Was ist seit Einführung der DSGVO passiert?

Veröffentlicht: 2019-03-21

Am 25. Mai 2018 vor fast zehn Monaten kam die Europäischen Datenschutz -Grundverordnung in Kraft. Nach dem enormen Hype um die Einführung fragt man sich vielleicht, ob die Neuregelung überhaupt Wirkung zeigt. Tatsächlich ist viel passiert, es wurden Bußgelder und Verwarnungen verhängt und viele Klagen eingereicht.

Um Ihnen einen Überblick zu geben, wo datenschutzrechtliche Belange verletzt werden, haben wir Bußgelder, Abmahnungen und anhängige Verfahren auf Grundlage der DSGVO zusammengestellt.

Bußgelder aufgrund der DSGVO

Fall 1: Diebstahl von Nutzerdaten – Deutschland

Die Chat-Plattform „Knuddels“ wurde gehackt und Passwörter, Pseudonyme und E-Mail-Adressen gestohlen, da diese Informationen unverschlüsselt gespeichert wurden. Die unverschlüsselte Speicherung von Daten ist ein unzureichender Schutz personenbezogener Daten. Dies verstößt gegen das von der DSGVO geforderte Prinzip Privacy by Default und Privacy by Design .

Die in diesem Fall verhängte Geldbuße beträgt 20.000 Euro.
Quelle: Diebstahl von Anwenderdaten - Deutschland (deutsch)

Fall 2: Veröffentlichung von Gesundheitsdaten – Deutschland

Vermutlich durch einen unbeabsichtigten Fehler wurden persönliche Gesundheitsdaten online zugänglich. (Zu diesem Fall wurden keine näheren Angaben gemacht.) Auch in diesem Fall wurde das Prinzip Privacy by Default und Privacy by Design verletzt, weil unzureichende Schutzmaßnahmen ergriffen wurden.

Das Bußgeld betrug hier 80.000 Euro.
Quelle: Veröffentlichung von Gesundheitsdaten - Deutsch (G erman)

Fall 3: Fehlende/fehlerhafte Nutzergenehmigung durch Google – Frankreich

Die bisher höchste Geldstrafe wurde gegen Google verhängt. Diese Klage wurde am Tag des Inkrafttretens der DSGVO eingereicht. Im vorliegenden Fall wurde die Geldbuße mit der Verletzung der Informations- und Transparenzpflicht sowie der fehlenden Rechtsgrundlage für die Nutzung personalisierter Werbung begründet.

In diesem Fall beträgt die verhängte Geldbuße 50.000.000 Euro.
Quelle: Googles fehlende Nutzerakzeptanz
Offizielle Mitteilung der CNIL (Französische Datenschutzbehörde)

Insgesamt wurden in Deutschland seit Inkrafttreten der DSGVO 41 Bußgelder in Höhe von 15.000 bis 100.000 Euro verhängt . Die Geldbußen wurden durch eine Reihe von Faktoren gerechtfertigt:

  • mangelhafte technische und organisatorische Maßnahmen eines Hotels getroffen wurden, die nicht ausschließen konnten, dass im Falle eines erpresserischen Hackerangriffs Kreditkarten- oder sonstige Kundendaten aus seinem Buchungssystem preisgegeben worden sein könnten,
  • die Veröffentlichung von Gesundheitsdaten im Internet aufgrund unzureichender interner Kontrollmechanismen,
  • menschliches Versagen: Weitergabe von Gesundheitsdaten an den falschen Patienten durch ein Krankenhaus,-
  • Aufzeichnung aller ausgehenden und eingehenden Rufe bei einer Feuerwehr des Landes Bremen,
  • Weitergabe von Kontoauszügen an Unbefugte beim Online-Banking,
  • inakzeptable Werbe-E-Mails ,
  • unberechtigte Kopie von Kundendaten bei einem Hackerangriff auf einen Webshop,
  • nicht autorisierte Dashcam-Nutzung ,
  • ein offener E-Mail-Verteiler ,
  • Unbefugte Videoüberwachung von Kunden und Mitarbeitern.

In Europa wurden seit Inkrafttreten der DSGVO insgesamt 91 Bußgelder verhängt .

