183 Millionen £ – Bislang höchstes DSGVO-Bußgeld verhängt

DSGVO

Die Britische Datenschutzbehörde, das „Information Commissioner’s Office (ICO)„, hat das bisher höchste DSGVO-Bußgeld seit Inkrafttreten der Datenschutzgrundverordnung verhängt: Ein Bußgeldbescheid über insgesamt 183,39 Millionen £ (ca. 204,63 Mio. EUR) wird in der nächsten Zeit gegen die Fluggesellschaft British Airways (BA) verhängt werden, teilte Information Commissioner Elizabeth Denham laut Informationen der BBC mit. Die Fluggesellschaft zeigte sich in einer ersten Stellungnahme „Überrascht und enttäuscht“ und kündigte rechtliche Schritte an.

DSGVO-Bußgeld: Was war geschehen?

Im Juni 2018 wurden Besucher der Webseite der British Airways an eine gleich gestaltete, aber betrügerische Webseite weitergeleitet. Dadurch gelangten die Hacker an personenbezogene Daten von ca. 500.000 BA-Kunden: E-Mail-Adressen, Anmeldedaten, Kredit- und Zahlungskartendaten einschließlich Nummer, Ablaufdatum und CVV-Code, Namen und Adressen. Reisedaten seien von dem Angriff nicht betroffen gewesen.

Laut Stellungnahme der Britischen Datenschutzbehörde waren unzureichende Sicherheitsvorkehrungen und eine nicht dem Stand der Technik entsprechende Webseiten-, bzw. IT-Struktur schuld daran, dass der Angriff überhaupt stattfinden konnte.

„Personenbezogene Daten sind genau das – persönlich. Wenn es einer Organisation nicht gelingt, sie vor Diebstahl, Beschädigung oder Verlust zu schützen, ist das mehr als nur eine Unannehmlichkeit. Und deshalb ist das Gesetz klar: Wenn Ihnen personenbezogene Daten anvertraut sind, müssen Sie auf sie aufpassen. Diejenigen, die das nicht tun, sehen sich einer Untersuchung durch mein Büro ausgesetzt und wir werden überprüfen, ob grundlegende Datenschutzmaßnahmen eingehalten werden.“

Elizabeth Denham, Information Commissioner

Bisherige Bußgelder bei Datenschutzverstößen

Vor Inkrafttreten der Datenschutzgrundverordnung betrug das in Großbritannien maximal mögliche Bußgeld für einen Datenschutzverstoß 500.000 £. Diese Summe wurde bislang lediglich zweimal verhängt – nämlich gegen Facebook wegen des „Cambridge Analytica“-Skandals und gegen das Finanzdienstleistungsunternehmen Equifax.

Seit 25.05.2018, dem Tag des EU-weiten Wirksamwerdens der Datenschutzgrundverordnung, gelten neue und wesentlich verschärfte Bußgeldregeln. Das DSGVO-Bußgeld beträgt nunmehr entweder maximal 20 Mio. EUR oder maximal vier Prozent des Jahresweltumsatzes – je nach dem, welcher Betrag höher ist. Im Falle von British Airways setzte das ICO die Höhe auf 1,5% des Umsatzes fest.

DSGVO-Bußgeld: Situation in Deutschland

In Deutschland sind die Behörden in der Praxis bisher eher zurückhaltend mit der Verhängung von Bußgeldern. Gemäß einer Anfrage der WELT am Sonntag an alle 16 Landesdatenschutzbehörden, die alle außer die Behörden von Thüringen und Mecklenburg-Vorpommern beantwortet haben, wurden im ersten Jahr der Datenschutzgrundverordnung insgesamt 75 Bußgelder verhängt. Die Gesamthöhe betrug 449.000 EUR, also durchschnittlich 6.000 EUR pro Fall. Insgesamt haben die Datenschutzbehörden von sechs Ländern Bußgeldbescheide erlassen: Baden-Württemberg, Berin, Hamburg, Nordrhein-Westfalen, Rheinland-Pfalz und das Saarland. Das höchste DSGVO-Bußgeld hat Baden-Württemberg ausgesprochen, die meisten wurden in Nordrhein-Westfalen verhängt (insgesamt 36).

