Bußgelder: Rekordstrafe gegen WhatsApp

Die irische Datenschutzbehörde verhängt aufgrund eines Verstoßes gegen den Grundsatz der Rechtmäßigkeit und Transparenz sowie der WhatsApp obliegenden Informationspflichten ein Bußgeld in Höhe von 225 Mio. EUR gegen das Unternehmen. Dieses setzt sich zusammen aus: 90.000.000 EUR wegen eines Verstoßes gegen Art. 5 Abs. 1 lit. a DSGVO, 30.000.000 EUR wegen eines Verstoßes gegen Art. 12 DSGVO, 30.000.000 EUR wegen eines Verstoßes gegen Art. 13 DSGVO und aus 75.000.000 EUR wegen eines Verstoßes gegen Art. 14 DSGVO.   WhatsApp hat seine Nutzerinnen und Nutzer offenbar nicht ausreichend darüber informiert, wie deren Daten verwendet werden und Nutzerdaten innerhalb der Facebook-Gruppe weitergeleitet.

Weiterlesen »

Neue Regelung zum Datenschutz im Betriebsverfassungsgesetz

Der Gesetzgeber hat mit seiner Ergänzung des Betriebsverfassungsgesetzes (BetrVG) um den § 79a Satz 1 Klarheit in Bezug auf die datenschutzrechtliche Verantwortung des Betriebsrates geschaffen. Neben der Eigenverantwortung für die Wahrnehmung seiner Betriebsratsaufgaben nach dem BetrVG innerhalb der Organisation, ist der Betriebsrat danach als Teil der verantwortlichen Stelle anzusehen, mit der er tätig ist, und nicht in eigenständiger Verantwortung. Dies bedeutet im Umkehrschluss, dass die Betriebsräte beim Thema Datenschutz der Weisungen der Geschäftsleitung unterliegen. Der Datenschutzbeauftragte des Unternehmens ist somit auch dazu verpflichtet, die Einhaltung der datenschutzrechtlichen Vorgaben bei den Tätigkeiten des Betriebsrats zu überwachen. Auch hier ist der Datenschutzbeauftragte

Weiterlesen »

Bußgelder: Rekordstrafe gegen Amazon

Die luxemburgische Datenschutzbehörde hat gegen den Online-Riesen das –  bis jetzt höchste – Bußgeld in der Geschichte der Datenschutzgrundverordnung in Höhe von 746 Millionen Euro verhängt. Das Bußgeld ist die datenschutzrechtliche Sanktionierung des Amazon „Werbe-Targetings“ auf Basis einer Massenbeschwerde bei der luxemburgischen Datenschutzbehörde. Bei diesem Werbe-Targeting wertet das Unternehmen sowohl auf den eigenen Webseiten als auch auf den Seiten von Dritten, das Verhalten der Nutzer aus, um diese im weiteren Verlauf mit auf sie persönlich zugeschnittener Werbung zum Einkauf zu verleiten. Um welche konkrete Maßnahme aus dem Werbe-Targeting es sich dabei genau handelt, ist bis jetzt noch unklar, da die

Weiterlesen »

Bußgelder: Betrieb einer Webseite mit veralteter Software

Gegen einem Online-Shopbetreiber aus Niedersachsen wurde ein Bußgeld in Höhe von 65.500€ verhängt. Dem Betreiber wurde ein Verstoß gegen die Vorschriften von Art. 25 und Art. 32 der DSGVO nachgewiesen. Grund dafür ist eine, bereits 2014 abgelaufene und von dem Hersteller nicht mehr unterstütze, Version der Web-Shop-Anwendung, die in seinem Shop eingesetzt wurde. Die Version wies erhebliche Sicherheitslücken auf, die unter anderem SQL-Injection-Angriffe ermöglichten. Der Hersteller warnte ausdrücklich davon, diese Version ohne die notwendigen Updates weiter zu nutzen. Durch die Sicherheitslücke waren die abgespeicherten Kunden-Passwörter nicht ausreichend gesichert und die Ermittlung der Klartext-Passwörter durch potenzielle Angreifer lediglich mit einem überschaubaren

Weiterlesen »

Bußgelder: Mangelhafte Einbindung des Datenschutzbeauftragten

Die luxemburgische Aufsichtsbehörde CNDP hat ein Bußgeld in Höhe von 15.000€ gegen ein privates Unternehmen verhängt. Der Bußgeldbescheid steht in Zusammenhang mit einer Kontrolle, die eine nicht ausreichende Fachkunde des internen Datenschutzbeauftragten nachgewissen hat. Der Datenschutzbeauftragte war fachlich nicht in der Lage den Verantwortlichen ordnungsgemäß und unabhängig in den Datenschutzbelangen zu beraten und zu informieren.  Er wurde nicht in alle Fragen des Schutzes personenbezogener Daten eingebunden und hatte nicht direkt an die höchste Managementebene berichtet.  Außerdem verfügte das Unternehmen über keinen formalen Auditplan, nach dem der Datenschutzbeauftragter die Einhaltung der Datenschutzvorschriften überwachten und kontrollieren könnte. Mehr zum Thema Aufgaben und

