126 Mio. Euro als Strafe verhängt (NL 23b/18)

Strafen, jetzt geht`s los! 126 Mio. Euro Strafe verhängt!

Die erste Aufregung hat sich gelegt. Bis zum 25.5. waren alle damit beschäftigt, „irgendwie“ die DSGVO rechtzeitig zu meistern. In vielen Bereichen war unklar, wie die DSGVO korrekt umzusetzen ist. Daher warten nun alle auf Konkretisierungen durch die Datenschutzbehörde DSB bzw. Entscheidungen von Gerichtsseite, die die Auslegung der DSGVO und des österreichischen Datenschutzgesetzes präzisieren werden.

Die Redaktion des IVVA wird daher in den nächsten Monaten sehr aufmerksam die DSB bzw. Gerichtsurteile verfolgen und Ihnen werte Leserin, werter Leser in regelmäßigen Abständen über die Neuheiten berichten. Damit Sie am Letztstand sind und Ihre praktische Handhabung der DSGVO in Ihrem Unternehmen rechtskonform ist und bleibt.

Eine erste Klarstellung durch die DSB liegt bereits vor. Konkret geht es um die Frage, wer eine Datenschutz-Folgenabschätzung durch zu führen hat und wer nicht. Details dazu finden Sie unten anbei.

Rekordstrafe: 126 Millionen!
Aber für Viele noch interessanter, wichtiger ist das Thema der „Strafen“, drohen doch existenzbedrohende Strafen in Millionenhöhe.

Viele beschwichtigten oder dachten, „wird schon so schlimm nicht werden“. Doch vorige Woche wurde bekannt, dass UBER zu einer Rekordstrafe von 126 Mio. Euro verdonnert wurde und diese bereits angenommen hat, weil man befürchtete, dass es noch schlimmer kommen könnte. Wie es zu dieser Strafe kam, was das zugrunde liegende Vergehen war und was wir daraus lernen sollten, erfahren Sie ebenfalls unten anbei.

Vorab möchten wir nochmals auf unsere Rubrik „DSGVO leicht gemacht“ verweisen (hier klicken…) und unseren Kurz-Bericht „5 Praxis-Tipps für den täglichen Umgang mit der DSGVO“ (hier klicken…)

A) Whitelist der Datenschutzbehörde zur Datenschutz-Folgenabschätzung

Da es nach wie vor „viele“ Unklarheiten gibt, wird in den nächsten Monaten die Datenschutzbehörde sogenannte Whitelisten (was ist erlaubt) und Blacklisten (was ist verboten) heraus geben, um den Beaufsichtigten klarere Hinweise für die praktische Umsetzung zu geben.

Eine erste Whitelist betrifft die Frage, wann eine Datenschutz-Folgenabschätzung nötig bzw. nicht nötig ist! Insgesamt wurden 22 Verarbeitungen bzw. Bereich definiert, die keine Folgenabschätzung machen müssen.
Juristisch umgesetzt wurde die Whitelist in Form einer Verordnung der Datenschutzbehörde, diese können Sie hier als PDF näher ansehen und nachlesen, was genau alles unter die Begriffe fällt.

DSB_Whitelist-Datenschutz-Folgenabschaetzung

Für unseren Bereich könnte interessant sein, dass für folgende Datenverarbeitungen KEINE Folgenabschätzung nötig ist(Anmerkung in der Klammer durch die BAV-Redaktion):

DSFA-A01: Kundenverwaltung, Rechnungswesen, Logistik, Buchführung

DSFA-A02: Personalverwaltung für privatrechtliche und öffentlich-rechtliche Dienstverhältnisse (Anmerkung: inkludiert auch Lohn- und Gehaltsverrechnung)

DSFA-A03: Mitgliederverwaltung (inkl. Aufzeichnung von Förderbeiträgen)

DSFA-A04: Kundenbetreuung und Marketing für eigene Zwecke (gilt für eigene und zugekaufte Daten zum Zwecke der Geschäftsanbahnung, Newsletter-Versand, etc.)

DSFA-A05: Sach-und Inventarverwaltung (inkl. Anschaffungskosten, Lieferanten, etc.)

DSFA-A07: Zugriffsverwaltung für EDV-Systeme (inkl. Benutzernamen, Passwörter, Zugriffsprotokollierung, etc.)

DSFA-A08: Zutrittskontrollsysteme (aber nur, wenn keine biometrischen Daten – Fingerabdruck, etc. – verarbeitet werden)

DSFA-A09: Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken – Videoüberwachung! (Achtung: gilt nur für „Örtlichkeiten, über die der Verantwortliche verfügungsbefugt ist“, Speicherdauer max. 72 Stunden, Kennzeichnungspflicht! Nicht im „höchstpersönlichen Lebensbereich von Personen“).

DSFA-A10: Bild-und Akustikdatenverarbeitung in Echtzeit (gemeint ist KEINE Aufzeichnung; Einschränkungen wie bei Punkt 9 beschrieben).

DSFA-A11: Bild-und Akustikverarbeitungen zu Dokumentationszwecken (darf nicht auf identifizierbare Erfassung unbeteiligter Personen abzielen)

 

B) Datenschutz-Rekordstrafe über UBER verhängt

Wie in ausgewählten Medien (Handelsblatt, Die Welt, Der Spiegel) vorige Woche berichtet wurde, hat UBER einer Strafe von 148 Mio. Dollar (umgerechnet rund 126 Mio. Euro) erhalten und einen entsprechenden Vergleich mit New Yorks Generalstaatsanwältin Barbara Underwood akzeptiert.

Uber, ein amerikanischer Fahrdienstvermittler, der auch in Europa unter den Taxi-Gesellschaften für große Aufregung und Bedenken sorgt, wurde Opfer eines Hackerangriffs und hat diesen verschwiegen, anstatt den Angriff zu melden.

Bei dem Angriff sollen Daten von rund 50 Mio. Fahrgästen und 7 Mio. Fahrern betroffen gewesen sein. Doch anstelle die Betroffenen und vor allem die Behörden zu informieren, schwieg Uber und zahlte den Hackern 100.000 Dollar und vertraute darauf, dass diese die Daten vernichten würden.

Neben dieser bislang höchsten Strafe wurden Uber außerdem weitere Pflichten zur Verbesserung der Datensicherheit auferlegt, etwa die Verpflichtung externer Prüfer, schreibt die Zeit.

Was in so einem Fall, im Fach-Jargon Databreach genannt zu tun ist, haben wir auf der IVVA Seite schon vor Monaten beschrieben. Zum Nachlesen hier klicken…

 

Quellen: Handelsblatt, Die Zeit, Der Spiegel