Diese Daten zeigen, dass sich die Befürchtungen vieler Unternehmen, es werde mit der DSGVO zu einer massiven Zunahme an Bußgeldverfahren und einer spürbaren Erhöhung der Bußgelder kommen, bislang nicht erfüllen. Dies mag einerseits an der zurückhaltenden Behördenpraxis unter Geltung des alten Bundesdatenschutzgesetzes liegen, andererseits an der in vielen Fällen unzureichenden sachlichen und personellen Ausstattung der Datenschutzbehörden. Jedoch sei Unternehmen geraten, Datenschutz und die Einhaltung der DSGVO deshalb nicht auf die leichte Schulter zu nehmen. Die Verwaltungspraxis wird sich im Laufe der Zeit ändern – das Beispiel aus Großbritannien legt das nahe.

Sie benötigen rechtliche Beratung im Bereich des Datenschutzes, suchen einen Datenschutzbeauftragten oder haben einen Bußgeldbescheid erhalten? Kontaktieren Sie uns.

Achtung: Betrugsversuch durch die „Datenschutzauskunft-Zentrale“

Datenschutzgrundverordnung

Die Datenschutzgrundverordnung (DSGVO) löst bei manchem Unternehmer immer noch Unbehagen aus. Die s.g. „Datenschutzauskunft-Zentrale“ aus Oranienburg möchte daraus offenbar Kapital schlagen und verschickt derzeit „eilige FAX-Mitteilungen“. In dieser Mitteilung wird an die Pflicht zur Umsetzung der Vorgaben der europäische Datenschutzgrundverordnung erinnert – und fordert Empfänger des Faxes dazu auf, bis zum 09.10.2018 an eine „EU-weite zentrale Faxstelle“ das angehängte Formular per Fax „gebührenfrei“ zurückzusenden. Hier ist Vorsicht geboten!

Fax von der Datenschutzauskunft-Zentrale

Das uns übermittelte Fax wurde am 01.10.2018 versendet und mit einem „rechtlichen Hinweis“ versehen, der eine rechtzeitige Bearbeitung bis zum 2. Oktober notwendig erscheinen lässt. Die gesamte Aufmachung des Faxes erweckt oberflächlich den Eindruck eines behördlichen Schreibens. Das angehängte Formular fragt dann unter anderem die Branche, die E-Mail-Adresse, die Anzahl der Mitarbeiter und die Internetseite des betroffenen Unternehmens ab und weist abermals auf die Einhaltung der europäischen Datenschutzgrundverordnung hin. In der sogenannten „Leistungsübersicht“ wird der angebotene „Basisdatenschutz“ näher erläutert. Der Preis dieses Basisdatenschutzes wird nebenbei im Fließtext erwähnt und beträgt 498 EUR (!) pro Jahr. Die im Fax in Bezug genommenen AGB sind, wie ein Webauftritt an sich, im Internet nicht auffindbar. Bei diesen Faxen, die offenbar in einer großen Zahl verschickt werden, handelt es sich unserer Ansicht nach um Betrugsversuche.

Masche der Datenschutzauskunft-Zentrale

Dieses Vorgehen ist auch als „Kölner Masche“ bekannt, die sich unter anderem dadurch auszeichnet, dass dem Betroffenen eine möglichst kurze Frist gesetzt wird und die Dokumente in einer schlechten Qualität per Fax versandt werden. Die Absender erhoffen sich dadurch, dass der Betroffene weniger Sorgfalt beim Ausfüllen der vorgelegten Dokumente walten lässt und „einfach unterschreibt“.

Keinesfalls sollten Sie diese Dokumente ausfüllen und an die Datenschutzauskunft-Zentrale zurückschicken. Vielmehr sollte die Kontaktaufnahme mit der Datenschutzauskunft-Zentrale generell vermieden werden. Sofern versucht wird, Sie telefonisch zu erreichen, sollten Sie diesen Anruf nicht entgegennehmen bzw. schnell wieder beenden.

Das uns vorliegende Dokument können Sie hier einsehen.

Sind sie betrogen worden oder haben Fragen zum Datenschutz. Zögern Sie nicht, uns zu kontaktieren!

