Datenschutzbeauftragte Bremen verhängt Bußgeld nach DSGVO gegen Wohnungsbaugesellschaft
Am 3.3.2022 hat die Landesbeauftragte für Datenschutz und Informationsfreiheit (LfDI) Bremen als datenschutzrechtliche Aufsichtsbehörde die BREBAU GmbH mit einer Geldbuße nach Artikel 83 DSGVO belegt.
Die BREBAU GmbH hat mehr als 9.500 Daten über Mietinteressent:innen verarbeitet, ohne dass es hierfür eine Rechtsgrundlage gab. Beispielsweise Informationen über Haarfrisuren, den Körpergeruch und das persönliche Auftreten sind für den Abschluss von Mietverhältnissen nicht erforderlich. Bei mehr als der Hälfte der Fälle handelte es sich darüber hinaus um Daten, die nach der DSGVO besonders geschützt sind. Rechtswidrig verarbeitet wurden auch Informationen über die Hautfarbe, die ethnische Herkunft, die Religionszugehörigkeit, die sexuelle Orientierung und über den Gesundheitszustand.
Auch hat die BREBAU GmbH Anträge Betroffener auf Transparenz über die Verarbeitung ihrer Daten bewusst konterkariert.
Die nach Artikel 83 DSGVO verhängte Geldbuße beläuft sich auf rund 1,9 Millionen Euro. Der außerordentlichen Tiefe der Verletzung des Grundrechts auf Datenschutz wäre eine deutlich höhere Geldbuße angemessen gewesen. Weil die BREBAU GmbH im datenschutzrechtlichen Aufsichtsverfahren umfassend kooperierte, sich um Schadensminderung, eigene Aufklärung des Sachverhalts und darum bemühte, dass entsprechende Verstöße sich nicht wiederholen, konnte die Höhe der Geldbuße erheblich reduziert werden.
Praxishinweis: Der Fall zeigt, dass generell der Grundsatz der Datensparsamkeit zu berücksichtigen ist. Außerdem ist stets eine Rechtsgrundlage erforderlich, wenn personenbezogene Daten erhoben werden!
Geschäftsführer haften persönlich für Verstöße der GmbH im Datenschutz
Das OLG Dresden hat mit seinem Urteil vom 30.11.2021 entschieden, dass der Geschäftsführer einer GmbH neben der Gesellschaft „Verantwortlicher“ im Sinne der DSGVO ist. Als Gesamtschuldner mit der GmbH wurde er zur Zahlung eines Schadensersatzes in Höhe von 5000,- € verurteilt.
Das OLG ging in seiner Entscheidung davon aus, dass der Geschäftsführer neben der Gesellschaft auch als selbstständig datenschutzrechtlich Verantwortlicher anzusehen ist. Aus diesem Grunde hafte er auch persönlich für den datenschutzrechtlichen Verstoß.
Das OLG sieht den Geschäftsführer als verantwortlich im Sinne von Art. 4 Nr. 7 DS-GVO an, denn Anknüpfungspunkt für einen Anspruch aus Art. 82 Abs. 1 DS-GVO ist zunächst die „Verantwortlichkeit“. Diese ist immer dann zu bejahen, wenn eine natürliche oder juristische Person alleine oder gemeinsam mit anderen über die Zwecke und die Mittel der Verarbeitung von personenbezogenen Daten entscheiden kann und entscheidet. Damit entfällt zwar in aller Regel die Verantwortlichkeit weisungsgebundener Angestellter oder sonstiger Beschäftigter, für den Geschäftsführer gilt dies allerdings nicht.
Im Rahmen der vorzunehmenden Schadensschätzung sind auchbei Art. 82 DS-GVO allgemein die Art, Schwere, Dauer des Verstoßes, Grad des Verschuldens, Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens, frühere einschlägige Verstöße sowie die Kategorien der betroffenen personenbezogenen Daten in die Erwägung mit einzubeziehen.
Nach Erwägungsgrund Nr. 146 der DS-GVO soll der Begriff des Schadens im Lichte der Rechtsprechung des EuGHs weit und auf eine Art und Weise ausgelegt werden, „die den Zielen dieser Verordnung in vollem Umfang entspricht“.
Danach kam das OLG zum Betrag von 5000,-€, der keinen Strafcharakter haben muss.
Praxishinweis: Der GmbH-Geschäftsführer haftet im Datenschutzrecht als verantwortliche Stelle. Vermeiden Sie offensichtliche Haftungsfälle durch entsprechende Beratung.
