Hohes Bußgeld für WhatsApp

Hohes Bußgeld für WhatsApp

Die Einhaltung der aus der DSGVO vorgegebenen Verpflichtungen in Bezug auf die Rechtmäßigkeit und die Transparenz von Verarbeitungen personenbezogener Daten (pbDaten) wie auch die korrekte Identifizierung, welche Daten als personenbezogen gelten, sind für Verantwortliche wichtig. Diese Informationen sollten in detaillierten, leicht zugänglichen und leicht verständlichen Datenschutzerklärungen für die betroffenen Personen bereitgestellt werden. 

Was ist passiert?

Die irische Datenschutzbehörde (Data Protection Commission, DPC) verhängte ein Bußgeld gegen die WhatsApp Ireland ltd. in Höhe von 225 Millionen Euro. Dies ist das höchste bisher durch die irische DPC verhängte Bußgeld. Das Bußgeld wurde zuvor durch den Europäischen Datenschutzausschuss (EDSA) von 30-50 Millionen Euro auf 225 Millionen Euro angehoben.

Das entsprechende Verfahren gegen das Unternehmen wurde mit einer Untersuchung durch DPC bereits am 10. Dezember 2018 begonnen. Kern dieser Untersuchungen war, ob WhatsApp den Transparenzverpflichtungen (Artikel 12-14 DSGVO) gegenüber NutzerInnen und Nicht-NutzerInnen der WhatsApp Dienste nachgekommen ist.

Die Untersuchungen ergaben, dass personenbezogene Daten (pbDaten) innerhalb der Facebook-Gruppe weitergeleitet wurden, ohne, daß dies für NutzerInnen transparent war (Artikel 5 Absatz 1 a DSGVO). Unter anderem waren die in der verwendeten Datenschutzerklärung aufgeführten „berechtigten Interessen“ nicht deutlich ausformuliert. Dies wurde in Bezug auf EmpfängerInnen der pbDaten sowie die Beschreibungen der berechtigten Interessen und welche Stelle bei einzelnen Verarbeitungen welches berechtigte Interesse verfolgt, bemängelt.

Ein weiterer Punkt war der Umgang mit pbDaten von Nicht-WhatsApp-NutzerInnen. Die beim Upload der Telefonbücher erstellten und genutzten „Nicht-Benutzer-Listen“ in verkürzter, also „gehashter“ Form stellen pbDaten dar. Dies ist ein Verstoß gegen die Rechtmäßigkeit der Verarbeitung (Artikel 6 Absatz 1 DSGVO) und gegen die Informationspflicht, wenn die pBDaten nicht bei der betroffenen Person selbst erhoben wurden (Artikel 14 DSGVO).

WhatsApp hat die Auflage, die Verarbeitung der pbDaten zu verändern.

Warum dauerte es so lange? 

Die zeitliche Länge von Verfahren wurde bereits im Vorfeld dieser Entscheidung kritisiert. Die Vorlage der Ergebnisse und Begründungen der DPC zwischen der federführenden und den anderen betroffenen Aufsichtsbehörden (Artikel 60 DSGVO) erfolgte im Dezember 2020.

Da sich die die Aufsichtsbehörden bezüglich der Bewertungen der irischen DPC, wie auch der ursprünglich vorgeschlagenen Bußgeldhöhe nicht einigen konnten, wurde am 03. Juni 2021 die Streitbeilegung durch den Europäischen Datenschutzausschuss (EDSA) gemäß Artikel 65 begonnen und mit dem vorliegenden Beschluss am 28. Juli 2021, sowie der Bekanntgabe durch die irische DPC am 02.09.2021 nun endlich vorerst abgeschlossen.

Wie geht es weiter?

WhatsApp hat bereits angekündigt, gegen das Bußgeld rechtliche Schritte einzuleiten. Dies kann vor dem irischen HighCourt oder dem europäischen Gerichthof erfolgen. Es bleibt abzuwarten, welche Beurteilung das jeweilige Gericht vornehmen wird und ob das im Verhältnis zum Umsatz der Facebook-Gruppe niedrige Bußgeld Bestand haben wird.

Zur Vermeidung von Verfahren mit Aufsichtsbehörden oder  Rechtsstreitigkeiten empfehlen wir Verantwortlichen andere Messenger Dienste zu nutzen oder die WhatsApp-Funktionalitäten entsprechend einzugrenzen.

