Herold 03/2019

Aus Denkanstoß wird Herold

Wir haben uns entschieden, den Begriff Denkanstoß für unseren Newsletter zu verändern. Im Mittelalter war ein Herold der offizieller Bote eines Lehnsherrn; also eine gute Assoziation zu unseren Nachrichten aus dem Avallon-Datenschutz für unsere Mandanten.

Gerne möchten wir an dieser Stelle auch auf unseren neuen Blog auf der Avallon-Homepage hinweisen. Dort finden Sie in loser Folge anlassbezogen Informationen zu unterschiedlichen Themen. Auch alle Newsletter können Sie dort nachlesen. Wir freuen uns über Ihr Feedback.

In unserer aktuellen Ausgabe erfahren Sie Neuigkeiten zu den folgenden Themen:

  1. DSGVO: Deutsche Datenschützer einigen sich auf Bußgelder
  2. Berliner Datenschutzbehörde verhängt bisher höchstes DSGVO-Bußgeld gegen Lieferdienst
  3. DSGVO: British Airways soll Rekordstrafe wegen Sicherheitsmängeln zahlen
  4. 18 Millionen Euro: Österreichische Post soll hohe Datenschutzstrafe zahlen
  5. Die Bitte um Einwilligung souverän meistern…
  6. Phishing Mails
  7. Quelleninformationen

1. DSGVO: Deutsche Datenschützer einigen sich auf Bußgelder

„Die Datenschutz-Aufsichtsbehörden kommen bei der einheitlichen Umsetzung der DSGVO langsam in die Gänge.

Die Datenschutzbehörden von Bund und Ländern haben sich auf ein gemeinsames Konzept für die Bußgeldzumessung bei DSGVO-Verstößen verständigt. Es dient als Grundlage, um die Höhe der Bußgelder „nachvollziehbar, transparent und einzelfallgerecht“ festzulegen. Demnach wird die Bußgeldhöhe anhand verschiedener Kriterien bestimmt.

Individuelle Bemessung

Zunächst ermitteln die Behörden die Größe des betroffenen Unternehmens. Danach werde der mittlere Jahresumsatz von Unternehmen vergleichbarer Größe sowie ein wirtschaftlicher Grundwert errechnet. Dieser wird dann mit einem Faktor multipliziert, der sich an der Schwere des Verstoßes orientiert. Der so ermittelte Wert kann dann noch angepasst werden, um besondere Umstände zu berücksichtigen – etwa eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit.

Hintergrund ist, dass die Aufsichtsbehörden im Europäischen Datenschutzausschuss zu einer europaweit einheitlichen Bußgeld-Regelung kommen wollen. Bisher entschied jede Aufsichtsbehörde unabhängig über die Höhe der Bußgelder.

Ausnahmen für Datenverarbeitungen

Die Liste umfasst zwölf Datenverarbeitungsvorgänge, für die eine Folgenabschätzung nicht notwendig ist. Dazu gehören beispielsweise Gehaltsabrechnungen und Arbeitszeiterfassungen, Zahlungsbelege erstellen, Mitgliedsbeiträge verwalten, aber auch die Verwaltung von Krankenakten. Sie ist nicht abschließend, doch sie dient jetzt, nachdem Stellungnahmen des Europäischen Datenschutzausschuss eingearbeitet wurden, als Arbeitsgrundlage.“

Gerne stellt Ihnen Avallon eine Liste zur Verfügung.

Quelle: Schulzki-Haddouti 10/2019, heise.de

 

2. Berliner Datenschutzbehörde verhängt bisher höchstes DSGVO-Bußgeld gegen Lieferdienst

„Werbemails trotz Widerspruch, mangelhafte Datenauskunft, nicht gelöschte Daten: Wegen Verstößen gegen die DSGVO straft die Berliner Datenschutzbehörde die Lieferfirma Delivery Hero ab. Das Unternehmen betrieb lange Zeit die Marken pizza.de, Lieferheld und Foodora.