FAQ zur Orientierungshilfe Telemedien der Aufsichtsbehörden
Der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg hat mit Stand März 2022 eine Liste mit FAQ rund um das Thema Cookies und Tracking durch Betreiber von Webseiten und Hersteller von Smartphone-Apps veröffentlicht. Einleitend weist er darauf hin, dass Betreiber von Webseiten oder Hersteller von Apps für mobile Endgeräte (z.B. Smartphone, Tablet) als Verantwortliche sicherstellen müssen, dass bei der Verarbeitung personenbezogener Daten alle Vorgaben der DS-GVO eingehalten werden. Sie sind zugleich Anbieter von Telemediendiensten nach dem Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG, hier: § 2 Abs. 2 Nr. 1). Das TTDSG regelt seit dem 1.12.2021 die Nutzung von Cookies und ähnlichen Technologien zum Ablegen oder Auslesen von Informationen auf den Systemen. Solche Technologien werden häufig zur Wiedererkennung von Nutzenden verwendet und sind inzwischen sehr weit verbreitet.
Die Datenschutzkonferenz (DSK) hatte im Dezember 2021 mit der „Orientierungshilfe der Aufsichtsbehörden für die Anbieter:innen von Telemedien (OH Telemedien 2021)“ rechtliche und technische Erläuterungen zur Anwendung der DS-GVO und des TTDSG gegeben.
Mit der FAQ des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg sollen diese Ausführungen unter Einbeziehung konkreter Anwendungsfälle praxisorientiert ergänzt werden.
Er erklärt dabei, dass sich die FAQ im Wesentlichen auf Webseiten bezieht, sinngemäß aber auch für sonstige Telemedien wie Smartphone- und Tablet-Apps, PC-Software oder Geräte aus dem Bereich des Internets der Dinge (Internet of Things, IoT) wie vernetzte Küchengeräte, Lampen, Steuergeräte für Heizungen, Alarmsysteme, Smart-TVs oder vernetzte Fahrzeuge, wenn und soweit diese über entsprechende Kommunikationsfunktionen verfügen, gilt.
Im ersten Abschnitt A werden häufige Fragen in Bezug auf Cookies und Tracking beantwortet. Danach wird ein Überblick zu möglichen datenschutzfreundlicheren Lösungen bei der Einbindung von (Medien-) Inhalten und zur sog. Reichweitenanalyse gegeben. Weiterhin enthält dieses Dokument Hinweise dazu, welche Bedingungeneingehalten werden müssen, wenn Verantwortliche – also die Betreiber von Websites, Apps oder anderen Telemediendiensten – sich dazu entscheiden, Verarbeitungen oder Techniken zu nutzen, die Einwilligungen erfordern. Anschließend wird in den Abschnitten B und C anhand von typischen, in der Prüfpraxis häufig auftretenden Standardfehlern dargestellt, wie eine Umsetzung in der Praxis nicht erfolgen darf.
Weitere Informationen sind der Orientierungshilfe (OH Telemedien 2021) zu entnehmen.
Diese FAQ ersetzt die FAQ zu Cookies und Tracking in Version 1.0.1 vom 29. April 2019 unter www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2019/04/FAQ-zu-Coo-kies-und-Tracking.pdf vollständig.
[Quelle: PM Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg vom 4.3.2022]
Praxishinweis: Die Regelungen des am 1.12.2021 in Kraft getretenen TTDSG in Bezug auf Cookies und wirksame Einwilligungen tragen u.a. der Rechtsprechung des EuGHs und des BGHs Rechnung. Für alle nicht zum Seitenbetrieb erforderlichen Cookies muss eine aktive Einwilligung eingeholt werden.
Gesetzentwurf zum Schutz vor digitalem Hausfriedensbruch
Der Bundesrat möchte Computer und IT-Systeme besser vor Hackerangriffen und unbefugter Benutzung schützen. Am 11. März 2022 beschloss er, einen Gesetzentwurf zur wirksameren Bekämpfung von Cyberkriminalität erneut in den Deutschen Bundestag einzubringen.
Neuer eigener Straftatbestand
Der Entwurf enthält einen ganz neuen Straftatbestand: Den "digitalen Hausfriedensbruch". Die Vorschrift stellt den unerlaubten Zugriff auf fremde Computer, Smartphones, Webcams und Navigationssysteme mit einem Freiheitsentzug von bis zu zehn Jahren unter Strafe. Die Regelung ist bewusst technikoffen formuliert, um sie auch in Zukunft gut handhaben zu können. Ziel ist ein lückenloser strafrechtlicher Schutz aller Systeme und die Strafbarkeit nahezu aller Angriffsarten.