Das Avallon-Team steht Ihnen wie immer gerne beratend zur Seite.

Quellen

https://dataprotection.ie/en/news-media/press-releases/data-protection-commission- announces-decision-whatsapp-inquiry   

https://edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-12021-dispute-arisen_en  

https://www.golem.de/news/dsgvo-whatsapp-muss-225-millionen-euro-strafe-zahlen-2109-159302.html  

https://noyb.eu/de/stellungnahme-dpc-verhaengt-eu-225-millionen-bussgeld-gegen-whatsapp  

Herold 01/2020

Die Bußgeld-Situation verschärft sich.

Im Detail erwartet Sie:

  1. DSGVO-Verstoß: 1&1muss knapp 10 Millionen Euro Strafe zahlen
  2. DSGVO-Verstoß: Krankenhaus in Rheinland-Pfalz muss 105.00 Euro zahlen
  3. Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft
  4. DSGVO-Bußgelder
  5. EU-Datenschutzbehörde ermittelt gegen EU-Parlament
  6. US-Firma sammelte Milliarden Fotos für Gesichtsdatenbank
  7. Quelleninformationen

 

1. DSGVO-Verstoß: 1&1 muss knapp 10 Millionen Euro Strafe zahlen

„Der Bundesdatenschutzbeauftragte Ulrich Kelber hat gegen die Telekommunikationsfirma 1&1 ein Bußgeld in Höhe von 9,55 Millionen Euro verhängt.

Im September hatte der Bundesdatenschutzbeauftragte Ulrich Kelber angekündigt, dass auch deutsche Aufsichtsbehörden nach ersten Warnschüssen bald Sanktionen auf Basis der Datenschutz-Grundverordnung (DSGVO) in Millionenhöhe verhängen würden. Jetzt hat der Kontrolleur selbst durchgegriffen und die 1&1 Telecom GmbH mit einer Geldbuße in Höhe von 9.550.000 Euro belegt.

Der Telekommunikationsdienstleister, zu dessen Konzernverbund etwa auch die von dem Fall nicht betroffenen Mail-Anbieter Web.de und GMX gehören, hatte Kelber zufolge „keine hinreichenden technisch-organisatorischen Maßnahmen“ zum Schutz von Kundendaten ergriffen.

Personenbezogene Daten nicht systematisch geschützt

Die Aufsichtsbehörde wirft der Firma vor, dass Unberechtigte an der Telefon-Hotline vergleichsweise einfach „weitreichende Informationen zu weiteren personenbezogenen Kundendaten“ erhalten konnten. Die Angabe von Namen und Geburtsdatum von Betroffenen hätten ausgereicht. In diesem mickrigen Authentifizierungsverfahren sah die Bundesdatenschutzbehörde einen Verstoß gegen Artikel 32 DSGVO, nach dem Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen müssen, um die Verarbeitung personenbezogener Daten systematisch zu schützen.

Nachdem die Instanz die ausgemachten Mängel angemahnt hatte, zeigte sich 1&1 Kelber zufolge „einsichtig und äußerst kooperativ. In einem ersten Schritt habe der zu Drillisch gehörende Konzern zunächst den Authentifizierungsprozess durch die Abfrage zusätzlicher Angaben stärker abgesichert.

Strafe im unteren Bereich des möglichen Rahmens

Trotz der raschen Anpassungen hielt Kelber es für geboten, die millionenschwere Geldbuße zu verhängen. Der Verstoß habe ein Risiko für den gesamten Kundenbestand dargestellt, begründet der Experte den Schritt. Die Höhe der Strafe bewege sich aufgrund des kooperativen Verhaltens von 1&1 im unteren Bereich des möglichen Bußgeldrahmens.

Die 1&1 Telecom GmbH hat mittlerweile ebenfalls angekündigt, gegen den „absolut unverhältnismäßigen“ Bußgeldbescheid klagen zu wollen. Es habe sich um einen Einzelfall aus dem Jahr 2018 gehandelt, bei dem es „um die telefonische Abfrage der Handynummer eines ehemaligen Lebenspartners“ gegangen sei. Die zuständige Mitarbeiterin habe dabei alle Anforderungen der damals bei 1&1 gültigen Sicherheitsrichtlinien erfüllt.