Das Lieferdienstunternehmen Delivery Hero Germany GmbH muss wegen Datenschutzverstößen ein Bußgeld in Höhe von 195.000 Euro zahlen. Unter anderem hatte die Firma Auskunfts-, Lösch- und Widerspruchsrechte von Kunden/Innen missachtet. Das teilt die Berliner Datenschutzbehörde am 19.09.2019 in einer Pressemitteilung mit. Die Entscheidung ist rechtskräftig.

Die Strafe ist die bisher höchste, die ein Unternehmen in Deutschland unter der Datenschutzgrundverordnung zahlen muss. Während wir in Großbritannien und Frankreich bereits Strafen in Höhe dutzender Millionen gesehen haben, sind die deutschen Behörde bisher zurückhaltender.“

Quelle: Dachwitz 09/2019, netzpolitik.org

 

3. DSGVO: British Airways soll Rekordstrafe wegen Sicherheitsmängeln zahlen

„Die Datenschutzgrundverordnung zeigt Zähne: Die Fluglinie British Airways soll ein Bußgeld in Höhe von mehr als 200 Millionen Euro zahlen – ausgerechnet wegen Problemen bei der IT-Sicherheit. Die britische Datenschutzbehörde kündigte unterdessen bereits die nächste Millionenstrafe an.

Zugangsdaten, Adressen, Namen, Reiseinformationen und Kreditkartendaten mit CVV-Sicherheitsnummern – die Liste der Daten, die Unbekannte von Kunden/Innen der Fluglinie British Airways abgreifen konnten, hat es in sich. Entsprechend saftig fällt auch das Bußgeld aus, das die britische Datenschutzbehörde nun verhängen will: Gut 200 Millionen Euro Strafe soll die Airline zahlen – eine Rekordsumme.

Der Datenabgriff aus dem Sommer 2018 sei auf gravierende Sicherheitsmängel bei der Fluglinie zurückzuführen, teilt das Information Commissioner’s Office (ICO) Anfang der Woche in London mit. Der Behörde zufolge konnte Unbekannte durch eine Sicherheitslücke im Online-Buchungssystem der Airline ab Juni 2018 an die Daten von etwa 500.000 Kunden/Innen gelangen. Offenbar wurden hierfür Nutzer/Innen der Website von British Airways auf eine gefälschte umgeleitet, wo diese dann ihre Daten eingaben.“

Quelle: Dachwitz 07/2019, netzpolitik.org

 

4. 18 Millionen Euro: Österreichische Post soll hohe Datenschutzstrafe zahlen

„Seit 2001 verkauft und vermietet die Österreichische Post Kundendaten zu Marketingzwecken. Das darf die Post nicht, findet die Datenschutzbehörde. Das Unternehmen verstoße so gegen die Datenschutz-Grundverordnung (DSGVO). Die Behörde verurteilte die Post daher in einem Verwaltungsstrafverfahren zu einer Zahlung von 18 Millionen Euro. Wie handelt die Österreichische Post mit Daten? Und wie reagierte sie auf die Strafe?

Die Österreichische Post sammelt unter anderem Daten zum Namen, Alter und Geschlecht sowie zur Familiensituation und Adresse ihrer Kunden. Bei 2,2 Millionen Österreichern speicherte sie zudem eine politische Parteiaffinität. So legte sie Kategorien wie ÖVP-affinGrün-affin und FPO-affin an. Diese Daten verkaufte die Post an Unternehmen. Das entdeckte die Rechercheplattform Addendum, nachdem sie ein Auskunftsbegehren an die Post versendet hatte.

Die Post verteidigte sich, indem sie darauf verwies, dass die Informationen zur Parteiaffinität lediglich Ableitungen aus anderen Informationen seien – wie bei Hochrechnungen nach Wahlen. Die Datenschutzbehörde musste daher klären, ob die Post auf diese Weise tatsächlich personenbezogene Daten oder doch nur Hochrechnungen weitergegeben hatte.

