Weitere neue DSGVO-Strafen. Praxis-Tipps dazu. Teil 2 der Urteils-Serie (NL 26/20)

Weitere neue (teure) DSGVO-Strafen. Teil 2 der aktuellen DSGVO-Serie.
Was lernen wir aus den betroffenen Verfahren?

RA Mag. Stephan Novotny, Foto: Stephan Huger

Im ersten Teil (hier klicken zum Nachlesen), haben wir Ihnen berichtet, dass die Datenschutzbehörde sehr aktiv nach weiteren Mitarbeitern sucht. Und per Newsletter verkündet hat, dass das – von der Politik kommunizierte – Prinzip „Verwarnen statt Strafen“ nicht eingehalten werde.

Daher sehen wir uns diverse Urteile zum Thema DSGVO näher an. Was wurde bestraft? Mit welcher Höhe? Und wie sollte man es besser machen. Im ersten Teil spannte sich die Strafhöhe von einigen Tausend bis hin zu 50 Mio. Euros. Zum Nachlesen hier klicken…

Heute sehen wir uns 3 weitere Urteile näher an. Bitte checken Sie, ob das auf Ihr Unternehmen eventuell auch zutreffen könnte und falls Ja, bitte ändern.

A) Datenpanne beim E-Mail-Versand

Beginnen wir mit einem aktuellen Fall, der Jedem passieren kann. Zwar gibt es noch kein Urteil dazu, das „Hoppala“ ist aber laut DSGVO eine Datenpanne und kann daher bestraft werden.

Wie Sie vor einigen Tagen den Medien entnehmen konnten – u.a. Der Standard, Oe24 – nahm eine Corona-Infizierte an einer Party in Graz teil. Daraufhin wollten die Gesundheitsbehörden alle Gäste rasch informieren. Damit sie sich sofort in Quarantäne begeben und auf Covid-19 testen lassen sollen. Und prompt passierte hier die Panne. Die E-Mail-Adressen von allen 222 „Verdachtsfällen“ waren im E-Mail offen ersichtlich. Sie waren unter An: anstelle unter Bcc: eingegeben worden. Die Leiterin des Grazer Gesundheitsamtes hat sich sofort für diesen Fehler entschuldigt und auch eine Meldung an die Datenschutzbehörde wurde gemacht, denn es handelt sich hierbei um eine Datenschutzverletzung.

Warum? Die E-Mail-Adressen sind personenbezogene Daten und dürfen daher Dritten – wie hier in dieser Massenaussendung nicht offen zugängig gemacht werden. Dazu kommt erschwerend, dass es sich hier um einen medizinischen Zusammenhang handelt, hier ist also besondere Vorsicht geboten. Womöglich könnten Betroffene sogar Schadenersatz verlangen.

Tipp:

Niemals mehrere E-Mail-Adressen von unbeteiligten Dritten öffentlich einsehbar versenden. 

Und noch eine tägliche Gefahr:
Gerade bei Smartphones oder PCs kann die automatische Namens-Ergänzung zu Fehlern führen. Wenn also die Autokorrektur aus den Anfangsbuchstaben eines Namens einen falschen Namen aus Ihren Kontakten wählt und die Mail an einen unbeteiligten Dritten sendet, dann ist das auch eine Datenpanne.
Tipp: Prüfen Sie vor dem Absenden einer E-Mail immer die E-Mail-Adressaten,
ob wirklich die gewünschten Namen aufscheinen. Andernfalls verletzen Sie eines der Betroffenenrechte, nämlich jenes hinsichtlich der Geheimhaltung.

Über das weitere Vorgehen bei Datenpannen – innerhalb von 72 Stunden – haben wir mehrmals berichtet, u.a. hier…


B) Datenleck bei Foodora wird teuer

Persönliche Daten von 727.000 Kunden des Essenslieferdienstes Foodora wurden in 14 Ländern bereits 2016 gestohlen. Etwa Namen, Adressen, Telefon-Nummern, Passwörter. Das berichteten mehrere Medien, wie etwa die Süddeutsche Zeitung. Diese Daten wurden laut Medien am 19. Mai in einem Online-Forum präsentiert, das für gestohlene Daten bekannt sei. Dadurch wurde die Datenpanne der Öffentlichkeit bekannt.

Darauf bestätigte Delivery Hero, das Mutterunternehmen von Foodora, in einer offiziellen Stellungnahme den Vorfall. Konkret sollen in Österreich rund 24.000 Kunden betroffen sein. In Österreich gehört Foodora nun zu Mjam.

Für diese Datenpanne, die noch dazu wahrscheinlich nicht binnen 72 Stunden gemeldet wurde – droht nun eine Strafzahlung in der Höhe von bis zu 4 Prozent des weltweiten jährlichen Umsatzes von Delivery Hero.

Tipp: Um zu überprüfen, ob Ihre Daten gehackt worden sein könnten, gibt es eine einfache Möglichkeit, die auch von Datenschützern empfohlen wird. Darüber haben wir bereits berichtet: Zum Nachlesen hier klicken…


C) 11.000 Euro Strafe nach Datenleck bei Gesundheitsdaten

Im Newsletter von meineberater.at wurde von einem Fall berichtet, wo Gesundheitsdaten aufgrund menschlichen Versagens unbeabsichtigt Unbefugten zugänglich gemacht wurden.

Die Datenschutzbehörde verhängte eine DSGVO-Strafe in der Höhe von 11.000 Euro.

Der Anlassfall betraf zwar eine Klinik, dennoch sollte auch unsere Branche dieses Urteil als Warnschuss ansehen, haben wir doch immer wieder mit Gesundheitsdaten zu tun, die als sensible Daten nach der DSGVO gelten und daher besonders geschützt werden müssen. Vermittler und Versicherer haben etwa bei Anträgen von Lebens-, Berufsunfähigkeits- und ähnlichen Versicherungen mit Gesundheitsdaten der Kunden zu tun.

Tipp: Achten Sie also besonders auf diese Datenkategorie, sichern Sie diese besonders gut, übermitteln Sie diese nur auf gesicherten Wegen (eingeschriebenem Brief, verschlüsselte E-Mail, etc.)

Zum Nachlesen:

  • Was versteht man unter Betroffenen-Rechten? Antwort…
  • Wann und wie (Kunden-) Daten sichern? Antwort…
  • Vorgehen bei Hackerangriff, Datenverlust, Data breach (hier nachlesen…)
  • Vermittler erfasst Daten für Versicherer oder Wer haftet dem Kunden gegenüber? Antwort…

Die Datenschutzbehörde stellte fest, dass keine ausreichenden technischen und organisatorischen Maßnahmen (TOMs) getroffen wurden, die solch unbeabsichtigte Veröffentlichungen verhindert hätten.
Tipp: Prüfen Sie regelmäßig Ihre TOMs und schulen Sie Ihre Mitarbeiter, damit diese ebenso DSGVO-konform arbeiten.
Zum Nachlesen:
> Was sind TOMs? Antwort…

Quellen: Der Standard, Oe24, Newsletter von meineberater.at, futurezone.at, sueddeutsche.de; golem.de

 

beste Grüße vom IVVA Team und Mag. Novotny.

 

Für Rückfragen:

RA Mag. Stephan Novotny, Foto: Stephan Huger


RA Mag. Stephan Novotny

1010 Wien, Weihburggasse 4/2/22

kanzlei@ra-novotny.at

https://www.ra-novotny.at