DSGVO / BLOG

DSGVO.CARE / BLOG

DSGVO / Blog

Der einfühlsamste, etwas humoristische und alles Wichtige auf den Punkt bringende DSGVO-Blog in diesem Universum.


"Alle sind gleich, aber manche sind gleicher als andere!" Wusste schon George Orwell vor langer Zeit. Dies ist der erste Teil einer kleinen Artikelreihe zum Thema "Sensible Daten". Ein kleiner Praxis-Ratgeber, wie Sie sich das Leben mit sensiblen Daten in Zeiten der DSGVO leichter machen.
Vor allem abseits der Daten besonderer Kategorien (Artikel 9 Daten), ist es sinnvoll feiner zu clustern und unterschiedliche Sensibilitätsstufen einzubauen.

COVID-19 nimmt der Welt den Atem und die Freiheit! Ausgangssperren und Social Distancing, jeder weiß mittlerweile genau was das ist und kennt es nicht nur aus den Medien, wie sonst meist üblich wenn etwas dramatisches geschieht in dieser Welt. Turbulente Zeiten rechtfertigen temporär harte Maßnahmen – zum Wohl von uns allen selbstverständlich, werden hierzulande die Standortdaten von Mobiltelefonen ausgewertet - TEMPORÄR!

Nein, die Strafen werden euch nicht bezahlt! Aber immerhin die Anwalts- und Prozesskosten bis zu 1 Mio €. Und weil man ja nicht immer gleich alles vor Gericht austragen muss, gibts Mediationskosten bis 10.000 € ebenso ersetzt. Ermöglicht wird das Ganze vom deutschen Start-Up hepster in Kooperation mit der etablierten ROLAND Rechtsschutz-Versicherungs-AG.
Wir halten das für eine gute, weil äußerst überschaubare Investition - vor allem im Vergleich zu den vielen Cyber Seciurity Versicherungen, welche ebenfalls teils als DSGVO-Versicherungen angepriesen werden.

Das Bayrische Oberste Landesgericht entscheidet, dass potentielle Gerichtsverfahren eine pauschale Aufbewahrung personenbezogener Daten rechtfertigen. Die Österreichische Datenschutzbehörde entscheidet dies sei nur in konkreten Verdachtsfällen erlaubt. So what ? Bitte gebt uns endlich die europäische Super-Datenschutzbehörde!

Das macht alles natürlich mal wieder etwas komplizierter. In Österreich würden wir dazu raten, im Bereich des Abgabenrechts vorsichtig zu sein bei der Aufbewahrung von Daten, in anderen Bereichen würden wir - im Moment - dazu tendieren die Daten bis zum Ende der Verjährung aufzubewahren. Nun es könnte auch einfacher Sein - könnte - ist es aber mal weider nicht ;)

Anonyme Daten müssen per se nicht immer automatisch anonym bleiben. Durch den Abgleich mehrerer Datensätze, ist an Hand verschiedenster Kriterien, das Ein oder Andere mal die Rückführung zu einer natürlichen Person durchaus möglich.... peinlich unter Umständen, wenn dadurch die Zuordnung zu einem Seitensprungportal möglich wird...

Die Deutsche Aufsichtsbehörde hat Google auf dem Kieker. Genauer gesagt: Google Analytics! Die Hamburger Aufsichtsbehörde ließ laut aufhorchen mit ihrer Ansicht, wonach der Einsatz von Google Analytics eine gemeinsame Verantwortung nach Artikel 26 begründet. Hilfe! Was bedeutet das jetzt wieder für uns ? Zunächst einmal gar nichts und zur allgemeinen Entspannung wird geraten. Mittelfristig wird man sehen, mehr Info wie immer im Artikel..

Viele sehen nur die horrenden Strafandrohungen der Behörden und denken damit wäre es getan. Doch so einfach war die Welt noch nie - und ist es auch in diesem Fall nicht. Wurde nämlich von der Behörde eine Strafe verhängt, ist dies der Moment für Betroffene, sich Gedanken zu machen, in wie weit die Verfehlungen des sanktionierten Unternehmens, negative Auswirkungen auf das eigene Leben haben (könnten). Der Weg zum Zivilgericht steht offen - und was dort passiert, kann für die Unternehmen noch wesentlich bedrohlicher sein als das DSGVO-Bußgeld...