App Store: Apps nur noch mit eigener Datenschutzerklärung

DSGVO

Entwickler, die zukünftig in Apples App Store iOS-Anwendungen vertreiben wollen, müssen ab Oktober 2018 eine eigene Datenschutzerklärung vorlegen. Apple hat am 30.08.2018 angekündigt, dass ab dem 03.10.2018 nur noch Apps und Updates eingestellt werden dürfen, die über eine eigene Datenschutzerklärung verfügen. Die neuen Anforderungen gelten nicht nur für bereits veröffentlichte Anwendungen, sondern auch für Apps in der Testphase, die mit Apples „TestFlight“ extern getestet werden sollen. Vermutlich will Apple auf diese Weise den Anforderungen der DSGVO gerecht werden und gleichzeitig seinen Ruf als datenschutzfreundliches Unternehmen ausbauen.

Was fordert der App Store?

In den App Store Richtlinien für Entwickler werden die Mindeststandards der verlangten Datenschutzerklärung, bzw. Privacy Policy definiert. Im grunde handelt es sich dabei um die Standards der DSGVO.

Diese Angaben fordert Apple in den Datenschutzerklärungen für Apps aus dem App Store:

  • Die Datenschutzerklärung muss nicht nur im App Store hinterlegt sein, sondern auch einfach in der Anwendung selbst aufrufbar sein.
  • Sie muss Informationen darüber enthalten, welche Daten erhoben werden, wie und zu welchen Zwecken sie erhoben werden.
  • Informationen, ob die Daten an Dritte weitergegeben werden, z.B. Analysewerkzeuge oder Werbenetzwerke und wenn dem so ist, die Versicherung, dass die Dritten gleiche oder höhere Datenschutzstandards einhalten.
  • Die Datenschutzerklärung soll den User auch darüber informieren, wie die Richtlinien zur Datenspeicherung und Löschung ausgestaltet sind.
  • Der User soll darüber informiert werden, welche Möglichkeiten er zur Datenlöschung und Rücknahme von Einwilligungserklärungen hat.

Neben der verpflichtenden Datenschutzerklärung müssen auch noch andere datenschutzrelevante Sachverhalte beachtet werden. So dürfen Apps nur Anwenderdaten erheben, wenn die Einwilligung der Anwender vorliegt. Die App-Entwickler sollen nach dem Grundsatz der Datenminimierung handeln. So hält Apple die Entwicklergemeinde künftig auch dazu an, Apps ohne „Sign-up“-Pflicht bereitzustellen, wenn das Einloggen keinen signifikanten Nutzen bringt.

Apple gewährt Schonfrist

Apps, die bereits jetzt im App Store verfügbar sind, genießen zunächst Bestandsschutz und können weiter vertrieben werden. Sobald jedoch das nächste Update der Software ansteht, muss ein Link zur Datenschutzerklärung implementiert werden.

Haben Sie Fragen oder benötigen eine Beratung zum Datenschutz? Zögern Sie nicht, uns zu kontaktieren!

Vorgehen gegen Beleidigungen über WordPress.com (Automattic Inc.)

Immer wieder werde ich von Unternehmen und Privatpersonen beauftragt gegen Verleumdungen und Beleidigungen und Identitätsdiebstahl im Internet vorzugehen. Das deutsche und europäische Recht bietet Betroffenen gute Möglichkeiten gegen solche Persönlichkeitsrechtsverletzungen effektiv vorzugehen. Auch wenn der Täter anonym bleibt, ist es möglich gegen ihre Serviceprovider vorzugehen – jedenfalls sofern diese in Europa ansässig sind.

Das US amerikanische Unternehmen Automattic Inc. ist ein unrühmliches Beispiel dafür, wie manche außereuropäischen Unternehmen mit den Rechten von Opfern von Verleumdung und Beleidigung umgehen. Automattic Inc. weigert sich regelmäßig deutsche Urteile auf Löschung zu akzeptieren. Bei Verletzung des Persönlichkeitsrechts besteht zudem derzeit kaum eine Möglichkeit die Urteile in den USA anerkennen zu lassen.

Meine Strategie ist es gleichwohl, Urteile gegen Automattic zu erwirken und dann zu gegebener Zeit bei Veranstaltungen von Automattic Inc. in Europa sowie ggf. gegen seine Mitarbeiter vollstrecken zu lassen. Erst kürzlich konnte ich einen beachtlichen Teilerfolg erringen, da Automattic Inc. in Wien einen großen Kongress veranstaltete. Für gerichtliche Auseinandersetzungen mit dem US-Unternehmen ist es daher von größter Bedeutung die handelnden Personen und Hintermänner zu kennen. Dazu gehören zum heutigen Tage beispielsweise Chris Taylor, Joel Bronkowski, Matt Nullenweg, Paul Sieminski oder Stuart West.