In den nächsten Tagen werde man als eines der ersten Unternehmen der Branche jedem Kunden eine persönliche Service-PIN bereitstellen.“

Quelle: Krempel 12/2019, heise.de

 

2. DSGVO-Verstoß: Krankenhaus in Rheinland-Pfalz muss 105.00 Euro zahlen

„Der rheinland-pfälzische Datenschutzbeauftragte will die Geldbuße auch als Signal verstanden wissen, im Gesundheitswesen besonders wachsam zu sein.

Ein Krankenhaus in Rheinland-Pfalz hat eine wegen mehrerer Verstöße gegen die Datenschutz-Grundverordnung (DSGVO) verhängte Geldbuße in Höhe von 105.000 Euro akzeptiert. Das erklärte der rheinland-pfälzische Datenschutzbeauftragte Dieter Kugelmann. Die Datenschutzverletzungen seien nach einer „Patientenverwechslung bei der Aufnahme“ offenbar geworden. Daraufhin habe das Krankenhaus auch eine falsche Rechnung ausgestellt, was „strukturelle technische und organisatorische Defizite beim Patientenmanagement“ offenbart habe.

Kugelmann begrüßte zugleich die Bemühungen des Krankenhauses, sein Datenschutzmanagement fortzuentwickeln und zu verbessern.

Er wolle mit der Geldbuße auch ein Signal senden, „dass die Datenschutzaufsichtsbehörden auf dem Feld des Umgangs mit Daten im Gesundheitswesen besondere Wachsamkeit an den Tag legen“.“

Quelle: Krempel 12/2019, heise.de

 

3. Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobiliengesellschaft

„Am 30.Oktober 2019 hat die Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die Deutsche Wohnen SE einen Bußgeldbescheid in Höhe von rund 14,5 Millionen Euro wegen Verstößen gegen die Datenschutz-Grundverordnung (DS-GVO) erlassen.

Bei Vor-Ort-Prüfungen im Juni 2017 und im März 2019 hat die Aufsichtsbehörde festgestellt, dass das Unternehmen für die Speicherung personenbezogener Daten von Mieterinnen und Mietern ein Archivsystem verwendete, das keine Möglichkeit vorsah, nicht mehr erforderliche Daten zu entfernen. Personenbezogene Daten von Mieterinnen und Mietern wurden gespeichert, ohne zu überprüfen, ob eine Speicherung zulässig oder überhaupt erforderlich ist. In begutachteten Einzelfällen konnten daher teilweise Jahre alte private Angaben betroffener Mieterinnen und Mieter eingesehen werden, ohne dass diese noch dem Zweck ihrer ursprünglichen Erhebung dienten. Es handelte sich dabei um Daten zu den persönlichen und finanziellen Verhältnissen der Mieterinnen und Mieter, wie z. B. Gehaltsbescheinigungen, Selbstauskunftsformulare, Auszüge aus Arbeits-und Ausbildungsverträgen, Steuer-, Sozial-und Krankenversicherungsdaten sowie Kontoauszüge.

Nachdem die Berliner Datenschutzbeauftragte im ersten Prüftermin 2017 die dringende Empfehlung ausgesprochen hatte, das Archivsystem umzustellen, konnte das Unternehmen auch im März 2019, mehr als eineinhalb Jahre nach dem ersten Prüftermin und neun Monate nach Anwendungsbeginn der Datenschutz-Grundverordnung weder eine Bereinigung ihres Datenbestandes noch rechtliche Gründe für die fortdauernde Speicherung vorweisen. Zwar hatte das Unternehmen Vorbereitungen zur Beseitigung der aufgefundenen Missstände getroffen. Diese Maßnahmen hatten jedoch nicht zur Herstellung eines rechtmäßigen Zustands bei der Speicherung personenbezogener Daten geführt.“

Quelle: Kues 11/2019, datenschutz-berlin.de

 

4. DSGVO-Bußgelder

Die Bußgelder in Millionenhöhe in den letzten Monaten haben gezeigt, dass sich die Landesbehörden für den Datenschutz nicht davor scheuen, ihre Möglichkeiten für hohe Bußgelder auch zu nutzen – medienwirksame Berichterstattung inklusive. Interessanter sind indes die zugrunde liegenden Mängel: unzulässige Speicherung, fehlende Identifikation von betroffenen Personen, unzureichende technische Maßnahmen oder Unachtsamkeit mit personenbezogenen Daten. Mängel, die in jedem Unternehmen so oder in ähnlicher Form vorkommen können. Die hohen Bußgelder haben aber vor allem auch den einen Zweck, ihre abschreckende Wirkung zu entfalten und deutlich zu machen, dass die DSGVO mehr ist, als eine Handlungsempfehlung. So besteht Grund zur Hoffnung, dass die Bußgelder auch an anderer Stelle ihre Wirkung entfalten und dabei helfen, den Datenschutz insgesamt zu verbessern – auch, wenn die Medien nicht mehr berichten.

