Banking ein. Da es aber natürlich nicht die Bank, sondern Verbrecher waren, erhielten diese Täter auf diesem Weg die Zugangsdaten zu den Bankkonten der betroffenen Personen. Die Emails sahen täuschend echt aus – richtiger Ansprechname und sehr vertrauenswürdig.

Die insgesamt 103 Opfer sind in Österreich wohnhaft. Der Schaden verläuft sich auf rund eine Million Euro!

Unsere Praxistipps

Vorsicht walten lassen bei jedem empfangenen Email! Geben Sie niemals Zugangsdaten (schon gar nicht zum Online Banking) über ein Formular, das mittels Email empfangen wird, ein. Auf eines können Sie sich verlassen: Sind Sie Kunde bei einer seriösen europäischen Bank, so wird sie diese NIEMALS auffordern, Ihre Zugangsdaten zum Online Banking über ein Email einzugeben.
Wenn Sie Unterstützung brauchen oder unsicher sind, kontaktieren Sie uns, wir stehen Ihnen bei diesen Themen zur Seite.

Taxifahrer fotografiert Führerschein und versendet ihn über WhatsApp

Posted 6. Mai 2020 by Erich von Maurnböck

Ein Fahrgast eines österreichischen Taxi-Unternehmens verfügte nicht über genug Bargeld, um die Fahrt zu bezahlen. Daraufhin fertigte der Taxifahrer ohne Einwilligung Fotos von dessen Führerschein sowie Bankomatkarte an und leitete diese über WhatsApp an eine dritte Person weiter.

Durch diese Handlung verletzte der Taxifahrer massiv das Recht auf Geheimhaltung der betroffenen Person. Weder die durchgeführte Datenerhebung, also das Fotografieren, noch das Weiterleiten war rechtmäßig. Der Taxifahrer bzw. das Unternehmen, bei dem er beschäftigt war, konnte sich bei dieser Handlung rechtlich weder auf ein lebenswichtiges Interesse des Betroffenen (= Fahrgast), noch auf eine Einwilligung stützen. Selbst auf den Rechtfertigungsgrund des überwiegenden berechtigten Interesses des Taxiunternehmens konnte man diese Vorgehensweise nicht stützen.

Verwendung von WhatsApp

Erschwerend hinzu kommt noch die Verwendung von WhatsApp, von der wir immer wieder dringend abraten. WhatsApp hat im beruflichen Umfeld nichts verloren, verbannen Sie es daher von firmeneigenen Endgeräten. Verwendet man WhatsApp, werden Daten automatisch in die USA weitergeleitet (mit Facebook geteilt) – und dafür wird kein Kunde freiwillig seine Einwilligung erteilen. Warum Sie noch WhatsApp nicht nutzen sollten, erfahren Sie hier.

Beschwerde bei Datenschutzbehörde

Die bei der Datenschutzbehörde eingebrachte Beschwerde war insofern erfolgreich, als die Behörde eine Verletzung der Geheimhaltung und einen Verstoß gegen den Grundsatz der Datenminimierung feststellte.

Achtung: Undurchdachte Handlungen sämtlicher Mitarbeitenden können schwerwiegende datenschutzrechtliche Folgen mit sich bringen, die ein Unternehmen in eine äußerst missliche Lage versetzen können.

Unsere Praxistipps

Schulen Sie Ihre Mitarbeitenden regelmäßig – mit Praxisbeispielen!
Wenn Sie Fragen haben oder Unterstützung benötigen, kontaktieren Sie uns hier.

Arbeitsmedizinische Untersuchung: Patientenbogen offengelegt

Posted 29. April 2020 by Birgit von Maurnböck

Im Zuge einer arbeitsmedizinischen Untersuchung, die im Auftrag eines österreichischen Unternehmens durchgeführt wurde, kam es zu einer extrem unangenehmen Datenpanne: Der Patientenbogen eines Mitarbeitenden inklusive Angaben zum Gesundheitszustand/Medikation wurde auf dem Schreibtisch des verantwortlichen Mitarbeitenden offengelegt.

Offengelegte Unterlagen

Ein Mitarbeitender des beauftragenden Unternehmens, der an einem der folgenden Tage im selben Institut eine Untersuchung hatte, konnte so Einsicht in die Daten des Kollegen nehmen. Der betroffene Mitarbeitende wurde vom Kollegen darauf aufmerksam gemacht. Dieser hatte den Patientenbogen auf dem Schreibtisch des dafür zuständigen Mitarbeitenden gesehen und konnte sowohl die Medikamente als auch die Wohnanschrift nennen. Im Beschwerdeverfahren konnte nicht mehr festgestellt werden, ob es sich dabei um ein bewusstes oder unbewusstes Vorgehen handelte.

Fakt ist: Der Mitarbeitende wäre dafür verantwortlich gewesen, die vertrauliche Akte vor der Einsicht unbefugter Dritter zu schützen. Die Person (und damit das Unternehmen!) hat somit das Recht auf Geheimhaltung verletzt.

Unsere Praxistipps

Clear Desk – Clear Screen! Achten Sie stets darauf, dass keine vertraulichen Daten auf Arbeitsplätzen, die noch dazu in offen zugänglichen Bereichen stehen, frei zugänglich sind. Sollte eine unberechtigte Person einen Blick darauf erhaschen, könnte das gravierende Folgen haben: Eine meldepflichtige Datenpanne, Verständigung der Betroffenen und im schlimmsten Fall eventuell sogar eine Strafe für das Unternehmen. Das Ziel ist, auf keinen Fall in so eine Situation zu kommen – sensibilisieren Sie daher sich selbst und Ihre Kollegen.
Wenn Sie Fragen oder Unterstützung benötigen, kontaktieren Sie uns.

Posts Tagged ‘MeineBerater’

„Falscher“ Datenschutzbeauftragter: 50.000 Euro Strafe

Datenschutzbeauftragter im Interessenskonflikt

Wer ist also ungeeignet als Datenschutzbeauftragter?

Unsere Praxistipps

Millionenschaden durch Phishing in Österreich

Was bedeutet Phishing eigentlich?

Bankbezogenes Phishing

Unsere Praxistipps

Taxifahrer fotografiert Führerschein und versendet ihn über WhatsApp

Verwendung von WhatsApp

Beschwerde bei Datenschutzbehörde

Unsere Praxistipps

Arbeitsmedizinische Untersuchung: Patientenbogen offengelegt

Offengelegte Unterlagen

Unsere Praxistipps