Die Bußgeld-Situation verschärft sich.
Im Detail erwartet Sie:
- DSGVO-Verstoß: 1&1muss knapp 10 Millionen Euro Strafe zahlen
- DSGVO-Verstoß: Krankenhaus in Rheinland-Pfalz muss 105.00 Euro zahlen
- Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft
- DSGVO-Bußgelder
- EU-Datenschutzbehörde ermittelt gegen EU-Parlament
- US-Firma sammelte Milliarden Fotos für Gesichtsdatenbank
- Quelleninformationen
1. DSGVO-Verstoß: 1&1 muss knapp 10 Millionen Euro Strafe zahlen
„Der Bundesdatenschutzbeauftragte Ulrich Kelber hat gegen die Telekommunikationsfirma 1&1 ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.
Im September hatte der Bundesdatenschutzbeauftragte Ulrich Kelber angekündigt, dass auch deutsche Aufsichtsbehörden nach ersten Warnschüssen bald Sanktionen auf Basis der Datenschutz-Grundverordnung (DSGVO) in Millionenhöhe verhängen würden. Jetzt hat der Kontrolleur selbst durchgegriffen und die 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.
Der Telekommunikationsdienstleister, zu dessen Konzernverbund etwa auch die von dem Fall nicht betroffenen Mail-Anbieter Web.de und GMX gehören, hatte Kelber zufolge „keine hinreichenden technisch-organisatorischen Maßnahmen“ zum Schutz von Kundendaten ergriffen.
Personenbezogene Daten nicht systematisch geschützt
Die Aufsichtsbehörde wirft der Firma vor, dass Unberechtigte an der Telefon-Hotline vergleichsweise einfach „weitreichende Informationen zu weiteren personenbezogenen Kundendaten“ erhalten konnten. Die Angabe von Namen und Geburtsdatum von Betroffenen hätten ausgereicht. In diesem mickrigen Authentifizierungsverfahren sah die Bundesdatenschutzbehörde einen Verstoß gegen Artikel 32 DSGVO, nach dem Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Verarbeitung personenbezogener Daten systematisch zu schützen.
Nachdem die Instanz die ausgemachten Mängel angemahnt hatte, zeigte sich 1&1 Kelber zufolge „einsichtig und äußerst kooperativ. In einem ersten Schritt habe der zu Drillisch gehörende Konzern zunächst den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert.
Strafe im unteren Bereich des möglichen Rahmens
Trotz der raschen Anpassungen hielt Kelber es für geboten, die millionenschwere Geldbuße zu verhängen. Der Verstoß habe ein Risiko für den gesamten Kundenbestand dargestellt, begründet der Experte den Schritt. Die Höhe der Strafe bewege sich aufgrund des kooperativen Verhaltens von 1&1 im unteren Bereich des möglichen Bußgeldrahmens.
Die 1&1 Telecom GmbH hat mittlerweile ebenfalls angekündigt, gegen den „absolut unverhältnismäßigen“ Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt, bei dem es „um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners“ gegangen sei. Die zuständige Mitarbeiterin habe dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien erfüllt.
In den nächsten Tagen werde man als eines der ersten Unternehmen der Branche jedem Kunden eine persönliche Service-PIN bereitstellen.“
Quelle: Krempel 12/2019, heise.de
2. DSGVO-Verstoß: Krankenhaus in Rheinland-Pfalz muss 105.00 Euro zahlen
„Der rheinland-pfälzische Datenschutzbeauftragte will die Geldbuße auch als Signal verstanden wissen, im Gesundheitswesen besonders wachsam zu sein.
Ein Krankenhaus in Rheinland-Pfalz hat eine wegen mehrerer Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) verhängte Geldbuße in Höhe von 105.000 Euro akzeptiert. Das erklärte der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann. Die Datenschutzverletzungen seien nach einer „Patientenverwechslung bei der Aufnahme“ offenbar geworden. Daraufhin habe das Krankenhaus auch eine falsche Rechnung ausgestellt, was „strukturelle technische und organisatorische Defizite beim Patientenmanagement“ offenbart habe.
Kugelmann begrüßte zugleich die Bemühungen des Krankenhauses, sein Datenschutzmanagement fortzuentwickeln und zu verbessern.
Er wolle mit der Geldbuße auch ein Signal senden, „dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen“.“
Quelle: Krempel 12/2019, heise.de
3. Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft
„Am 30.Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.
Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits-und Ausbildungsverträgen, Steuer-, Sozial-und Krankenversicherungsdaten sowie Kontoauszüge.
Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen. Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt.“
Quelle: Kues 11/2019, datenschutz-berlin.de
4. DSGVO-Bußgelder
Die Bußgelder in Millionenhöhe in den letzten Monaten haben gezeigt, dass sich die Landesbehörden für den Datenschutz nicht davor scheuen, ihre Möglichkeiten für hohe Bußgelder auch zu nutzen – medienwirksame Berichterstattung inklusive. Interessanter sind indes die zugrunde liegenden Mängel: unzulässige Speicherung, fehlende Identifikation von betroffenen Personen, unzureichende technische Maßnahmen oder Unachtsamkeit mit personenbezogenen Daten. Mängel, die in jedem Unternehmen so oder in ähnlicher Form vorkommen können. Die hohen Bußgelder haben aber vor allem auch den einen Zweck, ihre abschreckende Wirkung zu entfalten und deutlich zu machen, dass die DSGVO mehr ist, als eine Handlungsempfehlung. So besteht Grund zur Hoffnung, dass die Bußgelder auch an anderer Stelle ihre Wirkung entfalten und dabei helfen, den Datenschutz insgesamt zu verbessern – auch, wenn die Medien nicht mehr berichten.
Hier eine Auswahl-Liste der Bußgelder in Deutschland, um zu zeigen, wie aktiv die Datenschutzbehörden sind:
2019
Deutsche Wohnen SE, Berlin: 14,5 Mio. Euro wegen unzulässiger Speicherung von Mieterdaten
- 1&1 Telekom: 9,5 Mio. Euro wegen fehlender technischer und organisatorischer Maßnahmen zur eindeutigen Identifizierung betroffener Personen im Telefonsupport – vertrauliche Daten könnten an falsche Personen gegeben werden
- Delivery HERO SE, Berlin: 195.000 Euro wegen unerwünschte Werbemails, unterlassene Löschung inaktiver Accounts, verschleppte Auskunftsverfahren
- Universitätsmedizin Uni Mainz: 105.000 Euro wegen unzureichendem Schutz von Gesundheitsdaten
- Spedition in Hamburg: 5.000 Euro wegen eines fehlenden AV-Vertrages
- Privatperson in Thüringen: 2.000 Euro wegen offener Mailverteiler (wiederholt)
2018
- Knuddels GmbH, Baden-Württemberg: 20.000 Euro wegen unverschlüsselter Kundenpasswörter
5. EU-Datenschutzbehörde ermittelt gegen EU-Parlament
„Das EU-Parlament hat mit einem US-amerikanischen Kampagnen-Unternehmen zusammengearbeitet. Nun ermittelt der EU-Datenschutzbeauftragte.
Es ist das erste Mal, dass der europäische Datenschutzbeauftrage (EDSB) eine andere EU-Institution im Visier hat: Wojciech Wiewiórowski, in dieser Woche neu gewählter EDSB, und seine Kollegen ermitteln bereits seit Februar 2019 wegen des Einsatzes einer Wahlkampf-Plattform gegen das EU-Parlament. Dabei geht es um die Frage, ob die Zusammenarbeit des EU-Parlament mit dem Anbieter Nationbuilder im Einklang mit den EU-Gesetzen steht.
Zu der Kampagne des EU-Parlaments bei den Wahlen 2019 gehörte die Webseite „thistimeimvoting.eu“. Der dafür verantwortliche Dienstleister Nationbuilder soll darüber Daten von mehr als 329.000 Menschen gesammelt und auch ausgewertet haben. Das US-Unternehmen entwickelt Strategien für politische Akteure, erstellt Netzwerke über verschiedene Kanäle und nutzt die Datenanalyse, um gezielt Menschen, etwa per Newsletter, anzusprechen. Das nutzten auch die Macher der Kampagnen von Donald Trump, Emmanuel Macron und beide Seiten des Brexit-Votings.
EDSB rügt und warnt das EU-Parlament
„Strenge Datenschutzregeln sind essentiell wichtig für die Demokratie, besonders im digitalen Zeitalter. Durch einen verantwortungsvollen Umgang mit persönlichen Daten und Respekt vor den Persönlichkeitsrechten helfen sie dem Vertrauen in unsere Institutionen und den demokratischen Prozess“, sagt Wojciech Wiewiórowski in einer veröffentlichten Pressemitteilung.
Gerügt wird das Parlament auch, da auf der betroffenen Webseite bis zu einem vorgegebenen Stichtag keine gesetzeskonforme Datenschutzerklärung zu finden war. Daten sollten zudem bis 2024 aufbewahrt werden.