Nach einer mündlichen Anhörung kam die Datenschutzbehörde zu dem Schluss: Die Verarbeitung von Daten zu politischen Neigungen verstößt gegen die DSGVO. Die Behörde stellte klar, dass die Post im Rahmen ihres Gewerbes personenbezogene Daten sammeln und verarbeiten müsse. Erstelle sie jedoch statistische Wahrscheinlichkeiten über Parteiaffinitäten, verstoße sie gegen die DSGVO.

Die Post reagierte ohne Einsicht auf die Strafe. Das Unternehmen verkaufe keine personenbezogenen Daten, sondern lediglich statistische Hochrechnungen. Die Strafe sei daher nicht nur inhaltlich falsch, sondern auch vollkommen überzogen. Die Post sieht ihr Kerngeschäft der Direktwerbung gefährdet und will sich daher an das Bundesverwaltungsgericht wenden. Die Entscheidung der Datenschutzbehörde ist damit noch nicht rechtskräftig.“

Quelle: Schäfer 11/2019, e-recht24.de

 

5. Die Bitte um Einwilligung souverän meistern..

Zugegeben, im Umgang mit Kunden oder Patienten gibt es angenehmere Situationen, als die Bitte um eine Einwilligung zur Datenverarbeitung. Was ist, wenn er oder sie „nein!“ sagt oder eine Frage stellt, die nicht so einfach zu beantworten ist?

Dabei ist die Einwilligung eine sehr bedeutende Rechtsgrundlage für die Datenverarbeitung. Die Besonderheit liegt darin, dass sie freiwillig erfolgen muss. Auch muss sie leicht verständlich sein, jederzeit widerrufen werden können und ohne Nachteile verweigert werden dürfen. Darüber hinaus ist die Einwilligung mit der Unterschrift des Kunden oder Patienten zu dokumentieren.

Was ist also zu tun?

Zeigen Sie Mut im Umgang mit der Situation und erklären Sie dem Kunden oder Patienten, aus welchen Gründen die Einwilligung erforderlich ist und welchen Nutzen sie bringt.

Die folgenden Schritte können Ihnen dabei helfen.

  1. Überlegen Sie in einer ruhigen Minute, in welchen Situationen Sie einen Kunden oder Patienten um eine Einwilligung bitten wollen, z.B. für einen besonderen Service oder auch, um einen Newsletter oder einen Geburtstagsgruß zuschicken zu dürfen.
  2. Versetzen Sie sich in die Lage des Kunden oder Patienten und überlegen Sie, welche Fragen er oder sie dazu haben könnte. Denken Sie dabei an Situationen, in denen Sie selbst eine Einwilligung erteilt oder verweigert haben.
  3. Listen Sie diese Fragen auf und notieren Sie stichpunktartig Antworten darauf. Versuchen Sie dabei nicht, den Kunden oder Patienten zu überreden oder zu drängen.
  4. In der konkreten Situation erklären Sie mit Ihren eigenen Worten den Grund für die Einwilligung und verweisen dabei auf die entsprechende Datenschutzerklärung.
  5. Geben Sie dem Kunden oder Patienten Zeit zum Nachdenken und beantworten Sie auftretende Fragen möglichst geduldig.
  6. Akzeptieren Sie die Antwort und handeln dann entsprechend.
  7. Dokumentieren Sie das Ergebnis.

Natürlich – es kann vorkommen, dass Sie eine spezielle Frage nicht beantworten können oder der Kunde oder Patient gerne grundsätzlich über das Thema Datenschutz diskutieren will. In diesen Fällen können Sie uns jederzeit anrufen und wir übernehmen dann für Sie.

Die Erfahrung zeigt, dass die meisten Kunden und Patienten in die Verarbeitung ihrer Daten einwilligen und Ihnen vertrauen. So gesehen kann eine Einwilligung auch als ein deutliches Zeichen von Kundenzufriedenheit gesehen werden.

