News 22.03.2019 - Die Datenschutzexperten - Seminare zum Datenschutz und zur EU-DSGVO, Bestellung des externen Datenschutzbeauftragten, Gutachten zum Datenschutz

Seit 1998 für Sie da.

Der KEDUA-Datenschutztag 2020

Jetzt neu - Datenschutzfolgenabschätzung

Direkt zum Seiteninhalt

Wann und wie kommt der Brexit?
 

Wie Sie in der Presse verfolgen konnten, wurde das Austrittsabkommen zwischen der EU und Großbritannien vom britischen Parlament in der Vergangenheit mehrfach abgelehnt. Nach den aktuellen Verhandlungen ist der derzeitige Austrittstermin zunächst auf den 12. April 2019 verschoben worden. Doch was passiert, wenn der Austrittstermin ohne ein verbindliches Abkommen erreicht wird? Dann wird aus dem Blickwinkel des Datenschutzes Großbritannien über Nacht als unsicheres Drittland zu betrachten sein.
 
Was ist also zu tun? Zunächst sollte umgehend überprüft werden, ob personenbezogene Daten des Unternehmens nach Großbritannien übermittelt werden bzw. dort verarbeitet werden. Sofern dies der Fall ist, muss ggf. die Verarbeitung –so möglich- angepasst werden. Auf jeden Fall wäre die interne Dokumentation als auch die Information der betroffenen Personen zu aktualisieren.
 
Im Falle des harten Brexits wären dann die EU-Standardsvertragsklauseln (2001/497/EG, 2004/915/EG sowie 2010/87/EU) sicher ein Mittel, die Verarbeitung personenbezogener Daten zu legitimieren. Wichtig in diesem Zusammenhang ist, dass diese Klauseln im Wortlaut nicht verändert werden dürfen, wohl aber in einem umfangreicheren Vertragswerk enthalten sein dürfen. Auch Zusatzvereinbarungen in diesem umfangreicheren Vertragswerk dürfen die Klauseln in Ihrem Sinn nicht aushebeln. In diesem Falle müsste das gesamte Vertragswerk von den nationalen Aufsichtsbehörden genehmigt werden.
 
Wer keine Standardvertragsklauseln übernehmen will, kann unter Umständen die Ausnahmeregelung nach Artikel 49 DSGVO in Anspruch nehmen. Hierbei sind die Anforderungen des Artikels 49 auf die Anwendbarkeit des Verarbeitungsprozesses zu prüfen und entsprechend zu dokumentieren.  
 
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder hat zu diesem Thema am 8. März 2019 einen Beschluss veröffentlicht, diesen finden Sie in unserer Linksammlung.



Bußgelder durch die Aufsichtsbehörden bei Verstößen gegen die DSGVO

Bis jetzt gab es bei Datenschutzverstößen durch Unternehmen nur vereinzelt Maßnahmen der Datenschutzaufsichtsbehörden, welche sich dann in der Regel auf Anweisungen zur Behebung der Datenschutzverstöße beschränkten. Doch die Schonfrist für die Unternehmen scheint sich dem Ende zu nähern. Immer mehr Fälle werden bekannt, in denen die Aufsichtsbehörden auch Geldbußen gem. Art. 83 DSGVO verhängen.

Ein Social Media-Anbieter, welcher die Passwörter seiner Nutzer unverschlüsselt speicherte, sodass diese bei einem Hackerangriff im Klartext erbeutet werden konnten, erhielt von der zuständigen Aufsichtsbehörde ein Bußgeld in Höhe von 20.000 Euro. Nur aufgrund der sofortigen und vollumfänglichen Benachrichtigung aller betroffenen Personen sowie der Zusammenarbeit mit der Aufsichtsbehörde konnte ein höheres Bußgeld verhindert werden.

Ein Unternehmen aus Hamburg erhielt im Dezember 2018 einen Bußgeldbescheid in Höhe von 5000 Euro zuzüglich 250 Euro Gebühren. Grund war ein laut Aufsichtsbehörde gem. Art. 28 DSGVO notwendiger, aber vom Unternehmen nicht abgeschlossener Auftragsverarbeitungsvertrag mit einem Postdienstleister, mangelnde Einsicht hinsichtlich der beiderseitigen Verpflichtung zum Abschluss eines solchen Vertrages und eine Misskommunikation mit der zuständigen Aufsichtsbehörde.

Darüber hinaus erhielt auch Google ein Bußgeldbescheid von der französischen Aufsichtsbehörde CNIL in Höhe von 50 Mio. Euro. Dem Vorausgegangen waren Beschwerden eines Datenschutzaktivisten und einer französischen Nichtregierungsorganisation. Grund für den Bußgeldbescheid war ein Verstoß gegen die Transparenzpflicht gem. Art. 5 Abs. 1 lit. a) DSGVO. Die Informationen zur Verwendung der erhobenen Daten sowie die Speicherzeiträume seien nicht zentral an einem Ort aufzufinden, sondern nur verteilt über mehrere Links und Dokumente zu erreichen und einige Punkte seien darüber hinaus auch nicht eindeutig formuliert. Des Weiteren hat die Aufsichtsbehörde auch die Einwilligungserklärung von Google für die Anzeige personalisierter Werbung beanstandet, da diese die betroffenen Personen nicht in ausreichendem Maße informieren würde.

Dies sind die ersten von den Behörden verhängten Bußgelder und weitere werden folgen. Es zeigt sich, dass die Aufsichtsbehörden ihre anfängliche Zurückhaltung aufgeben und Unternehmen, die die Regelungen der DSGVO noch nicht vollumfänglich umgesetzt haben, in Zukunft vermehrt mit Bußgeldern rechnen müssen.
In der täglichen Arbeit sollten die Datenschutzbeauftragten dies ggf. zum Anlass nehmen und die Thematik der Verschlüsselung nochmals kritisch hinterfragen. Ebenso bietet es sich an, die Prozesse der Auftragsverarbeitung und die in diesem Zusammenhang zugrundeliegenden Verträge zu prüfen.


Facebook: Hunderte Millionen Passwörter im Klartext gespeichert

Die Passwörter von Hunderten Millionen Nutzern von Facebook waren intern im Klartext abgespeichert. Ein Zugriff für zahlreiche Mitarbeiter war somit möglich. Laut eigenen Angaben aus dem Hause Facebook wurde dieser Umstand zwischenzeitlich beseitigt. Betroffen sind Hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen anderer Facebook-Nutzer und Zehntausende Instagram-Nutzer, wie das Unternehmen am gestrigen Tage mitteilte. Die betroffenen Nutzer sollen in den nächsten Tagen von Facebook entsprechend informiert werden.
Für Datenschutzbeauftragte sollte dies noch einmal zum Anlass genommen werden, die eigenen Speicherprozesse im Unternehmen, insbesondere im Hinblick auf die Anforderungen des Art. 32 DSGVO, zu überprüfen und ggf. eine Anpassung zu empfehlen.

Zurück zum Seiteninhalt