Mein Ziel ist es insgesamt den Druck unter Ausnutzung aller zur Verfügung stehenden legalen Mittel derart zu erhöhen, dass Automattic die wirtschaftliche Tätigkeit in Europa mittelfristig derart erschwert wird, dass man dort nicht umhin kommen wird, europäisches Recht zu respektieren.

Wenn Sie Opfer von Verleumdungen, Beleidigungen oder Identitätsdiebstahl auf Seiten von WordPress.com sind, vertrete ich Sie gerne. Jede Beauftragung wird den Druck auf Automattic Inc. erhöhen und ist ein Beitrag zur Durchsetzung von deutschem und europäischem Persönlichkeitsrechtsschutz im Internet.

vA-KfB engl-urteil

Keine Veröffentlichung privater Facebook-Nachrichten

Laut Beschluss des OLG Hamburg (Az.: 7 W 5/13) ist es grundsätzlich nicht gestattet, private Facebook-Nachrichten der Öffentlichkeit zugängig zu machen.

Ein Mann wurde verklagt, weil er eine für ihn bestimmte private Nachricht veröffentlicht und für jedermann zugängig gemacht hatte. Der Absender sah sich in seinem Allgemeinen Persönlichkeitsrecht verletzt und erhob Klage.

Vor dem OLG Hamburg bekam er Recht.

Eine private Nachricht, die nicht zur Veröffentlichung bestimmt ist, verstoße gegen Art. 2 I GG:

 (1) Jeder hat das Recht auf die freie Entfaltung seiner Persönlichkeit, soweit er nicht die Rechte anderer verletzt und nicht gegen die verfassungsmäßige Ordnung oder das Sittengesetz verstößt. …

Anders sei es nur, wenn ein berechtigtes Interesse an der Veröffentlichung bestehe, etwa der Absender eine Person des öffentlichen Lebens sei oder der Inhalt von besonderem Interesse für die Öffentlichkeit sei.

Vorliegend sei dies aber nicht der Fall. Insbesondere wiegt die Verletzung des Persönlichkeitsrechts schwerer, da im Schreiben zahlreiche Rechtsschreibfehler zu finden seien.


Tags : ,


Wenn Sie diesen Beitrag interessant fanden, können Sie einen Kommentar hinterlassen oder unseren Newsfeed kostenlos abonnieren.

Hier können Sie den Beitrag kommentieren.

Vorratsdatenspeicherung insgesamt verfassungswidrig und nichtig

Das Bundesverfassungsgericht hat mit Urteil vom 02.03.2010 (1 BvR 256/08; 1 BvR 263/08; 1 BvR 586/08) die umstrittene Vorratsdatenspeicherung für verfassungswidrig erklärt. Bei der Speicherung, wie sie Deutschland durchführe, handele es sich um einen besonders schweren Eingriff mit einer Streubreite, wie sie die Rechtsordnung bisher nicht kennt. Die Daten ließen Rückschlüsse zu, die bis in die Intimsphäre reichten. In ihrer Kombination lasse die Datensammlung Aussagen über gesellschaftlichen oder politischen Zugehörigkeiten sowie persönlichen Vorlieben, Neigungen und Schwächen zu. Je nach Nutzung der Telekommunikation könne eine solche Speicherung die Erstellung aussagekräftiger Persönlichkeits- und Bewegungsprofile praktisch jeden Bürgers ermöglichen. Auch steige das Risiko von Bürgern, weiteren Ermittlungen ausgesetzt zu werden, ohne selbst hierzu Anlass gegeben zu haben. Darüber hinaus bestünden verschärfte Missbrauchsmöglichkeiten, zumal die Speicherung und Datenverwendung vom Betroffenen nicht bemerkt werde. Die anlasslose Speicherung von
Telekommunikationsverkehrsdaten sei zudem geeignet, ein diffus bedrohliches Gefühl des Beobachtetseins hervorzurufen, das eine unbefangene Wahrnehmung der Grundrechte in vielen Bereichen beeinträchtigen könne.

