Digital Compliance | DSGVO

Was ist passiert seit der Einführung der DSGVO?

Am 25.Mai 2018, also vor knapp zehn Monaten wurde die Europäische Datenschutzgrundverordnung eingeführt. Nach dem grossen Wirbel, den die Einführung verursacht hat, fragen Sie sich wahrscheinlich auch, ob die DSGVO überhaupt etwas bewirkt hat.

Es ist in der Tat einiges passiert, es wurden Bussgelder und Abmahnungen verhängt und viele Klagen eingereicht.

Um Ihnen einen Überblick zu geben, wo Datenschutzthemen verletzt werden, haben wir im folgenden Bussen, Abmahnungen und hängige Klagen zusammengetragen, die auf der DSGVO basieren.

Verhängte Bussen aufgrund der DSGVO

Fall 1: Diebstahl von Nutzerdaten – Deutschland

Bei einem Hacker-Angriff auf die Chat-Plattform “Knuddels” wurden Passwörter, Pseudonyme und E-Mail-Adressen gestohlen, die unverschlüsselt gespeichert wurden.
Diese unverschlüsselte Speicherung der Daten stellt eine ungenügende Schutzmassnahme von persönlichen Daten dar. Der in der DSGVO geforderte Grundsatz des Privacy by Default und Privacy by Design wurde verletzt.

Das verhängte Bussgeld beträgt in diesem Fall 20’000 Euro.
Quelle: Diebstahl von Nutzerdaten – Deutschland

Fall 2: Veröffentlichung von Gesundheitsdaten – Deutschland

Vermutlich durch ein Versehen wurden persönliche Gesundheitsdaten online einsehbar. (Weitere Details wurden zu diesem Fall nicht bekannt gegeben.)
Auch hier handelt es sich um eine Verletzung des Grundsatzes des Privacy by Default und Privacy by Design und es wurden ungenügende Schutzmassnahmen getroffen.

Das Bussgeld beträgt in diesem Fall 80’000 Euro.
Quelle: Veröffentlichung von Gesundheitsdaten – Deutschland

Fall 3: Googles fehlende/fehlerhafte Nutzer-Zustimmung – Frankreich

Das bisher höchste Bussgeld wurde von Google eingefordert. Die Klage dazu wurde am Tag eingereicht, als die DSGVO in Kraft getreten ist.
In diesem Fall wurde die Busse mit der Verletzung der Pflicht zur Information und Transparenz begründet und der fehlenden rechtlichen Basis um personalisierte Werbung zu verarbeiten.

Das gesprochene Bussgeld beträgt in diesem Fall 50‘000‘000 Euro.
Quelle: Googles fehlende Nutzer-Zustimmung
Offizielle Mitteilung des CNIL (Französische Datenschutzbehörde)

Gesamthaft sind in Deutschland seit Inkrafttreten der DSGVO 41 Bussgelder verhängt worden in Höhe von 15‘000 bis 100‘000 Euro. Begründet wurden die Bussen mit:

  • unzureichenden technischen und organisatorische Massnahmen eines Hotels, durch die nicht ausgeschlossen werden konnte, dass bei einem erpresserischen Hackerangriff Kreditkarten- oder andere Kundendaten aus seinem Buchungssystem offenbart wurden,
  • der Veröffentlichung von Gesundheitsdaten im Internet aufgrund unzureichender interner Kontrollmechanismen,
  • menschlichen Fehlern: Offenlegung von Gesundheitsdaten an den falschen Patienten durch ein Krankenhaus,
  • Aufzeichnung sämtlicher ausgehender und eingehender Anrufe bei einer Feuerwehr des Landes Bremen,
  • Offenlegung von Kontoauszügen an Unbefugte beim Online-Banking,
  • unzulässigen Werbe-E-Mails,
  • unbefugter Kopie von Kundendaten bei einem Hackerangriff auf einen Webshop,
  • unzulässiger Dashcam-Nutzung,
  • einem offenen E-Mail-Verteiler,
  • unzulässiger Videoüberwachung von Kunden und Arbeitnehmern.

In Europa wurden seit dem Inkrafttreten der DSGVO total 91 Bussen ausgesprochen.