Flupps da geht mal schnell die Krankengeschichte des HIV-Patienten an eine falsche Person. Keiner hats gesehen, alles wird sofort vernichtet (vielleicht) und der Arbeitsalltag geht weiter. Laut Deutschlands Aufsichtsbehörden sind Datenpannen wie diese im Gesundheitswesen flächendeckend verbreitet. Verantwortlich dafür ist nach - Einschätzung der Aufsichtsbehörden - ACHTUNG; nicht das Coronavirus, sondern - und das ist für uns alle jetzt eine große Überraschung - menschliches Versagen. Die Standard-Therapie in so einem Fall, scheint für die Aufsichtsbehörden ein alles andere als homöopathisches Bußgeld zu sein ;)

Kaum zu glauben doch es ist geschehen Großbritannien ist nach langem "rumeiern" am 31. Jänner 2020 endlich aus der EU ausgeschieden. BREXIT is reality. ABER: "Sind die Briten jetzt wirklich, endgültig draußen?" und "Was bedeutet das für den Datenschutz?" Für die erste Frage braucht man einen Astrologen, Schamanen oder Populsiten wie Nigel Farage oder Boris Johnson, die zweite Frage werden wir hier beantworten - Kurzfazit - zunächst bleibt alles wie gehabt ;)

WhatsApp ist grundsätzlich heikel, warum, denke ich, müssen wir hier nicht noch mal erläutern. Wenn ich jetzt noch eine WhatsApp-Gruppe einrichte und in dieser die Krankenstandsmeldungen einzelner Mitarbeiter poste, wirds richtig spannend - vor allem, wenn sich in dieser Gruppe sozusagen "Kraut & Rüben" an Mitarbeitern befinden. Handelt es sich bei einer Krankenstandsmeldung ohne Diganose wie man vielleicht intuitiv annehmen könnte um Artikel 9 (sensible) Daten? Eher nicht. Wenn man jedoch neben Daten welche die Arbeitsunfähigkeit betreffen (dies lässt sich natürlich argumentieren) auch noch die Sozialversicherungsnummer munter mit teilt, stellt sich die Frage, auf welcher Rechtsgrundlage dies den geschieht?

Dashcams sind des Teufels! Sie sind absolut verboten und seit wir die DSGVO haben sowieso und überhaupt! Diese Meinung wurde hierzulande lange Zeit vertreten. Doch mittlerweile hat die österreichische Behörde ihre Meinung, so scheint es, geändert - zumindest "vorläufig" wenn man sich dem bewährten Juristen-Deutsch etwas intimer widmet. Ein Hoch auf diese Einigkeit in der EU und den nationalistischen Eifer der dieser Einigkeit stets so zuträglich ist ;)

1.500€ - dafür muss man bei einem Preis von 4,50€ rund 333 Döner Kebap verkaufen, wenn wenn man keinen Wareneinsatz zu bezahlen hat und von jeglichen Abgaben befreit sowie die Arbeit dazu gratis ist. Weg von diesem Unrealistischen Beispiel, hin zum realistischen Urteil der Datenschutzbehörde: 1.500€ für generöses Anfertigen von Videomaterial der umliegenden Gegend - so könnte man das pointiert zusammen fassen, doch lesen Sie mehr dazu im Artikel.

So eine Patientenverwechslung ist für sich genommen schon mal etwas äußerst unangenehmes, wenn dann - so wie in der Mainzer Universitätsklinik - gleich mehrere Defizite im Bereich der DSGVO-Compliance festgestellt werden, wird es gleich noch sehr viel unangenehmer und vor allem entsprechend teuer. Aufgrund der hoch-sensiblen Art der involvierten Daten im medizinischen Kontext wurde nämlich von der zuständigen Aufsichtsbehörde ein Bußgeld in Höhe von 105.000€ verhängt. Im Vergleich zum Umsatz, könnte man sagen mit einem blauen Auge davon gekommen. So soll das Bußgeld nicht nur als Strafe für den konkreten Verantwortlichen dienen, sondern gleichzeitig auch allgemeine Signalwirkung haben.