Hier eine Auswahl-Liste der Bußgelder in Deutschland, um zu zeigen, wie aktiv die Datenschutzbehörden sind:

2019

Deutsche Wohnen SE, Berlin: 14,5 Mio. Euro wegen unzulässiger Speicherung von Mieterdaten

  • 1&1 Telekom: 9,5 Mio. Euro wegen fehlender technischer und organisatorischer Maßnahmen zur eindeutigen Identifizierung betroffener Personen im Telefonsupport – vertrauliche Daten könnten an falsche Personen gegeben werden
  • Delivery HERO SE, Berlin: 195.000 Euro wegen unerwünschte Werbemails, unterlassene Löschung inaktiver Accounts, verschleppte Auskunftsverfahren
  • Universitätsmedizin Uni Mainz: 105.000 Euro wegen unzureichendem Schutz von Gesundheitsdaten
  • Spedition in Hamburg: 5.000 Euro wegen eines fehlenden AV-Vertrages
  • Privatperson in Thüringen: 2.000 Euro wegen offener Mailverteiler (wiederholt)

2018

  • Knuddels GmbH, Baden-Württemberg: 20.000 Euro wegen unverschlüsselter Kundenpasswörter

 

5. EU-Datenschutzbehörde ermittelt gegen EU-Parlament

„Das EU-Parlament hat mit einem US-amerikanischen Kampagnen-Unternehmen zusammengearbeitet. Nun ermittelt der EU-Datenschutzbeauftragte.

Es ist das erste Mal, dass der europäische Datenschutzbeauftrage (EDSB) eine andere EU-Institution im Visier hat: Wojciech Wiewiórowski, in dieser Woche neu gewählter EDSB, und seine Kollegen ermitteln bereits seit Februar 2019 wegen des Einsatzes einer Wahlkampf-Plattform gegen das EU-Parlament. Dabei geht es um die Frage, ob die Zusammenarbeit des EU-Parlament mit dem Anbieter Nationbuilder im Einklang mit den EU-Gesetzen steht.

Zu der Kampagne des EU-Parlaments bei den Wahlen 2019 gehörte die Webseite „thistimeimvoting.eu“. Der dafür verantwortliche Dienstleister Nationbuilder soll darüber Daten von mehr als 329.000 Menschen gesammelt und auch ausgewertet haben. Das US-Unternehmen entwickelt Strategien für politische Akteure, erstellt Netzwerke über verschiedene Kanäle und nutzt die Datenanalyse, um gezielt Menschen, etwa per Newsletter, anzusprechen. Das nutzten auch die Macher der Kampagnen von Donald Trump, Emmanuel Macron und beide Seiten des Brexit-Votings.

EDSB rügt und warnt das EU-Parlament

„Strenge Datenschutzregeln sind essentiell wichtig für die Demokratie, besonders im digitalen Zeitalter. Durch einen verantwortungsvollen Umgang mit persönlichen Daten und Respekt vor den Persönlichkeitsrechten helfen sie dem Vertrauen in unsere Institutionen und den demokratischen Prozess“, sagt Wojciech Wiewiórowski in einer veröffentlichten Pressemitteilung.

Gerügt wird das Parlament auch, da auf der betroffenen Webseite bis zu einem vorgegebenen Stichtag keine gesetzeskonforme Datenschutzerklärung zu finden war. Daten sollten zudem bis 2024 aufbewahrt werden.

In der Mitteilung betont der Datenschutzbeauftragte, dass die Behörde sich nicht auf reine Ermahnungen beschränken werde. Die Ermittlungen sollen bis Ende des Jahres abgeschlossen sein.