Das Urteil kann im Volltext abgerufen werden unter: http://www.bundesverfassungsgericht.de/entscheidungen/rs20100302_1bvr025608.html

BVerfG zur Sicherstellung von E-Mails beim Provider

Beschluss des Bundesverfassungsgerichts vom 16.09.2009 zur Sicherstellung von E-Mails beim Provider (Az. 2 BvR 902/06). Im konkreten Fall handelte es sich um ein IMAP Postfach.

Die Sicherstellung und Beschlagnahme von E-Mails auf dem Mailserver des Providers sind am Grundrecht auf Gewährleistung des Fernmeldegeheimnisses aus Art. 10 Abs. 1 GG zu messen. §§ 94 ff. StPO genügen den verfassungsrechtlichen Anforderungen, die an eine gesetzliche Ermächtigung für solche Eingriffe in das Fernmeldegeheimnis zu stellen sind (amtlicher Leitsatz).

„BVerfG zur Sicherstellung von E-Mails beim Provider“ weiterlesen

LG Kiel schränkt Privatermittlung gegen Filesharer ein

Noch vor gar nicht so langer Zeit gab es bei der Verfolgung von Filesharern durch die Musikindustrie immer das gleiche Muster: Der Rechteinhaber ermittelte selber oder mit Hilfe von spezialisierten Dienstleistern die IP-Adressen, von denen Urheberrechtsverletzungen ausgingen. Im zweiten Schritt wurde eine Strafanzeige gegen Unbekannt gestellt, woraufhin die Staatsanwaltschaft den hinter der IP-Adresse stehenden Anschlussinhaber ermittelt hat. Anschließend nahm der Rechteinhaber Akteneinsicht und erfuhr auf diese Weise, wer hinter der IP-Adresse steht. Nun hat der Rechteinhaber zivilrechtliche Schritte gegen den Anschlussinhaber einleiten können, also Schadensersatz- und Unterlassungsansprüche geltend machen können. Die Strafverfahren der Staatsanwaltschaft wurden dagegen regelmäßig wegen Geringfügigkeit eingestellt.

„LG Kiel schränkt Privatermittlung gegen Filesharer ein“ weiterlesen

Veröffentlichung von Agrarsubventionen

Im Juni 2009 sorgte der Freistaat Bayern für Aufsehen, indem er die Veröffentlichung von Daten der Empfänger landwirtschaftlicher Subventionen, die allein für Deutschland jährlich rund 5,4 Mrd. EUR schwer sind, verweigerte und damit ein Vertragsverletzungsverfahren der Europäischen Gemeinschaft provozierte. Kurz zuvor hatte auch die zuständige Bundesministerin, Ilse Aigner, den Ländern zu einer Verweigerungshaltung geraten. Hintergrund der Auseinandersetzung sind die Regelungen der Europäischen Gemeinschaft zur Haushaltsführung und jene hinsichtlich der gemeinsamen Agrarpolitik, die seit 2008 eine Veröffentlichung per Verordnungen des Rates und der Kommission vorschreiben. Zur Durchführung dieser Regelungen hat der Deutsche Bundestag ein Durchführungsgesetz verabschiedet und die zuständige Bundesministerin eine entsprechende Verordnung erlassen, die bereits einmal geändert wurde.

Volltext Gutachten: [download id=“1699″]

Abfrage von Kreditkartendateien

Das BVerfG hat mit Beschluss vom 17.02.2009 (Az. 2 BvR 1372, 1745/07) die Verfassungsbeschwerden gegen die Kreditdatenabfrage der Staatsanwaltschaft Halle nicht zur Entscheidung angenommen. 2006 hatte die Ermittlungsbehörde bei verschiedenen Banken nach Kreditkartendaten angefragt, die Zahlungen von 79,99$ an eine philipinische Bank enthielten und bei denen ein Zusammenhang mit kinderpornographischen Webseiten vermutet wurde. In fast allen Fällen übermittelten die Banken bereitwillig die angeforderten Daten, so dass insgesamt 322 Karteninhaber ermittelt wurden. Amts- und Landgericht sahen im Vorgehen der Behörde eine „formlose Zeugenvernehmung der Mitarbeiter der Kreditkartenunternehmen“, die ihre Rechtsgrundlage in §§ 161, 161a StPO finde.

„Abfrage von Kreditkartendateien“ weiterlesen