Achtung an alle die noch Ordnerweise Daten in Papierform aufbewahren. Haben Sie von diesen Daten Backups? Wie schützen Sie diese Unterlagen vor Umwelteinflüssen? Auch hier greift die DSGVO und somit wird der Verlust von schriftlichen Aufzeichnungen zu einem Data Breach. Diese Erfahrung musste vor Kurzem ein Pharmaunternehmen in Großbritannien machen gegen welches ein Bußgeld in Höhe von 320.000€ verhängt wurde - Der Grund, ein Wasserschaden.

Sie mögen uns manchmal Lästig sein sind jedoch nicht zu unterschätzen: Auskunfts- und Löschbegehren. Sie zu ignorieren kann jedoch zu schlechter PR (dem so genannten Shitstorm) führen und auch auch kostspielig werden - wenn die Datenschutzbehörde sanktioniert - wie in Belgien noch in der Vorweihnachtszeit - oder sogar Schadenersatz gefordert wird.

Supplements sind im Trend und Teil des eigenen Lifestyles. Doch offenbart der Käufer dieser Produkte - lediglich durch den Einkauf - sensible personenbezogenen Daten? Supplements sowie auch mehr und mehr Medikamente gehen heute mehr und mehr über den Online-Ladentisch. Mit der Frage, ob es sich hierbei um Gesundheitsdaten handeln könnte welche besonderen Schutz und Einwilligungen notwendig machen würden, hat sich vor Kurzem das OLG Naumburg beschäftigt. Unser Fazit: Es kann sich nicht grundsätzlich um Gesundheitsrelevante Daten handeln. So muss der Käufer von Produkt X, nicht automatisch auch der Konsument sein - somit fehlt schlicht der Gesundheitsrelevante Personenbezug.

Wenn es der Ex-Frau möglich ist, die Telefonnummer des Ex-Mannes lediglich mit dessen Namen und dessen Geburtsdatum zu erhalten, dann ist das dem Bundesdatenschutzbeauftragten 9,55 Mio € Bußgeld wert. So die Schilderungen von 1&1.
Die Behörde sieht in dem Fall, dass es „keine hinreichenden technisch-organisatorischen Maßnahmen gegeben habe, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können“

Blockchain ist mehr als nur Bitcoin und immer mehr Start-ups, sowie auch der Ein oder Andere Etablierte, versuchen sich mit dem Buzzword an Fördergeldern, oder/und an tatsächlich Sinn stiftende Applikationen, welche geeignet sind einen bisher benötigten Treuhänder obsolet zu machen.
Die Vorteile liegen auf der Hand, nachvollziehbar, dezentral organisiert und somit ausfallsicher sowie schneller und günstiger als ein Notar oder Treuhänder. Doch aufgepasst mit personenbezogene Daten in der Blockchain! Wie wird das Recht auf Löschen umgesetzt und wer ist eigentlich verantwortlich für die Daten...

Es gibt sie... es gibt sie nicht... es..., nein es gibt Sie nicht die ISO-Zertifizierung für DSGVO aber es gibt die ISO/IEC 27701:2019 mit dieser kann zumindest das DSMS (Datenschutzmanagementsystem) zertifiziert werden. Wir empfehlen auf jeden Fall diese Norm zu berücksichtigen wenn Sie ohnehin vor haben die ISO 27001 einzuführen und sich zertifizieren zu lassen da diese schön ineinander greifen und sich der Mehraufwand in bescheidenen Grenzen hält.