„Der EDSB erwartet von allen EU-Institutionen, Behörden und Organisationen vorbildhaft voranzugehen und sicherzustellen, dass die Daten der Bürger ausreichend geschützt werden.“ Hierzu sei eine starke Kooperation und ein gutes Miteinander der Datenschützer und EU-Institutionen nötig.““

Quelle: Weiß 11/2019, heise.de

 

6. US-Firma sammelte Milliarden Fotos für Gesichtsdatenbank

„Mit Milliarden Fotos aus sozialen Netzwerken erstellt Clearview eine Datenbank zur Gesichtserkennung. Seine Dienste bietet das Unternehmen US-Behörden an.

Eine obskure US-Firma hat laut einem Bericht der New York Times rund drei Milliarden Bilder von Menschen aus dem Internet zusammengestellt, um eine umfassende Datenbank zur Gesichtserkennung zu entwickeln. Im vergangenen Jahr sei der Zugang dazu mehr als 600 Behörden als Service angeboten worden, schrieb die Zeitung am Wochenende unter Berufung auf das Unternehmen namens Clearview. Angaben dazu, welche Behörden das waren, macht Clearview nicht.

Für die Datenbank seien öffentlich zugängliche Bilder bei Plattformen wie Facebook und YouTube oder dem US-Bezahlservice Venmo eingesaugt worden, hieß es. Eine Sammlung in dieser Dimension würde bisher bekanntgewordene Datenbanken zur Gesichtserkennung übertreffen.

Die Firma Clearview

Die zuvor praktisch unbekannte Firma Clearview trat erst durch die Recherchen der New York Times an die Öffentlichkeit. Ein früherer Geldgeber war US-Milliardär Peter Thiel.

Sein Sprecher sagte der Zeitung, Thiel habe Clearview im Jahr 2017 mit 200.000 Dollar unterstützt und dafür einen Anteil bekommen. Er sei ansonsten nicht beteiligt.

Gründer von Clearview ist der 31 Jahre alte Hoan Ton-That, der aus Australien in die USA kam.

Alarmierende Details

Der Bericht enthielt noch ein weiteres alarmierendes Detail. Nachdem einige Polizisten auf Bitten der Journalistin ihr Foto durch die Datenbank durchlaufen ließen, seien sie von Clearview-Vertretern mit der Frage angerufen worden, ob sie mit der Presse sprächen. Der Firma zufolge hat die Software nur Alarm wegen ungewöhnlicher Suchanfragen geschlagen. Außerdem räumte Ton-That auf Anfrage der Zeitung ein, dass Clearview auch den Prototyp einer Computerbrille mit Gesichtserkennungsfunktion entwickelt habe – es gebe aber keine Pläne, diese zu vermarkten.

Der Bericht löste schon am Wochenende erste politische Reaktionen aus. US-Senator Ron Wyden, Mitglieder der Demokratischen Partei, zeigte sich besorgt und forderte, Amerikaner müssten wissen, ob ihre Fotos heimlich in einer privaten Datenbank landen.“

Quelle: 01/2020, heise.de

 

7. Onlinequellen

DSGVO-Verstoß: 1&1muss knapp 10 Millionen Euro Strafe zahlen
https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-1-1-muss-knapp-10-Millionen-Euro-Strafe-zahlen-4608676.html?fbclid=IwAR1de-SOvI_ksGc-BKL9KulJam3tE30T5-0qDGxbjli7zCAxvqVCpk1D5xc

DSGVO-Verstoß: Krankenhaus in Rheinland-Pfalz muss 105.00 Euro zahlen
https://www.heise.de/newsticker/meldung/DSGVO-Verstoss-Krankenhaus-in-Rheinland-Pfalz-muss-105-000-Euro-zahlen-4604348.html

Berliner Datenschutzbeauftragte verhängt Bußgeld gegen Immobilien-gesellschaft
https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf

EU-Datenschutzbehörde ermittelt gegen EU-Parlament
https://www.heise.de/newsticker/meldung/thistimeimvoting-EU-Datenschutzbehoerde-ermittelt-gegen-EU-Parlament-4599461.html

US-Firma sammelte Milliarden Fotos für Gesichtsdatenbank
https://www.heise.de/newsticker/meldung/Bericht-US-Firma-sammelte-Milliarden-Fotos-fuer-Gesichtsdatenbank-4641569.html

 

Gerne stehe ich Ihnen telefonisch oder in einem persönlichen Gespräch zur Verfügung.

