DSGVO: Was wurde gerne bestraft? (NL 17/21)

Zuletzt gaben wir einen Rückblick auf „3-Jahre-DSGVO“, lieferten Ihnen eine kleine Checkliste „Das kleine 1×1“ zum Prüfen, ob das Wichtigste der DSGVO in Ihrem Unternehmen erfüllt wurde (falls Ja, bitte prüfen, ob alles noch aktuell ist). Zum Nachlesen hier klicken…

Und berichteten, dass neben den hohen Strafen, Image-Verlust künftig eine neue Gefahr bei Verletzungen der DSGVO droht, nämlich Schadenersatzklagen (das deutsche Verfassungsgericht hat dazu eine „positive“ Entscheidung getroffen). Zum Nachlesen hier klicken…

RA Mag. Stephan Novotny, Foto: Stephan Huger


Heute sehen wir uns an, welche Vergehen von den unterschiedlichen Datenschutzbehörden „gerne“ bestraft wurden. Die Strafen können sich von einigen Tausend Euro bis hin zu hunderttausende Euros betragen! Bitte checken Sie, ob Sie hier alles optimal erfüllen.

Hier folgt nun der Input von RA Mag. Stephan Novotny:

Auswahl einiger wichtiger Urteile, zum Besser werden!

Die diversen Datenschutzbehörden trafen Entscheidungen, die auch für uns in Österreich relevant und zu befolgen sind, weil die DSGVO eine Europäische Verordnung ist, die europaweit gleich anzuwenden ist. Hier zum Erinnern eine kurze Auswahl von Entscheidungen, über die wir in den BAV-Newslettern bereits berichtet haben.

+) 50-Millionen-Euro-DSGVO-Strafe gegen Google bestätigt
Google kam sogar noch mit einem blauen Auge davon, denn die Höchststrafen können laut DSGVO bis zu EUR 20 Mio. pro Unternehmen oder sogar 4% des Umsatzes bei Konzernen betragen (bei Google hätte das also weit mehr als EUR 50 Mio. ausmachen können!).

+) 9,55 Mio. wegen telefonischer Auskunft an Unberechtigte
Beim deutschen Telekommunikationsunternehmen „1&1“ war es offensichtlich üblich, dass man Anrufern, wenn sie Namen und Geburtsdatum eines Kunden nennen konnten, Auskünfte erteilte, die „weitreichende Informationen zu weiteren personenbezogenen Kundendaten“ enthalten konnten. Erstaunlich ist, dass so eine Mega-Strafe verhängt wurde, trotzdem die Behörde anerkannte, dass das Unternehmen im Verfahren kooperativ gewesen sei. Aber:
„Das Unternehmen hatte keine hinreichenden technisch-organisatorischen Maßnahmen ergriffen, um zu verhindern, dass Unberechtigte bei der telefonischen Kundenbetreuung Auskünfte zu Kundendaten erhalten können.“

+) 400.000 wegen Verfehlungen bei den TOMs
Ein portugiesisches Krankenhaus wurde zu dieser „geringen“ Strafe verurteilt, weil man sich kooperativ gegenüber der Behörde zeigte und aktiv an der Behebung der Mängel mitgearbeitet wurde. Die Verfehlungen betrafen die TOMs, also die technischen und organisatorischen Maßnahmen, die im Zuge der DSGVO-Umsetzung realisiert werden mussten. Konkret wurden beim Ausscheiden von Mitarbeitern nicht sofort deren Zugriffsmöglichkeiten sofort deaktiviert.

+) Verheimlichtes Datenleck wird teuer
Der Essenslieferant Foodora (gehört in Österreich Mjam) meldete nicht, dass man gehackt wurde. Als Jahre später die Daten von 727.000 Kunden im Internet zum Kauf angeboten wurden, drohen nun der Mutter eine Strafe von 4% des weltweiten jährlichen Umsatzes. Daher bei Daten-Hoppalas und Hacker-Angriffen sofort prüfen, ob eine Meldung nötig ist und dies binnen 72 Stunden (egal ob Wochenende oder Feiertag) der Datenschutzbehörde melden.

+) 25.000-Euro-Strafe, weil Datenschutzbeauftragter fehlte
Ein spanischer Lieferdienst wurde – nach der Beschwerde zweier Betroffener – verurteilt. Aufgrund der zahlreichen und umfangreichen Datenverarbeitungen hätte man einen Datenschutzbeauftragten bestellen müssen, hat dies aber nicht getan.

+) EUR 5.000, weil kein Auftragsverarbeiter-Vertrag mit Dienstleister bestand. Daher: Prüfen Sie, ob Sie von allen Ihren Dienstleistern einen AVV haben.

+) EUR 5.000 Schadenersatz wegen verspäteter Auskunftserteilung
Das Arbeitsgerichts Düsseldorf sprach einem ehemaligen Angestellten wegen einer zu späten und unvollständigen Auskunftsbeantwortung zu (Verletzung der Auskunftspflicht).

+) Datenpanne beim E-Mail-Versand: Zu viele Mail-Adressen unter AN: statt BCC:
E-Mail-Adressen sind personenbezogene Daten und dürfen daher Dritten – wie hier in dieser Massenaussendung – nicht offen zugängig gemacht werden. Passen Sie daher auch bei der automatische Namensergänzung von Outlook auf, dass aus den Anfangsbuchstaben eines Namens nicht ein falscher Namen aus Ihren Kontakten gewählt und das Mail an einen unbeteiligten Dritten gesendet wird. Beides ist eine Datenpanne.

Mehr Details zu den oben beschriebenen Urteilen finden Sie auf der IVVA Webseite. Eine Auswahl:

US-Programme nicht DSGVO-konform wegen Privacy Shield-Out? (NL 12b/21)*

Große Gefahr: Datenschutzpanne wegen vieler Empfänger unter AN: oder CC: anstelle BCC: (NL 33/20)*

Kein AVV, Auftragsverarbeiter-Vertrag: Behörde straft! (NL 30/20)*

Weitere neue DSGVO-Strafen. Praxis-Tipps dazu. Teil 2 der Urteils-Serie (NL 26/20)*


https://www.ivva.at/viele-neue-teure-dsgvo-strafen-sind-sie-vorbereitet-nl-23-20/ https://www.ivva.at/dsgvo-mega-strafe-gegen-11-wegen-telefonischer-auskunft-nl-9b-20/
https://www.ivva.at/dsgvo-mega-strafen-was-daraus-lernen-nl-22-19/

DSGVO-Serie: Verfahren in Österreich: Was ist noch zu tun? (NL 19b/19)*

 

Beste Grüße vom IVVA Team und RA Mag. Stephan Novotny

 

Für Rückfragen:

RA Mag. Stephan Novotny, Foto: Stephan Huger


RA Mag. Stephan Novotny

1010 Wien, Weihburggasse 4/2/22

kanzlei@ra-novotny.at

https://www.ra-novotny.at

MITGLIEDER LOGIN