Einerseits die DSGVO, andererseits zahlreiche andere Verpflichtungen, und manchmal kommen sich diese in die Quere. So erging es bestimmt schon zahlreichen Unternehmen. Einander widersprechende Formulierungen sind leider kein Einzelfall und bereiten oftmals Kopfzerbrechen. Wenns um Gesundheitsdaten geht, schrillen bei vielen zum Glück die Alarmglocken. Derzeitige Praxis: Die Daten müssen für eine Prüfung durch das Finanzamt zuvor anonymisiert werden, damit man nicht gegen eine berufliche Schweigepflicht verstößt zum Beispiel!

Gemeinsame Verantwortlichkeit - genau dann, wenn beide etwas mit den personenbezogenen Daten machen und zwar völlig unabhängig von einander. Benötigt wird in diesem Fall eine so genannte Artikel 26 Vereinbarung. Wie diese aussehen soll hat das Amtsgericht Mannheim jetzt etwas genauer "spezifiziert".
Man nehme eine AVV (Auftragsverarbeiter Vereinbarung) und ergänze diese um die fehlenden Details ....

Wer Grundlos (also ohne Zweck und dazu argumentierbare Löschfrist) Gehaltsabrechnungen, Selbstauskünfte, Arbeitsverträge,... über mehrere Jahre hinweg speichert, der fängt sich - Entsprechenden Umsatz natürlich vorausgesetzt eine Strafe über 14,5 Mio € von der Berliner Datenschutzbeauftragten ein. So Geschehen der Deutschen Wohnen und ein Zeichen dafür dass die Zeit der Mahnungen vorbei ist und der verabschiedete Bußgeldkatalog auch angewendet wird wenn grundsätzliche strukturelle Mängel klar ersichtlich sind.

Ja richtig gehört: "Die Nutzung von Google Analytics darf nur mit Einwilligung der Webseitenbesucher erfolgen." So die Datenschutz Konferenz vom 14. November 2019. Das sollte auch in Österreich ernst genommen werden und bedeutet das Aus für die Banner die praktisch automatisch mit Nutzung der Website diese "Einwilligung" erzwingen.

Kühne Behauptung vom irischen FinTech-StartUp Revolut, so kühn, dass die irische Aufsichtsbehörde Revolut gleich einmal etwas genauer unter die Lupe nimmt. User-Daten werden ab sofort automatisch an Social Media Plattformen und Analyse Dienste weitergeleitet, Werbung automatisch zugesendet - ohne Enwilligung (Opt-In).

Die Rumänische Datenschutzbehörde hat bei einem österreichsichen Unternehmen zugeschlagen - Raiffeisen. Die Begründung; Austausch vertraulicher Kunden-Daten mittels Whatsapp, nicht ausreichende interne Kontrollmaßnahmen, und eine fehlende Riskioanalyse. Ja da hätte man wohl DSGVO.CARE/Consulting benötigt.

Es ist so weit. Erste DSGVO-Millionenstrafe in Österreich - für die österreichische Post. Begründung; Das Erstellen von politischen Profilen von rund 2,2 Millionen Personen. Gegen den Bescheid wurde berufen.
Weiter gehts beim Bundesverwaltungsgerichtshof.

Ein verärgerter Kunde, ein Samsung Galaxy Modell S8 64GB im Wert von 654€, ein Identitätsdiebstahl und nicht beglichene Schulden, sind die Zutaten für ein 60.000€ Bußgeld der spanischen Aufsichtsbehörde. Der Schuldige in diesem Drama - Xfera Movile, ein spanischer Mobilfunkbetreiber.

Verstöße gegen Privacy by Design und Privacy by Default werden in Griechenland mit 200.000€ bestraft. Begründung; Eine hohe Anzahl von Konsumenten erhielten Marketinganrufe obwohl sich diese auf einer "Do-Not-Call" Liste eingeschrieben hatten. Verantwortlich dafür ein technischer Fehler, ein teurer Fehler wie wir meinen.