Ihr Datenschutzbeauftragter
Jörg Stockmann

Aurich und Gelsenkirchen, Februar 2020

Denkanstoß 02/2019
Avallon

1. Der BREXIT und die DSGVO

Falls Sie aktuell (oder geplant) personenbezogene Daten mit Unternehmen in Großbritannien austauschen, ist es notwendig, sich im Falle eines Austritts der Briten aus der EU auf mehr oder weniger große Änderungen im Datenschutz vorzubereiten. Diese Änderungen sind abhängig von den vier verschiedenen Szenarien, die eintreten können:

  1. Bis zum neuen geplanten Austrittsdatum am 12.04.2019 liegt ein Abkommen vor. Danach beginnt eine Übergangsphase bis zum 31.12.2020, in der alle datenschutzrelevanten Themen geregelt werden können.
  2. Das Austrittsdatum wird einvernehmlich verschoben. Auch in diesem Fall gibt es noch genügend Zeit, alle datenschutzrelevanten Themen zu regeln.
  3. Es gibt einen „No-Deal-Brexit“. In diesem Fall gilt Großbritannien ab dem 12.4.2019 als Drittland – und dass solange, bis die EU formal ein sog. angemessenes Schutzniveau festlegt. Dies wäre der denkbar schlechteste Fall für den Datenschutz, da Sie zeitnah alle Veränderungen durchführen müssten – möglicherweise die Einstellung des Datenaustausches.
  4. Das Vereinigte Königreich nimmt den Brexit zurück und bleibt weiterhin als vollwertiges Mitglied in der EU – dies bedeutet für Sie, keine Änderungen vornehmen zu müssen.

Treten die Briten aus der EU aus, stehen Ihnen vier Verfahren zur Verfügung, um den Datenverkehr mit den Briten weiter betreiben zu können; Details hierzu stellen wir Ihnen gerne zur Verfügung.

Folgende Sofort-Maßnahmen könnten akut notwendig sein:

  • Betroffenen Personen (Kunden, Mitarbeiter, etc.) müssen DSGVO-konform über den Datenaustausch mit Großbritannien informiert werden. Dazu müssen z.B. die Datenschutzerklärungen aktualisiert werden.
  • Bereits dokumentierte Verarbeitungstätigkeiten, sowie technische und organisatorische Maßnahmen müssen aktualisiert werden.

 

2. Die Email und die Datenschutzverletzung

Die häufigsten Datenpannen, die derzeit an die Aufsichtsbehörden gemeldet werden, sind Datenschutzverletzungen mit dem Medium Email. Zum einen sind dies Emails mit personenbezogenen Daten und zum anderen unzulässige Verteiler im „An“ oder „Cc“. Als kleine Hilfe haben wir in der folgenden Tabelle mögliche Fehler und Maßnahmen für Sie zusammengestellt:

 

Mögliche Fehler

  • Versehentlich die falsche Empfängeradresse ausgewählt
    (falls die Email personenbezogene Daten beinhaltet, wäre dies einen Datenschutzverletzung)

 

  • Eine Antwort auf eine vertrauliche Anfrage wird „an alle Empfänger“ gesendet, ohne zu überprüfen, ob alle Empfänger berechtigt sind.

 

  • Es werden zu viele bzw. die falschen Empfänger in „An“ oder „Cc“ eingetragen (Jede Emailadresse ist ein personenbezogener Datensatz und darf von Ihnen nicht an Unbefugte zur Kenntnis gegeben werden).

 

  • Personenbezogene Daten befinden sich im Text der Email

 

  • Personenbezogene Daten befinden sich in einer Datei im Anhang der Email

Maßnahmen

  •  Vor dem Senden nochmals prüfen, ob tatsächlich der richtige Empfänger eingetragen ist

         Autovervollständigung ausschalten

 

  • Überprüfung der Empfänger, speziell wenn nur die Empfängergruppe zu sehen ist

         Vergewissern Sie sich, für welche Zwecke diese                     Adressgruppe genutzt darf

         Sensibilisieren Sie Ihre direkten Kollegen

  •  Nutzen Sie für solche Verteiler das „Bcc“ Feld, in diesem Fall sieht keiner die anderen Empfänger

         Reduzieren Sie die Empfänger

         Holen Sie sich Hilfe in Ihrer IT-Abteilung oder von                   Avallon

  • Emails gelten als „Postkarten“ und sind nicht DSGVO konform.