In der Mitteilung betont der Datenschutzbeauftragte, dass die Behörde sich nicht auf reine Ermahnungen beschränken werde. Die Ermittlungen sollen bis Ende des Jahres abgeschlossen sein.
„Der EDSB erwartet von allen EU-Institutionen, Behörden und Organisationen vorbildhaft voranzugehen und sicherzustellen, dass die Daten der Bürger ausreichend geschützt werden.“ Hierzu sei eine starke Kooperation und ein gutes Miteinander der Datenschützer und EU-Institutionen nötig.““
Quelle: Weiß 11/2019, heise.de
6. US-Firma sammelte Milliarden Fotos für Gesichtsdatenbank
„Mit Milliarden Fotos aus sozialen Netzwerken erstellt Clearview eine Datenbank zur Gesichtserkennung. Seine Dienste bietet das Unternehmen US-Behörden an.
Eine obskure US-Firma hat laut einem Bericht der New York Times rund drei Milliarden Bilder von Menschen aus dem Internet zusammengestellt, um eine umfassende Datenbank zur Gesichtserkennung zu entwickeln. Im vergangenen Jahr sei der Zugang dazu mehr als 600 Behörden als Service angeboten worden, schrieb die Zeitung am Wochenende unter Berufung auf das Unternehmen namens Clearview. Angaben dazu, welche Behörden das waren, macht Clearview nicht.
Für die Datenbank seien öffentlich zugängliche Bilder bei Plattformen wie Facebook und YouTube oder dem US-Bezahlservice Venmo eingesaugt worden, hieß es. Eine Sammlung in dieser Dimension würde bisher bekanntgewordene Datenbanken zur Gesichtserkennung übertreffen.
Die Firma Clearview
Die zuvor praktisch unbekannte Firma Clearview trat erst durch die Recherchen der New York Times an die Öffentlichkeit. Ein früherer Geldgeber war US-Milliardär Peter Thiel.
Sein Sprecher sagte der Zeitung, Thiel habe Clearview im Jahr 2017 mit 200.000 Dollar unterstützt und dafür einen Anteil bekommen. Er sei ansonsten nicht beteiligt.
Gründer von Clearview ist der 31 Jahre alte Hoan Ton-That, der aus Australien in die USA kam.
Alarmierende Details
Der Bericht enthielt noch ein weiteres alarmierendes Detail. Nachdem einige Polizisten auf Bitten der Journalistin ihr Foto durch die Datenbank durchlaufen ließen, seien sie von Clearview-Vertretern mit der Frage angerufen worden, ob sie mit der Presse sprächen. Der Firma zufolge hat die Software nur Alarm wegen ungewöhnlicher Suchanfragen geschlagen. Außerdem räumte Ton-That auf Anfrage der Zeitung ein, dass Clearview auch den Prototyp einer Computerbrille mit Gesichtserkennungsfunktion entwickelt habe – es gebe aber keine Pläne, diese zu vermarkten.
Der Bericht löste schon am Wochenende erste politische Reaktionen aus. US-Senator Ron Wyden, Mitglieder der Demokratischen Partei, zeigte sich besorgt und forderte, Amerikaner müssten wissen, ob ihre Fotos heimlich in einer privaten Datenbank landen.“
Quelle: 01/2020, heise.de
7. Onlinequellen
DSGVO-Verstoß: 1&1muss knapp 10 Millionen Euro Strafe zahlen
https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-1-1-muss-knapp-10-Millionen-Euro-Strafe-zahlen-4608676.html?fbclid=IwAR1de-SOvI_ksGc-BKL9KulJam3tE30T5-0qDGxbjli7zCAxvqVCpk1D5xc
DSGVO-Verstoß: Krankenhaus in Rheinland-Pfalz muss 105.00 Euro zahlen
https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Rheinland-Pfalz-muss-105-000-Euro-zahlen-4604348.html
Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobilien-gesellschaft
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf
EU-Datenschutzbehörde ermittelt gegen EU-Parlament
https://www.heise.de/newsticker/meldung/thistimeimvoting-EU-Datenschutzbehoerde-ermittelt-gegen-EU-Parlament-4599461.html
US-Firma sammelte Milliarden Fotos für Gesichtsdatenbank
https://www.heise.de/newsticker/meldung/Bericht-US-Firma-sammelte-Milliarden-Fotos-fuer-Gesichtsdatenbank-4641569.html
Gerne stehe ich Ihnen telefonisch oder in einem persönlichen Gespräch zur Verfügung.
Ihr Datenschutzbeauftragter
Jörg Stockmann
Aurich und Gelsenkirchen, Februar 2020