Vernetzter Alltag birgt Gefahren
Die bestehenden Strafvorschriften sind nach Ansicht der Länder nicht geeignet, die modernen Erscheinungsformen der Kriminalität in der digitalen Welt zu erfassen. So werden derzeit nur Daten geschützt, nicht aber IT-Systeme selbst. Gegen die massenhaften unbemerkten Infiltrationen durch Botnetze und Schadsoftware, DDos-Attacken und das Ausspähen von Daten durch international agierende Cyber-Kriminelle können sich selbst aufmerksamste Nutzer nicht wehren. So geht die Entwurfsbegründung davon aus, dass bis zu 40 Prozent aller internetfähigen informationstechnischen Systeme in Deutschland mit Schadsoftware verseucht sind. Die neue Strafvorschrift soll vor allem auch Bürgerinnen und Bürger schützen, die keine Technik-Experten sind.
Nach wie vor Handlungsbedarf
Der Entwurf entspricht wortgleich einem Vorschlag, den der Bundesrat 2016 und 2018 schon einmal in den Bundestag eingebracht hatte (338/16 (B) [PDF, 115KB]). Weil dieser ihn beide Male nicht aufgegriffen hat, fiel er jeweils mit Ende der Legislaturperiode in die Diskontinuität. Der Bundesrat hält jedoch an seiner Forderung fest und bringt seinen Gesetzentwurf nun zum dritten Mal in den Bundestag ein.
Zeitplan noch nicht absehbar
Zunächst befasst sich die Bundesregierung mit dem Vorschlag. Sie leitet ihn innerhalb von sechs Wochen an den Bundestag zur Entscheidung weiter. Wann dieser über den Gesetzentwurf berät, ist noch nicht absehbar: Es gibt keine festen Fristvorgaben.
[Quelle: Pressemitteilung des BR v. 11.03.2022]
Datenschutz zum Feierabend – Save the Date
Wir bieten Ihnen am 12.05.2022 das nächste "Datenschutz-Update", um Sie kurz und knackig über aktuelle Neuerungen auf dem Laufenden zu halten.
In unserer Online-Reihe "Datenschutz zum Feierabend" sind wir regelmäßig zur besten Nachmittagszeit im Gespräch mit Ihnen und unserem erfahrenen Expertenteam.
Nach den erfolgreichen Veranstaltungen wird unser Experte Christopher Pröpper am 12. Mai 2022 pünktlich um 16.00 Uhr das nächste aktuelle Thema für Sie aufbereiten.
Nutzen Sie diese Gelegenheit, um Praxistipps für Ihren Arbeitsalltag mitzunehmen!
Eckdaten der Veranstaltung:
- Termin: Donnerstag, 12. Mai2022, 16.00 Uhr bis ca. 16.45 Uhr
- ab 15.50 Uhr: Eintreten in den virtuellen Veranstaltungsraum (via ZOOM)
- Begrüßung durch unseren Experten Christopher Pröpper - Wirtschaftsjurist und zertifizierter Datenschutzbeauftragter
- Kurzvortrag und Fragerunde zu datenschutzrechtlichen Themen und Diskussion
Die Einladung erhalten Sie rechtzeitig!
Die Präsentation der letzten Veranstaltung " Auskunftsanspruch im Datenschutz – Das müssen Unternehmen wissen!" finden Sie hier:
>> Präsentation 3. März 2022 <<
Datenschutz: Schulung Ihrer Mitarbeiter mit AGAD E-Learning
Nachdem unser erstes Modul "Grundlagen im Datenschutzrecht" von den Unternehmen durchweg positiv angenommen wurde, haben wir bekanntlich ein Ergänzungsmodul erarbeitet. Das „Vertiefungsmodul I“ bildet einen Querschnitt der Bereiche, die immer noch die größte Rechtsunsicherheit im täglichen Umgang mit personenbezogenen Daten bereiten.
Dieses erste Vertiefungsmodul behandelt Fragen zum Marketing und der Erhebung von Kundendaten Es soll die Mitarbeiter auf die Notwendigkeit der unverzüglichen Meldung von Datenzwischenfällen und die zügige Reaktion auf Auskunftsersuchen sensibilisieren.
Am bewährten Ablauf hat sich nichts geändert: Der Mitarbeiter absolviert einen Multiple Choice Test, der abhängig vom Wissensstand ungefähr 20-30 Minuten Zeit in Anspruch nimmt.
Nach erfolgreichem Bestehen wird ein Zertifikat generiert, welches in die Personalakte des Mitarbeiters genommen werden kann und als Schulungsnachweis dient.
Das Ergänzungsmodul steht in Kürze zur Verfügung und kann zu den bekannten Konditionen gebucht werden. Sprechen Sie uns an!
Zurück