        Entweder die gesamte Email verschlüsselt senden               (mit Hilfe Ihrer IT-Abteilung)

        Oder den Inhalt als verschlüsselten Anhang senden.            7Zip oder Keka sind kostenlose Programme, die                    DSGVO konform Dateien verschlüsseln, die Sie dann            per Email versenden können.

  • Die Datei muss als verschlüsselter Anhang gesendet werden. 7Zip oder Keka sind kostenlose Programme, die DSGVO konform Dateien verschlüsseln, die Sie dann mit Ihrer Email versenden können.

3. Die DSGVO und die Privatpersonen

Gilt die DSGVO auch für Privatpersonen?

Auch die meisten Privatpersonen speichern, verändern, verbreiten oder löschen jeden Tag personenbezogene Daten. Solange sie dies ausschließlich zur Ausübung persönlicher oder familiärer Tätigkeiten tun, findet die DSGVO keine Anwendung.

Die DSGVO will die Verarbeitung von personenbezogenen Daten durch juristische Personen, also z.B. GmbHs, Aktiengesellschaften oder auch Vereine, regeln und die personenbezogenen Daten von natürlichen (privaten) Personen schützen.

Gleichwohl kann die DSGVO auch Privatpersonen treffen. Beim Ehrenamt zum Beispiel. Denn sobald eine ehrenamtliche Tätigkeit z.B. in einem Verein oder einer Stiftung ausgeübt wird, fällt der rein persönliche Zweck weg. An dessen Stelle tritt der Vereins- oder Stiftungszweck. Das bedeutet, dass alle personenbezogenen Daten, die im Rahmen dieses Zwecks verarbeitet werden, auch der DSGVO unterliegen. Dies gilt selbst dann, wenn Sie diese Tätigkeiten aus privaten Motiven ausüben.

Auch eine privat verschickte E-Mail mit einem „offenen“ Verteiler (siehe hierzu Artikel 2) kann gegen die DGSVO verstoßen. Bei einem „offenen“ Verteiler kann jeder Empfänger die übrigen im Email-Kopf lesen. Diese Form der Veröffentlichung kann deutlich über die persönlichen oder familiären Zwecke hinausgehen und die Rechte und Grundfreiheiten Dritter erheblich einschränken: Nicht jeder möchte seine E-Mail-Adresse in einem öffentlichen Verteiler wiederfinden.

Der Sinn und Zweck der DSGVO, nämlich die Rechte und Grundfreiheiten von natürlichen Personen zu schützen, ist universell.

 

4. Der Beschwerdeführer und der Datenschutz?

Bereits mehr als 90.000 Menschen haben sich allein in Deutschland bei den Aufsichtsbehörden über mangelnden Datenschutz in den Unternehmen beschwert. Es kann jedoch auch einen anderen Weg geben, mit Problemen und Fragen zu datenschutzrelevanten Themen umzugehen.  Diese Überlastung der Aufsichtsbehörden, in Verbindung mit einem sehr neuen Gesetz, würde verhindert, wenn sich die Betroffenen direkt an den Datenschutzbeauftragten (DSB) des Unternehmens wenden würden. Der DSB hat die Aufgabe, die Rechte der betroffenen Personen wahrzunehmen und ist dabei weisungsfrei sowie zur Geheimhaltung und Vertraulichkeit verpflichtet.

Der DSB kann vor Ort entsprechende Maßnahmen direkt ergreifen, führt auch die mögliche fachliche Kommunikation mit der Datenschutzbehörde durch und begleitet die notwendigen Maßnahmen vor Ort. Ist kein DSB zu ermitteln, kann die Anfrage an den Geschäftsführer gerichtet werden. Eine Beschwerde direkt beim Landesamt für Datenschutz hat eine eigene Qualität: Die Behörde muss sofort offiziell tätig werden und einen „Fall öffnen“. Mit anderen Worten: die mögliche “Bestrafung” scheint wichtiger zu sein, als die lösungsorientierte Verbesserung des Datenschutzes.

 

5. Der Messanger WhatsApp und die DSGVO

Wer WhatsApp installiert, akzeptiert damit auch die Datenschutzbestimmungen von WhatsApp und willigt damit ein, dass personenbezogene Daten von Dritten, das sind die auf dem Gerät gespeicherten Kontakte, von WhatsApp auf den WhatsApp Servern gespeichert werden. Zusätzlich willigen Sie ein, dass WhatsApp diese Kontaktdaten verkaufen kann. Beides stellt, sofern nicht eine schriftliche Einwilligung des Dritten vorliegt, einen gravierenden Verstoß gegen die Datenschutzgrundverordnung dar.

