Wo liegen aktuell die Pr\u00fcfungsschwerpunkte der Beh\u00f6rden? Worauf sollte man achten, wenn man Bu\u00dfgelder vermeinden m\u00f6chte? Aus den Entscheidungen der Datenschutzbeh\u00f6rden und aktuell verh\u00e4ngten Bu\u00dfgeldstrafen l\u00e4sst sich Vieles lernen!
\u00a0
Auch in unserem aktuellen Newsletter berichten wir wieder \u00fcber einzelne, interessante F\u00e4lle der Sommermonate. <\/p>\n\n\n\n
H\u00f6chstes jemals verh\u00e4ngtes Bu\u00dfgeld seit Inkrafttreten der DSGVO<\/strong> Unternehmen:<\/strong> Amazon Europe Core S.\u00e0.r.l Zweith\u00f6chstes Bu\u00dfgeld in der Geschichte der DSGVO<\/strong><\/p>\n\n\n\n Unternehmen:<\/strong> WhatsApp Weitere ausgew\u00e4hlte Beispiele der vergangenen zwei Monate<\/strong><\/p>\n\n\n\n Unternehmen:\u00a0<\/strong>Unternehmensgruppe AG2R LA MONDIALE (Versicherungsbranche) insb. Konzerngesellschaft SGAM AG2R LA MONDIALE Unbekanntes Unternehmen<\/strong> Ihr Kontakt zu ePrivacy:<\/p>\n\n\n\n
<\/p>\n\n\n\n
M\u00f6glicher Datenschutzversto\u00df: <\/strong>Verfahren initiiert von der franz\u00f6sischen B\u00fcrgerrechtsorganisation \u201eLe Quadrature du Net\u201c zum Thema Werbe-Targeting – Personalisierte Werbung und Weitergabe von Daten an Dritte.
Die Beh\u00f6rde:<\/strong> CNPD (Luxemburgische Datenschutzbeh\u00f6rde)
Bu\u00dfgeldh\u00f6he<\/strong>: 746.000.000 Euro
<\/p>\n\n\n\n
M\u00f6glicher Datenschutzversto\u00df: <\/strong>Bei dem Verfahren ging es um Verst\u00f6\u00dfe gegen die Transparenzvorgaben aus Art. 12 \u2013 14 DSGVO. Bem\u00e4ngelt wurde, dass die Daten innerhalb der Facebook-Gruppe weitergeleitet w\u00fcrden, ohne dass dies f\u00fcr den Nutzer transparent sei.
Die Beh\u00f6rde: <\/strong>DPC (Irische Datenschutzaufsichtsbeh\u00f6rde) und EDSA
Bu\u00dfgeldh\u00f6he: <\/strong>225.000.000 Euro
<\/p>\n\n\n\n
Datenschutzversto\u00df:\u00a0<\/strong>Versto\u00df gegen Speicherbegrenzung bei mehr als 2 Mio. Kunden- und Interessentendaten inkl. Gesundheitsdaten. Zus\u00e4tzlich wurden Werbeanrufe nicht ordnungsgem\u00e4\u00df durchgef\u00fchrt. Weder wurden die Betroffenen hinreichend nach Art. 13 DSGVO \u00fcber die Datenverarbeitung informiert, noch wurden sie auf ihr Widerspruchsrecht hingewiesen (Art. 5 Abs. 1 lit. e DSGVO, Art. 13 DSGVO, Art. 14 DSGVO).
Die Beh\u00f6rde:\u00a0<\/strong>CNIL (Franz\u00f6siche Datenschutzbeh\u00f6rde)
Bu\u00dfgeld:\u00a0<\/strong>1.750.000 Euro
Unternehmen:\u00a0<\/strong>Supermarktkette MERCADONA, S.A. in Spanien
Datenschutzversto\u00df:\u00a0<\/strong>Ein in 40 Superm\u00e4rkten installiertes Gesichtserkennungsystem wurde u.a. dazu verwendet, verurteilte Personen aufzusp\u00fcren. Da alle Personen beim Betreten der Filialen gescannt wurden, fielen darunter u.a. auch Minderj\u00e4hrige. Dies bedeutet einen Versto\u00df gegen den Grundsatz der Datenminimierung, eine Verletzung der Informationspflicht nach Art. 13 DSGVO, bei zugleich fehlender Datenschutzfolgeabsch\u00e4tzung (Art. 5 Abs. 1 lit. c DSGVO, Art. 6 DSGVO, Art. 9 DSGVO, Art. 12 DSGVO, Art. 13 DSGVO, Art. 25 Abs. 1 DSGVO, Art. 35 DSGVO).