Google Analytics steht mal wieder in der Kritik dieses mal bei der Hambunger Aufsichtsbehörde. Die Datenschutzkonferenz (DSK) hat bereits klar gemacht, dass Tracking künftig nicht mehr DSGVO-konform ist ohne eine Einwilligung des Betroffenen. Dazu kommt darüber hinaus das laut Beschwerdeführer rund 20.000 Webseiten Google Analytics nicht nach den Empfehlungen der DSK implementiert haben.

Die UODO (polnische Datenschutzbehörde) verhängt ein Bußgeld von 660.000€ gegen Morele.net. Begründung; Zugriff Unbefugter auf Daten von ca 2,2 Millionen Personen sowie nicht zureichende Technische und Organisatorische Maßnahmen und fehlende Einwilligungen.

Ein medizinisches Ambulatorium ohne Datenschutzbeauftragten oder Datenschutzfolgeabschätzung + weiterer kleiner Mängel ist der DSB 50.000€ wert. Die Argumentation, wonach die Rechtslage in diesen Punkten nicht eindeutig war, wertet die DSB als vorwerfbaren Rechtsirrtum, ein teurer "Irrtum"!

Cookies und der EuGH (Eropäische Gerichtshof). Das Setzen von Tracking-Cookies (zielgerichtete Werbung), bedarf der Zustimmung des Nutzers. Wichtig: Opt-In und nicht in Form von Opt-Out Konstruktionen - dies befindet der EuGH für schlicht unzulässig.

Ja so ein USB-Stick ist zwar klein aber OHO, er kann für ganz schön unangenehme DSGVO-Strafen sorgen.
Vor allem wenn er Personen bezogene Daten enthält, eigentlich der Polizei gehört und auch noch verloren geht. Wenn die Behörde dann auch noch feststellt, dass kaum TOMs etabliert waren ....

Kontroversielles Urteil zum Recht auf Vergessen. Der EuGH spricht; das Recht auf Vergessen verlangt „nur“, dass man innerhalb der EU bzw. in den jeweiligen Ländern für eine Löschung der Daten sorgen muss.
Dem entgegen steht die Entscheidung des EuGH durch die (neuere) Entscheidung bzgl der Löschpflicht für Hasspostings, eingeklagt von Eva Glawischnig-Piesczek. Facebook muss Hasspostings demnach weltweit löschen.

Mal wieder große Unterschiede zwischen Österreich und Deutschland. In Österreich benötigt man nur unter bestimmten Umständen einen Datenschutzbeauftragten, in Deutschland ab 20 Mitarbeitern (sofern diese auch etwas mit der Datenverarbeitung zu tun haben). Ja richtig, Deutschland hat nachgebessert noch vor nicht allzu langer Zeit lag die Grenze noch bei 10 Mitarbeitern.

Fast 200.000€ kann es kosten wenn man Daten nicht löscht, die längst gelöscht werden sollten und man sich nicht so sehr auf das Einhalten von Betroffenenrechten fokkusiert.
Die Delivery Hero Germany GmbH gab als Grund dafür technische Fehlern bzw. Mitarbeiterversehen an. Die Behörde sagt "grundsätzliche, strukturelle Organisationsprobleme".

Kein Angst vor der Data-Breach-Notification zumindest dann nicht, wenn man sein Möglichstes getan hat, vernünftige Technische und Organisatorische Maßnahmen (TOMs) hat. Zumindest wenn Sie in Deutschland melden. In Österreiche sieht das unter Umständen anders aus. Hier kann unter Umständen "alles was Sie sagen gegen Sie verwendet werden!"

Dieses heikle Thema beschäftigte das deutsche Bundesgericht nach Beschwerde eines Betriebsrates. Kurz und Knapp; dass der Widerspruch der schwangeren Arbeitnehmerinnen läuft unter bestimmten Umständen ins leere, wenn, wenn der BR darlegen kann, dass die Kenntnis des Namens der Arbeitnehmerin unerlässlich ist für die Erfüllung der gesetzlichen Verpflichtungen des BR.