Weiterlesen »

Brexit: Großbritannien ist ein sicheres Drittland

Gem. der Datenschutzgrundverordnung können personenbezogen Daten nur innerhalb des Europäischen Wirtschaftsraum (EWR) sicher verarbeitet werden. Sobald die Daten den EWR verlassen, muss nachweisbar ein vergleichbares Datenschutzniveau im Zielland vorliegen. Durch den EU-Austritt und somit auch das Verlassen des EWR wurde Großbritannien datenschutzrechtlich zu einem Drittland. Anfang des Jahres leitete die Europäische Kommission das Verfahren zur Annahme der Angemessenheitsfeststellung für das Vereinigte Königreich ein. Trotz Bedenken des Europäischen Datenschutzausschuss und des EU-Parlaments wurde Großbritannien am 28. Juni 2021 als ein sicheres Drittland anerkannt. Mit der Anerkennung des angemessenen Datenschutzniveaus bedürfen Datenübermittlungen aus dem EWR an das Vereinigte Königreich, im Rahmen des

Weiterlesen »

Datentransfer: neue Standardvertragsklauseln veröffentlicht

Die Europäische Kommission hat am Freitag, den 7.06.2021 neue Standardvertragsklauseln (SVK) veröffentlicht. Die Datenschutzverordnung sieht strenge Vorgaben für die Regelung von internationalen Datentransfers vor. Die s.g. Standardvertragsklauseln (eng. standard contractual clauses, kurz SCCs) sind das am häufigsten verwendete Instrument für internationale Datentransfers, auch für transatlantische Datenflüsse. Die neu vereinbarten Regelungen bieten europäischen Unternehmen mehr Rechtssicherheit und helfen insbesondere KMU, die Anforderungen an eine sichere Datenübermittlung zu erfüllen. Gleichzeitig helfen sie dabei, die Daten der Bürger besser zu schützen. Die Aktualisierung der Standardvertragsklauseln ist eine Antwort der Europäischen Kommission auf die geänderte datenschutzrechtliche Lage sowie das s.g. Schrems-Urteil (Rechtssache C-311/18 „Schrems

Weiterlesen »

„Schrems II“- Urteil: Aufsichtsbehörden starten Prüfungen

Die Aufsichtsbehörden haben am 01.06.2021 angekündigt, länderübergreifende Prüfungen zur Drittlandübermittlung durchzuführen. Ziel dieser großflächig angelegten Aktion ist die wirksame Durchsetzung der Anforderungen des Europäischen Gerichtshofs aus dem sogenannten Schrems-II-Urteil vom 16. Juli 2020. Das Urteil, hatte Datenübermittlungen, vornehmlich in die USA, wegen der Gefahr des Zugriffs durch US-Behörden, für nicht konform mit der DSGVO gewertet und das Datenschutzabkommen der EU mit den USA (dem sogenannten Privacy Shield) für ungültig erklärt. Bekannt ist, dass aktuell die Länder Baden-Württemberg, Bayern, Berlin, Bremen, Brandenburg, Hamburg, Niedersachsen, Rheinland-Pfalz und das Saarland an den Prüfungen beteiligt sind. Wann die Prüfung auf weitere Bundesländer erweitert wird,

Weiterlesen »

Neue Datenschutzbeauftragte Aufsichtsbehörde NRW

Am 19.05.2021 wurde die Juristin und gebürtige Wuppertalerin Bettina Gayk einstimmig zur neuen Landesdatenschutzbeauftragten, NRW gewählt und ist damit Nachfolgerin von Helga Block, die das Amt seit 2015 bis zu ihrer Pensionierung im Sommer 2020 inne hatte. Von 2001 bis 2012 hatte Frau Gayk bereits die früheren Landesdatenschutzbeauftragten Bettina Sokol und Ulrich Lepper als Referatsleiterin und Pressesprecherin unterstützt. Seit 2012 war sie im NRW-Innenministerium tätig und verantwortete dort zuletzt als Referatsleiterin und stellvertretende Abteilungsleiterin den Brand-, Katastrophen- und Zivilschutz.  In ihren früheren Stationen in Velbert und Hilden war sie für Sicherheitsmaßnahmen und Terrorprävention hat sie auch gehabt und war beratend

Weiterlesen »