Die Beh\u00f6rde:\u00a0<\/strong>AEPD (Spanische Datenschutzbeh\u00f6rde)
Bu\u00dfgeld:\u00a0<\/strong>2.520.000 Euro<\/p>\n\n\n\n
Datenschutzversto\u00df: <\/strong>Mangelnde Einbindung und Unabh\u00e4ngigkeit des Datenschutzbeauftragten, weshalb dieser nicht ordnungsgem\u00e4\u00df und unabh\u00e4ngig beraten konnte. So u.a.: Fehlende Einbindung in die relevanten Prozesse der Verarbeitung personenbezogener Daten, fehlender standartisierter Kontrollplan zur Einhaltung der DSGVO und fehlende Kommunikation zur h\u00f6chsten Managementebene. Zudem konnte der Datenschutzbeauftragte keine ausreichenden datenschutzrechtlichen Kenntnisse vorweisen, die mit einem ausreichenden Training h\u00e4tten vertieft werden k\u00f6nnen (Art. 38 Abs. 1 und 3 DSGVO, Art. 39 Abs. 1 lit. a und b DSGVO).
Die Beh\u00f6rde:<\/strong> CNPD (Luxemburgische Datenschutzbeh\u00f6rde)
Bu\u00dfgeld: <\/strong>15.000 Euro
Unternehmen:<\/strong> BANCO BILBAO VIZCAYA ARGENTARIA, S.A.,
Datenschutzversto\u00df: <\/strong>Bei einer automatisierten Telefonauskunft der Bank war es ausreichend, die Ausweisnummer eines Kunden zu nennen, um auf dessen Kontotransaktionen zugreifen zu k\u00f6nnen. Die Beh\u00f6rde bem\u00e4ngelte die Verletzung der Pflicht ausreichende TOM (technische und organisatorische Ma\u00dfnahmen) zum Schutz der Daten zu implementieren (Art. 32 DSGVO).
Die Beh\u00f6rde: <\/strong>Agencia Espa\u00f1ola Protecci\u00f3n Datos (AEPD)
Bu\u00dfgeld: <\/strong>120.000 EUR
Unternehmen: <\/strong>Yes Consumer Solutions Ltd (YCSL) Telekommunikationsunternehmen Datenschutzversto\u00df: c<\/strong>a. 200.000 unerlaubte Werbeanrufe trotz Widerspruchs. Ironischerweise sollte mit den Anrufen ein von YCSL vertriebener Anrufschutz beworben werden, welcher gerade das Blocken unerw\u00fcnschter Anrufe erm\u00f6glichen sollte.
Dar\u00fcber hinaus waren alle Telefonnummern im britischen TPS-Register vermerkt. Der Eintrag in dieses Register dient dem Schutz vor unerw\u00fcnschten Anrufen (Art. 55A DPA, Art. 21 PECR).
Die Beh\u00f6rde: <\/strong>Information Commissioner\u2019s Office (ICO)
Bu\u00dfge<\/strong>ld: 199.812 EUR (170.000 GBP)<\/p>\n\n\n\n
Unternehmen:\u00a0<\/strong>Vodafone Espa\u00f1a, S.A.U.
Datenschutzversto\u00df:\u00a0<\/strong>Versto\u00df gegen die Pflicht zur Datenl\u00f6schung. Das Recht auf L\u00f6schung nach Art. 17 DSGVO ist eines der wesentlichen Themen im Datenschutz. Hier m\u00fcssen Unternehmen innerhalb der geforderten Fristen auf die Betroffenenanfrage reagieren. Hierf\u00fcr erforderlich sind gute L\u00f6schkonzepte (Art. 6 Abs. 1 DSGVO, Art. 17 Abs. 1 DSGVO).
Die Beh\u00f6rde:\u00a0<\/strong>Agencia Espa\u00f1ola Protecci\u00f3n Datos (AEPD)
Bu\u00dfgeld:<\/strong>\u00a096.000 EUR
\u00a0
Unternehmen:\u00a0<\/strong>Betreibergesellschaft des Aeroporto Guglielmo Marconi di Bologna S.p.a.
Datenschutzversto\u00df:<\/strong>\u00a0Einsatz einer Whistleblowing-Anwendung ohne ausreichende technische und organisatorische Ma\u00dfnahmen (weder ein sicheres Netzwerkprotokoll, noch eine Verschl\u00fcsselung der Daten des Meldenden, der gemeldeten Informationen oder der beigef\u00fcgten Unterlagen war vorgesehen). Auch der Hersteller der Whistleblowing-Software, die aiComply S.r.l., wurde mit einem Bu\u00dfgeld belegt. Hier fehlte u.a. der notwendige Abschluss von Auftragverarbeitungsvereinbarungen (Art. 5 Abs. 1 lit. f DSGVO, Art. 25 DSGVO, Art. 28 DSGVO, Art. 32 DSGVO, Art. 35 DSGVO).
Die Beh\u00f6rde:\u00a0<\/strong>Garante per la protezione dei dati personali (GPDP)
Bu\u00dfgeld:<\/strong>\u00a060.000 EUR<\/p>\n\n\n\n