Abmahnungen und Urteile seit Inkrafttreten der DSGVO

Fall 1: Website ohne Verschlüsselung

Das Landgericht Würzburg verbot einer Anwältin unter Androhung einer Geldstrafe von 250.000 Euro die Nutzung ihrer Website ohne Verschlüsselung und ohne ausreichende Datenschutzerklärung.
Quelle: Website ohne Verschlüsselung (Deutsch)

Fall 2: Verwendung der Facebook Custom Audience

Das Bayerische Landesamt für Datenschutz hat einem Onlineshop die Nutzung des „Facebook Custom Audience“ untersagt. Das Urteil wurde vom Verwaltungsgericht und dem Verwaltungsgerichtshof bestätigt. Als Grund wurde hier die Verwendung personenbezogener Daten ohne Einwilligung der Besucher genannt.

Quelle: Nutzung von Facebook Custom Audience

Anhängige Klagen aufgrund der DSGVO

  • Instagram (Belgien): Grund: Unzureichende Informationen und erzwungene, fehlende oder unzureichende Einwilligung.
  • WhatsApp (Hamburg): Grund: Unzureichende Informationen und erzwungene, fehlende oder unzureichende Einwilligung.
  • Facebook (Österreich): Grund: Unzureichende Informationen und erzwungene, fehlende oder unzureichende Einwilligung.
  • Österreich: Die Österreichische Bank berechnet EUR 30 für den Abruf der gespeicherten personenbezogenen Daten eines Kunden zu diesem Kunden. Das Gericht entschied zugunsten der Klägerin, woraufhin die Bank Berufung bei einer Oberinstanz, dem Bundesverwaltungsgericht, einlegte. Grund für die Entscheidung des Gerichts war hier die Verweigerung des Rechts auf unentgeltliche Auskunft über gespeicherte personenbezogene Daten.
  • Europäischer Gerichtshof: Klage gegen die Nutzung des US-EU Privacy Shield (Beispiel Facebook), da die Übermittlungen in die USA nach US-Recht von der NSA abgefangen werden können.
  • Großbritannien und Irland: Google und IAB wurden wegen Real Time Bidding (RTB) in Anzeigen verklagt. Nach Angaben des Klägers teilen RTB-Systeme täglich Hunderte von Milliarden personenbezogener Datenpunkte ohne Zustimmung des Nutzers mit anderen Systemen. Auch sensible Daten wie „Missbrauch, Inzest oder HIV-Status“ werden geteilt. IAB habe nach Angaben des Klägers im Vorfeld gewusst, dass sein System nicht DSGVO-konform sei. Google versucht hingegen, die Pflicht zur Einholung von Einwilligungen der Nutzer an Websites, auf denen die Anzeigen geschaltet werden, weiterzugeben.

Quellen:
https://noyb.eu/
https://mashable.com/article/gdpr-google-iab-complaint-evidence-update/?europe=true

Seit Inkrafttreten der DSGVO wurden den europäischen Datenschutzbehörden mehr als 59.000 Datenlecks gemeldet . Die Länder mit den meisten gemeldeten Datenlecks sind die Niederlande mit 15.400 Datenlecks, Deutschland mit 12.600 und Großbritannien mit 10.600. Zypern mit 35 Meldungen, Island mit 25 und Liechtenstein mit 15 sind die Länder mit den wenigsten Datenlecks.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) hat 40 reichweitenstarke Unternehmenswebsites auf ihre DSGVO-Konformität hinsichtlich Nutzereinwilligung und Dokumentation überprüft . Keine der 40 Unternehmenswebsites hat einen Prozess zur Einholung der Zustimmung des Benutzers und korrekter Benutzerinformationen korrekt implementiert. Auch hier drohen Klagen und Abmahnungen.

Wie Sie sehen, hat sich in den letzten zehn Monaten im Bereich Datenschutz viel getan. Die neue Datenschutzverordnung bietet den Nutzern eine wichtige Rechtsgrundlage zum Schutz ihrer personenbezogenen Daten. Unternehmen sind daher aufgefordert und gut beraten, die neuen Datenschutzvorgaben einzuhalten .

Bitte beachten Sie, dass die DSGVO und die neuen Anforderungen auch für Schweizer Unternehmen gelten, die ihre Dienstleistungen und Produkte EU-Bürgern anbieten.