DSGVO / BLOG

DSGVO.CARE / BLOG

DSGVO / Blog

Der einfühlsamste, etwas humoristische und alles Wichtige auf den Punkt bringende DSGVO-Blog in diesem Universum.


Nein, die Strafen werden euch nicht bezahlt! Aber immerhin die Anwalts- und Prozesskosten bis zu 1 Mio €. Und weil man ja nicht immer gleich alles vor Gericht austragen muss, gibts Mediationskosten bis 10.000 € ebenso ersetzt. Ermöglicht wird das Ganze vom deutschen Start-Up hepster in Kooperation mit der etablierten ROLAND Rechtsschutz-Versicherungs-AG.
Wir halten das für eine gute, weil äußerst überschaubare Investition - vor allem im Vergleich zu den vielen Cyber Seciurity Versicherungen, welche ebenfalls teils als DSGVO-Versicherungen angepriesen werden.

Das Bayrische Oberste Landesgericht entscheidet, dass potentielle Gerichtsverfahren eine pauschale Aufbewahrung personenbezogener Daten rechtfertigen. Die Österreichische Datenschutzbehörde entscheidet dies sei nur in konkreten Verdachtsfällen erlaubt. So what ? Bitte gebt uns endlich die europäische Super-Datenschutzbehörde!

Das macht alles natürlich mal wieder etwas komplizierter. In Österreich würden wir dazu raten, im Bereich des Abgabenrechts vorsichtig zu sein bei der Aufbewahrung von Daten, in anderen Bereichen würden wir - im Moment - dazu tendieren die Daten bis zum Ende der Verjährung aufzubewahren. Nun es könnte auch einfacher Sein - könnte - ist es aber mal weider nicht ;)

Die Deutsche Aufsichtsbehörde hat Google auf dem Kieker. Genauer gesagt: Google Analytics! Die Hamburger Aufsichtsbehörde ließ laut aufhorchen mit ihrer Ansicht, wonach der Einsatz von Google Analytics eine gemeinsame Verantwortung nach Artikel 26 begründet. Hilfe! Was bedeutet das jetzt wieder für uns ? Zunächst einmal gar nichts und zur allgemeinen Entspannung wird geraten. Mittelfristig wird man sehen, mehr Info wie immer im Artikel..

Flupps da geht mal schnell die Krankengeschichte des HIV-Patienten an eine falsche Person. Keiner hats gesehen, alles wird sofort vernichtet (vielleicht) und der Arbeitsalltag geht weiter. Laut Deutschlands Aufsichtsbehörden sind Datenpannen wie diese im Gesundheitswesen flächendeckend verbreitet. Verantwortlich dafür ist nach - Einschätzung der Aufsichtsbehörden - ACHTUNG; nicht das Coronavirus, sondern - und das ist für uns alle jetzt eine große Überraschung - menschliches Versagen. Die Standard-Therapie in so einem Fall, scheint für die Aufsichtsbehörden ein alles andere als homöopathisches Bußgeld zu sein ;)

So eine Patientenverwechslung ist für sich genommen schon mal etwas äußerst unangenehmes, wenn dann - so wie in der Mainzer Universitätsklinik - gleich mehrere Defizite im Bereich der DSGVO-Compliance festgestellt werden, wird es gleich noch sehr viel unangenehmer und vor allem entsprechend teuer. Aufgrund der hoch-sensiblen Art der involvierten Daten im medizinischen Kontext wurde nämlich von der zuständigen Aufsichtsbehörde ein Bußgeld in Höhe von 105.000€ verhängt. Im Vergleich zum Umsatz, könnte man sagen mit einem blauen Auge davon gekommen. So soll das Bußgeld nicht nur als Strafe für den konkreten Verantwortlichen dienen, sondern gleichzeitig auch allgemeine Signalwirkung haben.

Supplements sind im Trend und Teil des eigenen Lifestyles. Doch offenbart der Käufer dieser Produkte - lediglich durch den Einkauf - sensible personenbezogenen Daten? Supplements sowie auch mehr und mehr Medikamente gehen heute mehr und mehr über den Online-Ladentisch. Mit der Frage, ob es sich hierbei um Gesundheitsdaten handeln könnte welche besonderen Schutz und Einwilligungen notwendig machen würden, hat sich vor Kurzem das OLG Naumburg beschäftigt. Unser Fazit: Es kann sich nicht grundsätzlich um Gesundheitsrelevante Daten handeln. So muss der Käufer von Produkt X, nicht automatisch auch der Konsument sein - somit fehlt schlicht der Gesundheitsrelevante Personenbezug.

Wenn es der Ex-Frau möglich ist, die Telefonnummer des Ex-Mannes lediglich mit dessen Namen und dessen Geburtsdatum zu erhalten, dann ist das dem Bundesdatenschutzbeauftragten 9,55 Mio € Bußgeld wert. So die Schilderungen von 1&1.
Die Behörde sieht in dem Fall, dass es „keine hinreichenden technisch-organisatorischen Maßnahmen gegeben habe, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können“

Einerseits die DSGVO, andererseits zahlreiche andere Verpflichtungen, und manchmal kommen sich diese in die Quere. So erging es bestimmt schon zahlreichen Unternehmen. Einander widersprechende Formulierungen sind leider kein Einzelfall und bereiten oftmals Kopfzerbrechen. Wenns um Gesundheitsdaten geht, schrillen bei vielen zum Glück die Alarmglocken. Derzeitige Praxis: Die Daten müssen für eine Prüfung durch das Finanzamt zuvor anonymisiert werden, damit man nicht gegen eine berufliche Schweigepflicht verstößt zum Beispiel!