Sollte der WhatsApp Messenger im beruflichen Umfeld genutzt werden und z.B. mit dem privaten Smartphone dienstliche Nachrichten ausgetauscht werden, dann wird das private Telefon in diesem Fall formal zu einem Diensthandy und die DSGVO greift in vollem Umfang – mit entsprechenden Auswirkungen für den Verantwortlichen, i.d.R. der Geschäftsführer Ihres Unternehmens.

Was können Sie tun?

  • Nutzen Sie einen anderen Messenger – eine entsprechende Informations-Auswahl können wir Ihnen zur Verfügung stellen.
  • bei Apple-Smartphones ist der Datenschutz eingebaut, in den Systemeinstellungen besteht die Möglichkeit, den Zugriff von WhatsApp auf Ihre Kontakte zu verhindern.
  • für Android-Geräte gibt es zusätzliche Anwendungen, die es ermöglichen, für jeden Kontakt einzeln zu bestimmen, ob WhatsApp darauf zugreifen darf oder nicht.

Wir empfehlen Ihnen zu überlegen, welche Konsequenzen die berufliche Nutzung von WhatsApp für den Verantwortlichen nach sich zieht.

 

6. Die Bußgelder

Ist die Schonzeit vorbei? Greifen Datenschutzbehörden künftig härter durch bei Verstößen gegen die DSGVO? Aktuelle Fälle zeigen, auf welche Bußgelder sich Unternehmen bei Vergehen gefasst machen müssen.

Läuft doch alles bestens beim Datenschutz – diesen Eindruck konnte man bis vor Kurzem fast gewinnen. Denn von den anfangs befürchteten Strafen war kaum etwas zu hören, nachdem die DSGVO am 25. Mai 2018 in Kraft getreten war. Doch die zuständigen Behörden scheinen die Zügel anzuziehen.

„Bußgelder werden höher ausfallen“

So kündigte der baden-württembergische Landesbeauftragte für den Datenschutz und die Informationsfreiheit (LfDI) Stefan Brink Anfang Februar im SWR an: „2019 wird das Jahr der Kontrollen.“ Er warnte Unternehmen ausdrücklich davor, unnötige Risiken einzugehen: „Wer auf Lücke setzt, der muss damit rechnen, dass 2019 ein schwieriges Jahr wird.“

Das Handelsblatt hat in einer seiner letzten Ausgaben die bisherigen Bußgelder analysiert und nennt im abschließenden Bericht folgende sanktionierte Verhaltensweisen:

  • unzureichende technische und organisatorische Maßnahmen eines Hotels, durch die nicht ausgeschlossen werden konnte, dass bei einem erpresserischen Hackerangriff Kreditkarten- oder andere Kundendaten aus seinem Buchungssystem offenbart wurden
  • Veröffentlichung von Gesundheitsdaten im Internet aufgrund unzureichender interner Kontrollmechanismen
  • Offenlegung von Gesundheitsdaten an den falschen Patienten durch ein Krankenhaus
  • Aufzeichnung sämtlicher ausgehender und eingehender Anrufe bei einer Feuerwehr des Landes Bremen
  • Offenlegung von Kontoauszügen an Unbefugte beim Online-Banking
  • unzulässige Werbe-E-Mails
  • unbefugte Kopie von Kundendaten bei einem Hackerangriff auf einen Webshop
  • unzulässige Dashcam-Nutzung
  • offene E-Mail-Verteiler
  • unzulässige Videoüberwachung von Kunden und Arbeitnehmern.

Dies ist nur ein Auszug aus der aktuellen Liste. Im nächsten Denkanstoß wollen wir einzelne Bußgelder beleuchten und Ihnen vorstellen.

 

7. Der Denkanstoß-Spruch

Datenschutz sollte beidseitig sein: „Unsere Daten zu schützen und uns vor Ihnen.“
(Erhard Blanck *1942 deutscher Heilpraktiker, Schriftsteller und Maler)

 

Gerne stehe ich Ihnen telefonisch oder in einem persönlichen Gespräch zur Verfügung.

 

Ihr Datenschutzbeauftragter
Jörg Stockmann

 

Aurich, April 2019