Abmahnungen und Urteile seit Inkrafttreten der DSGVO

Fall 1: Webseite ohne Verschlüsselung

Das Landgericht Würzburg verbietet einer Anwältin unter Androhung von 250‘000 Euro Ordnungsgeld das Betreiben ihrer Webseite ohne Verschlüsselung und ohne ausreichende Datenschutzerklärung.
Quelle: Webseite ohne Verschlüsselung

Fall 2: Nutzung der “Facebook Custom Audience”

Das Bayerische Landesamt für Datenschutz untersagt einem Online-Shop die Nutzung der „Facebook Custom Audience“. Das Urteil wurde vom Verwaltungsgericht und vom Verwaltungsgerichtshof bestätigt.

Als Grund wurde hier die Nutzung von persönlichen Daten ohne Einwilligung der Besucher angegeben.
Quelle: Nutzung Facebook Custom Audience

Hängige Klagen aufgrund der DSGVO

  • Instagram (Belgien): Grund: Ungenügende Information, erzwungene, fehlende/unzureichende Zustimmung.
  • WhatsApp (Hamburg): Grund: Ungenügende Information, erzwungene, fehlende/unzureichende Zustimmung.
  • Facebook (Österreich): Grund: Ungenügende Information, erzwungene, fehlende/unzureichende Zustimmung.
  • Österreich: Die Österreichische Bank verlangt EUR 30 für die Herausgabe der gespeicherten persönlichen Daten eines Kunden. Die erste Instanz gab dem Kläger Recht, worauf die Bank das Urteil an die nächste Instanz, das Bundesverwaltungsgericht, weitergezogen hat.
    Als Begründung wurde hier die Verweigerung des Rechts auf kostenlose Herausgabe der gespeicherten persönlichen Daten genannt.
  • Europäischer Gerichtshof: Klage gegen die Nutzung des US-EU Privacy Shield (Beispiel Facebook), da die Transfers in die USA nach US Gesetz durch die NSA abgehört werden können.
  • UK und Irland: Klage gegen Google und IAB aufgrund von Real Time Bidding (RTB) bei Werbeanzeigen. Die RTB-Systeme teilen gemäss Kläger jeden Tag hunderte Milliarden von persönlichen Daten mit anderen Systemen ohne Zustimmung des Nutzers. Sogar Kategorien besonders schützenswerter Daten wie „Missbrauch, Inzest oder HIV Status“ werden geteilt. Gemäss Kläger wusste die IAB im Voraus, dass ihr System nicht DSGVO-konform ist. Google hingegen versucht die Pflicht für die Einholung der Nutzer-Zustimmung auf die Webseiten abzuwälzen, die die Werbeanzeigen einblenden.

Quellen:
https://noyb.eu/
https://mashable.com/article/gdpr-google-iab-complaint-evidence-update/?europe=true

Seit Inkrafttreten der DSGVO wurden den europäischen Datenschutzbehörden zudem über 59‘000 Datenlecks gemeldet. Spitzenreiter ist dabei Holland mit 15‘400, Deutschland mit 12‘600 und Grossbritannien mit 10‘600 gemeldeten Datenlecks. Das Schlusslicht bilden Zypern mit 35 Meldungen, Island mit 25 und Liechtenstein mit 15 Meldungen.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat 40 Webseiten mit sehr grosser Reichweite auf die DSGVO-konforme Einholung der Zustimmung und Dokumentation geprüft. Dabei hat keine der 40 Unternehmens-Webseiten die Einholung der Nutzer-Zustimmung und die korrekte Nutzer-Information richtig umgesetzt. Auch hier drohen Klagen und Abmahnungen.

Sie sehen also, dass sich im Datenschutz in den letzten zehn Monaten einiges getan hat. Die DSGVO stellt eine wichtige gesetzliche Grundlage für die Nutzer bereit, den Schutz ihrer persönlichen Daten einzufordern.

Unternehmen sind also gefordert und gut darin beraten, sich an die Vorgaben der DSGVO zu halten.

Dies gilt auch für Schweizer Unternehmen, denn bei einem Angebot, das auch von EU-Bürgern genutzt werden kann, gilt die DSGVO auch für Schweizer Anbieter.