16 Millionen Datensätze von Patienten - öffentlich im Internet zugänglich! Größtenteils zwar US-Bürger aber auch Ihre Daten könnte betroffen sein, wenn Sie in letzter Zeit mal ein MRT- oder Röntgenbild benötigten. Besonders heikel, weil es sich hier um so genannte Artikel 9 Daten, welche besonders sensibel zu handhaben sind, handelt. Schuld sind zumeist schlecht gesicherte Bild-Archivierungs-Server.

Der Generalunternehmer/Bauträger gibt die Kontaktdaten der (End-)Kunden an Professionisten weiter. Soweit normal und logisch. Er macht dies zur Abwicklung von Gewährleistungsansprüchen. Nicht ok findet ein Betroffener - doch ok in diesem Fall, sagt die Datenschutzbehörde (DSB). Wichtig die Weitergabe von Daten an Subunternehmer sollte bereits Vertragsbestandteil sein. In Deutschland sieht das wiederum ganz anders aus und ist abhängig vom jeweiligen Bundesland...

Klar ist, dass diese gelöscht werden sobald ein Dienstverhältnis aufgelöst wird. Ist das nicht der Fall geht das deutsche Landesgericht in Hamm von zwei Jahren aus. Das Bundesarbeitsgericht hingegen sagt: HALT, nicht so einfach, jeder konkrete Fall ist gesondert zu entscheiden. Da soll sich noch einer auskennen...

Cookies, so süß und verführerisch sie auch sind, so gefährlich sind Sie nicht nur für die Figur sondern auch für Webseitenbetreiber und in diesem speziellen Fall für Google. Diese begnügen sich in den USA mit diesem Vergleich so wie auch TikTok bereits einen Vergleich anstrebte - jedoch mit schlanken 5,7 Mio $. In Europa gibt es diese Form des Vergleichs nicht, hier gehen Unternehmen gleich mal in die nächste Instanz.

Die deutschen Aufsichtsbehörden haben sich im Juni auf einen gemeinsamen Bußgeldkatalog geeinigt, und sie arbeitet auch bereits mit diesem! Unternehmensumsatz, Schweregrad des Verstoßes (Dauer, Zahl der Betroffenen, Ausmaß des Schadens), Zusammenarbeit mit der Behörde, getroffenen Maßnahmen zur Schadensminimierung und Verschulden fließen in die Kalkulation mit ein. Ordentliche Aufschläge für Wiederholungstäter:
bei mehr als 3 gleichen Verstößen, drohen Aufschläge bis zu 300%...

Facebook gewinnt gegen das deutsche Bundeskartellamt - gegen eine Datenschutzbehörde hätte das anders aussehen können. Aber die für Facebook zuständige sitzt bekanntlich in Irland und ist offenbar nicht so sehr darauf erpicht, sich mit den Geld ins Land bringenden US-Riesen anzufeinden - so wird zumindest mancherorts spekuliert und moniert.

In Österreich wird neugewählt - Ibizza sei Dank - und auch in Deutschland schicken sich drei Landtage an die Sitze neu zu vergeben. Die CDU und auch die Grünen nutzen für Ihren Wahlkampf eine App womit Stimmungsbilder bei Hausbesuchen getrackt werden. Alles im Sinne der Effizienzsteigerung der eigenen Fußtruppen natürlich. Da es sich bei politischer Gesinnung klassisch um besonders sensible (Artikel 9) Daten handelt. Wäre hier zumindest eine Einwilligung notwendig welche jedoch nicht eingeholt wird. Anonymisierung ist natürlich eine Möglichkeit um den Personenbezug aufzulösen, jedoch sollte man darauf achten, dass auch Geolocalisations-Daten unter Umständen dazu genutzt werden können diesen Bezug wieder herzustellen...

Nun, auch die Großen die oftmals scheinend im Rampenlicht stehen erwischt es mal mit den Schattenseiten - dieses mal PWC - aber nicht das PWC wo jetzt einige unserer ehemaligen Kollegen arbeiten und auch wir arbeiten hätten können, nein PWC-Griechenland. Man hat sich offensichtlich nicht mit der unbedingten Freiwilligkeit einer Einwilligung auseinander gesetzt.