Wer Grundlos (also ohne Zweck und dazu argumentierbare Löschfrist) Gehaltsabrechnungen, Selbstauskünfte, Arbeitsverträge,... über mehrere Jahre hinweg speichert, der fängt sich - Entsprechenden Umsatz natürlich vorausgesetzt eine Strafe über 14,5 Mio € von der Berliner Datenschutzbeauftragten ein. So Geschehen der Deutschen Wohnen und ein Zeichen dafür dass die Zeit der Mahnungen vorbei ist und der verabschiedete Bußgeldkatalog auch angewendet wird wenn grundsätzliche strukturelle Mängel klar ersichtlich sind.

Google Analytics steht mal wieder in der Kritik dieses mal bei der Hambunger Aufsichtsbehörde. Die Datenschutzkonferenz (DSK) hat bereits klar gemacht, dass Tracking künftig nicht mehr DSGVO-konform ist ohne eine Einwilligung des Betroffenen. Dazu kommt darüber hinaus das laut Beschwerdeführer rund 20.000 Webseiten Google Analytics nicht nach den Empfehlungen der DSK implementiert haben.

Mal wieder große Unterschiede zwischen Österreich und Deutschland. In Österreich benötigt man nur unter bestimmten Umständen einen Datenschutzbeauftragten, in Deutschland ab 20 Mitarbeitern (sofern diese auch etwas mit der Datenverarbeitung zu tun haben). Ja richtig, Deutschland hat nachgebessert noch vor nicht allzu langer Zeit lag die Grenze noch bei 10 Mitarbeitern.

Fast 200.000€ kann es kosten wenn man Daten nicht löscht, die längst gelöscht werden sollten und man sich nicht so sehr auf das Einhalten von Betroffenenrechten fokkusiert.
Die Delivery Hero Germany GmbH gab als Grund dafür technische Fehlern bzw. Mitarbeiterversehen an. Die Behörde sagt "grundsätzliche, strukturelle Organisationsprobleme".

Kein Angst vor der Data-Breach-Notification zumindest dann nicht, wenn man sein Möglichstes getan hat, vernünftige Technische und Organisatorische Maßnahmen (TOMs) hat. Zumindest wenn Sie in Deutschland melden. In Österreiche sieht das unter Umständen anders aus. Hier kann unter Umständen "alles was Sie sagen gegen Sie verwendet werden!"

Dieses heikle Thema beschäftigte das deutsche Bundesgericht nach Beschwerde eines Betriebsrates. Kurz und Knapp; dass der Widerspruch der schwangeren Arbeitnehmerinnen läuft unter bestimmten Umständen ins leere, wenn, wenn der BR darlegen kann, dass die Kenntnis des Namens der Arbeitnehmerin unerlässlich ist für die Erfüllung der gesetzlichen Verpflichtungen des BR.

Der Generalunternehmer/Bauträger gibt die Kontaktdaten der (End-)Kunden an Professionisten weiter. Soweit normal und logisch. Er macht dies zur Abwicklung von Gewährleistungsansprüchen. Nicht ok findet ein Betroffener - doch ok in diesem Fall, sagt die Datenschutzbehörde (DSB). Wichtig die Weitergabe von Daten an Subunternehmer sollte bereits Vertragsbestandteil sein. In Deutschland sieht das wiederum ganz anders aus und ist abhängig vom jeweiligen Bundesland...

Klar ist, dass diese gelöscht werden sobald ein Dienstverhältnis aufgelöst wird. Ist das nicht der Fall geht das deutsche Landesgericht in Hamm von zwei Jahren aus. Das Bundesarbeitsgericht hingegen sagt: HALT, nicht so einfach, jeder konkrete Fall ist gesondert zu entscheiden. Da soll sich noch einer auskennen...

Die deutschen Aufsichtsbehörden haben sich im Juni auf einen gemeinsamen Bußgeldkatalog geeinigt, und sie arbeitet auch bereits mit diesem! Unternehmensumsatz, Schweregrad des Verstoßes (Dauer, Zahl der Betroffenen, Ausmaß des Schadens), Zusammenarbeit mit der Behörde, getroffenen Maßnahmen zur Schadensminimierung und Verschulden fließen in die Kalkulation mit ein. Ordentliche Aufschläge für Wiederholungstäter:
bei mehr als 3 gleichen Verstößen, drohen Aufschläge bis zu 300%...

In Österreich wird neugewählt - Ibizza sei Dank - und auch in Deutschland schicken sich drei Landtage an die Sitze neu zu vergeben. Die CDU und auch die Grünen nutzen für Ihren Wahlkampf eine App womit Stimmungsbilder bei Hausbesuchen getrackt werden. Alles im Sinne der Effizienzsteigerung der eigenen Fußtruppen natürlich. Da es sich bei politischer Gesinnung klassisch um besonders sensible (Artikel 9) Daten handelt. Wäre hier zumindest eine Einwilligung notwendig welche jedoch nicht eingeholt wird. Anonymisierung ist natürlich eine Möglichkeit um den Personenbezug aufzulösen, jedoch sollte man darauf achten, dass auch Geolocalisations-Daten unter Umständen dazu genutzt werden können diesen Bezug wieder herzustellen...