 

6. Phishing Mails

Bei Pishing-Mails kommt es auf Sie an. Diese Mails werden von Kriminellen verschickt und landen trotz aller Sicherheitsvorkehrungen in Ihrem E-Mail-Postfach und haben z.B. den Zweck, geheime Informationen auszuspähen, die Begleichung einer – scheinbar – offenen Forderung auszulösen oder durch einen Dateianhang oder Link Schadsoftware auf dem Firmensystem zu installieren, um dann z.B. Zahlungen zu erpressen.

Pishing-Mails wollen vor allem eins: durch eine schockierende Nachricht oder Androhung einer negativen Konsequenz, Handlungsdruck beim Empfänger erzeugen. Um diesem künstlichen Handlungsdruck etwas entgegen zu setzen, hilft z.B. die nachfolgende Aussage:

„Keine E-Mail ist so dringend, dass eine unmittelbare Reaktion erforderlich ist.“

Mit dieser Haltung geben Sie sich selbst die Möglichkeit, alle einkommenden Mails kritisch zu prüfen: Ist der Absender bekannt und vertrauenswürdig? Gibt es Zweifel am Inhalt der Nachricht? Ist wirklich eine unmittelbare Reaktion erforderlich? Ist es wirklich erforderlich, auf den Link zu klicken?

Wenn Sie eine dieser Fragen mit „nein“ beantworten können oder es den leisesten Zweifel an der Echtheit gibt, ist es kein Fehler oder Zeichen von Unsicherheit, sich durch eine Rückfrage, Gewissheit zu verschaffen: Sie können den Absender z.B. anrufen und sich die Echtheit der Mail bestätigen lassen oder Ihren IT-Fachmann oder Datenschutz-Koordinator fragen.

Natürlich können Sie beim Verdacht auf eine Pishing-Mail auch Ihren Datenschutzbeauftragten, Herrn Jörg Stockmann und sein Team in Aurich kontaktieren.

Um sich konkret vor den negativen Folgen von Pishing-Mails zu schützen, beachten Sie bitte mindestens die folgenden Punkte:

  1. Klicken Sie niemals auf Links in E-Mails, wenn Sie sich nicht zu 100% sicher sind, dass der Absender vertrauenswürdig ist.
  2. Öffnen Sie keine Datei-Anhänge, wenn Sie sich nicht zu 100% sicher sind, dass die Dateien echt sind.
  3. Verschicken Sie niemals persönliche Daten, wie z.B. Passwörter, per E-Mail.
  4. Starten Sie niemals einen Download-Link aus einer E-Mail, wenn Sie nicht zu 100% sicher sind, dass der Link vertrauenswürdig ist.
  5. Aktivieren Sie dort, wo es möglich ist, die Zwei-Faktor-Authentifizierung, um Ihre Accounts zu schützen.

Es kommt bei der Abwehr von möglichen negativen Folgen bei Pishing-Angriffen letztlich auf Ihr Urteilsvermögen und Ihre Besonnenheit an.

 

7. Onlinequellen

DSGVO: Deutsche Datenschützer einigen sich auf Bußgelder:

https://www.heise.de/newsticker/meldung/DSGVO-Deutsche-Datenschuetzer-einigen-sich-auf-Bussgelder-4566867.html

Berliner Datenschutzbehörde verhängt bisher höchstes DSGVO-Bußgeld gegen Lieferdienst:

https://netzpolitik.org/2019/berliner-datenschutzbehoerde-verhaengt-bisher-hoechstes-dsgvo-bussgeld-gegen-lieferdienst/

DSGVO: British Airways soll Rekordstrafe wegen Sicherheitsmängeln zahlen:

https://netzpolitik.org/2019/dsgvo-british-airways-soll-rekordstrafe-wegen-sicherheitsmaengeln-zahlen/

18 Millionen Euro: Österreichische Post soll hohe Datenschutzstrafe zahlen:

https://www.e-recht24.de/news/datenschutz/11713-oesterreichische-post-dsgvo.html

 

Gerne stehe ich Ihnen telefonisch oder in einem persönlichen Gespräch zur Verfügung.

Ihr Datenschutzbeauftragter
Jörg Stockmann

Aurich und Gelsenkirchen, November 2019